Messages

106

German - Deutsch / Re: 2x WAN, wie Traffic bewusst routen?

« on: August 02, 2020, 09:13:11 pm »

Oder per Firewall: NAT: Outbound Regel dafür sorgen, dass die interne IP sich immer mit der externen IP XYZ meldet.

Oder per Firewall Regel das Gateway vorgeben (redirect gateway).

107

German - Deutsch / Disable preempt Klärungsfrage

« on: August 02, 2020, 09:08:25 pm »

Hallo Community,
ich bin zur späten Stunde nicht mehr ganz sicher: Wenn mein Master (FW1) einen Fehler hat, sich rebootet, was auch immer, möchte ich, dass der Slave (FW2) die Dienste übernimmt und behält - FW1 soll also zukünftig die Slave funtkion inne halten. Um z.B. auch floppy states an Interfaces zu umgehen.

Es gibt dazu ja die Option:

When this device is configured as CARP master it will try to switch to master when powering up, this option will keep this one slave if there already is a master on the network. A reboot is required to take effect.

Wenn ich das jetzt richtig interpretiere und die Option ist aktiv: FW1 (Master) wird nicht versuchen nach dem Reboot die CARP Master Rolle einzunehmen, richtig?

Muss das dann eigentlich auch auf dem Slave (FW2) aktiviert sein, oder ist das irrelevant weil FW1 einen höherwertiges Base Skew hat?

Dankeschön!

108

20.7 Legacy Series / Re: I don't find the 20.7 Update?!

« on: July 31, 2020, 07:57:22 am »

Thank you and sorry for not carefully read the notes intro ;-)

109

20.7 Legacy Series / I don't find the 20.7 Update?!

« on: July 31, 2020, 07:49:09 am »

Hi,
if I check my several boxes for the newest Upgrade, I don't find it. All my boxes are on 20.1.9. Do I miss something? Even if I manually change some german mirrors, it wont be served.

Thank you a  lot.

110

20.1 Legacy Series / Re: Update to 20.1.8 and IPSEC VPN faded away

« on: July 02, 2020, 07:37:35 pm »

I got the same issue and can confirm, that opnsense-patch 30a9195 is working!

111

German - Deutsch / OpenVPN - mutliple dns search

« on: July 01, 2020, 08:53:56 am »

Hallo,
ich habe das Dilemma, dass wir intern wie extern die gleichen Domainnamen verwenden. Ich möchte meinen OVPN Clients nun mitteilen, dass die für ein paar Domains meinen internen DNS Server zu fragen haben.

Ich bin dabei auf diese Option gestoßen:

Code: [Select]

push "dhcp-option DOMAIN-SEARCH mc.company.com"
push "dhcp-option DOMAIN-SEARCH ads.company.com"
push "dhcp-option DOMAIN-SEARCH test.company.com"
das Vertsehen aber die Windows Clients nicht:

Code: [Select]

Options error: --dhcp-option: unknown option type 'domain-search' or missing or unknow parameter
OSX Clients wie Tunnelblick und Viscosity wiederum können damit was anfangen.

Da ich aber 90% Windows Clienten (OpenVPN Gui) habe, habe ich mir vorerst mit:

push "block-outside-dns"

beholfen. Das wiederum können die OSX Clients nicht verstehen.:

Code: [Select]

Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:9: block-outside-dns (2.4.8)
Mit Block Outside DNS kann ich temporär als workaround aber leben - hat nur den Nachteil, das sämtliche DNS Abfreagen durch das VPN geschleust werden und damit ggf. lokale Namesauflösungen für Drucker oder so nicht mehr funktionieren.

Wie löst ihr das problem mit mehreren Domains?
Danke!

112

German - Deutsch / Re: OPNsense Business Edition

« on: July 01, 2020, 08:41:36 am »

Hallo fabiana,
das sieht interessant aus - ich konnte dazu jetzt keine weiteren Infos finden. Wie kommt man an das Cockpit ran?
Danke.

113

German - Deutsch / Re: HASetup: Wenn Master Rebootet gibt es stress

« on: June 30, 2020, 08:56:27 am »

Ich formuliere es mal etwas anders:

Ja ich habe den Modus schon ausprobiert, habe aber nicht sofort einen Effekt bemerkt. Ich hatte erwartet, dass der Master sofort alle Dienste auf den Slave umschwenkt. Das war aber nicht der Fall.

Vielleicht ist es aber das gleiche Phänomen wie beim Reboot: sobald ich einen Reboot trigger, dauert es eine gewisse Zeit, bis dieser auch durchgeführt wird.

Meine Vermutung ist jetzt einfach, dass OPNSense viel Zeit braucht um Dienste (hier vermute ich speziel VPN) runterzufahren. Dann war ich mit dem CARP Maint. Mode vermutlich einfach zu ungeduldig.

Aktuell sind rund 15 IPSec Tunnel (Site2Site), 5 OpenVPN Site2Site und, tagesabhängig, zwischen 200-250 OVPN Clients verbunden. Ich denke das kann schonmal einen moment dauern bis der Dienst gestoppt ist.

114

German - Deutsch / Re: HASetup: Wenn Master Rebootet gibt es stress

« on: June 26, 2020, 07:53:21 am »

Ich werde beim nächsten Update, das einen Reboot erfordert, nochmal das Procedere nach Handburch durchspielen. Ggf. war ich auch nicht geduldig genug. Ich erinnere mich, dass von triggern des Rebootes bis zum shutdown auch eine gewisse Zeit verstreicht. Ggf. weil erst 200+ VPN Tunnel abgebaut werden müssen, oder so?!

Auch bin ich gespannt, wie das neue Verhalten sein wird, jetzt wo FastPort an den Ports aktiv ist.

115

20.1 Legacy Series / Re: /var RAM disk

« on: June 23, 2020, 01:50:51 pm »

I have it active. You will lose log files and so on by a reboot. Because of that, I have an external Syslog Server, where all logs are pushed.

116

20.1 Legacy Series / Re: router with multiple hostnames complains of DNS rebind attacks

« on: June 23, 2020, 01:49:02 pm »

System - Settings - Administration: Disable DNS Rebinding Checks

117

German - Deutsch / Re: HASetup: Wenn Master Rebootet gibt es stress

« on: June 18, 2020, 06:45:43 am »

DAgegen spricht allerdings, dass M-STP aktiv ist, bei dem der Port sehr schnell online kommt. D.h. der ist eigentlich keine paar Sekunden weg. Ausprobieren werde ich es dennoch!

Für weitere Ideen bin ich aber auch offen :-)

118

German - Deutsch / Re: HASetup: Wenn Master Rebootet gibt es stress

« on: June 17, 2020, 02:57:48 pm »

Ich lese gerade an anderer Stelle, dass es vielleicht nützlich sein könnte die Entsprechenden Ports auf Switch Seite auf Portfast bzw. im HP Sprech auf admin-edge-port zu stellen. Ggf. Blockiert Spanning Tree an dieser Stelle doch die entscheidenen ersten CARP Packages.

119

German - Deutsch / Re: HASetup: Wenn Master Rebootet gibt es stress

« on: June 17, 2020, 02:53:41 pm »

Hallo und danke für die ausführliche Antwort!

Beide Firwalls laufen auf echter Hardware, welche identisch aufgebaut ist. Die ist auch überdimensioniert und arbeitet nicht am limit. Bei ca. 250 aktiven VPN Sessions + diverses Routing für Webservices läuft die Load bei 0,5-0,8. Belegt sind 11GB RAM von 32.

Intel(R) Xeon(R) E-2226G CPU @ 3.40GHz (6 cores)
32GB RAM
4x 10GBit LWL. wobei alles via VLAN auf einem LWL Interface läuft. Alles bis auf Internet Uplink und Crosover Verbindung beider Firewall für die Config und State Synchronisation.


Beide FW's sind mit je einem 10GBit LWL Kabel an einem HP zl5412, auch der ist nicht am limit.

Braucht der Master beim Reboot zu lange bis er alle CARP VIPS wieder hat und/oder ist noch gar nicht mit Booten fertig und soll schon wieder übernehmen?

Das ist eine interessante Frage: da weiß ich gar nicht wie ich das prüfen kann. Wenn ich manuell nicht eingreife, ist auch 15-30min nach dem Booten des Masters der Zustand "kaputt". Länger habe ich noch nicht gewartet.
Auf der Konsole ist das Login Fenster jedenfalls recht flott da (Enterprise SSD).

Warum schickst du zudem den Master nicht in Perma-CARP-Maint Modus, damit er nach Neustart nicht gleich übernimmt? (...)

Das hatte ich tatsächlich auch schon mal gemacht, aber es zeigte keine Wirkung, im Sinne von: der Slave hat zu diesem Zeitpunkt keine Master Dienste übernommen. Erst nachdem der Master im Reboot Prozess gegangen ist, übernahm der Slave die Master Dienste. UND: der Master war nach dem Reboot auch nicht im Perma-CARP-Maint Modus.

Ich update immer erst den Slave und erst ein paar Tage später den Master. Ich muss gestehen, dass ich den Perma-CARP MAint Mode schon länger nicht mehr getestet habe, da ich auch aus anderen quellen gehört habe,d ass dies eher zu Problemen führt als gutes bewirkt. Es hat jedenfalls noch nie sauber funktioniert bei mir.

120

German - Deutsch / (Solved) HASetup: Wenn Master Rebootet gibt es stress

« on: June 16, 2020, 01:48:32 pm »

Hallo!
Ich habe ein Problem mit meinem HA Setup.
Wenn ich meinen Master beispielsweise für Update neustarten muss, dann übernimmt der Slave wunderbar seine Dienste. Ist der Master wieder online, fangen die Probleme an. Packet Loss ohne Ende, Master IP teilweise nicht erreichbar. CARP macht ein "Mischmasch", sprich einige VIP's sind auf dem Master "master", und einige auf dem Slave.

Ich habe jetzt zwar einen Workaround gefunden, der aber nicht schön ist, aber vielleicht gibt es jemanden von euch die ausschlaggebene Idee: Ich muss am Switch das Uplinkkabel zum Master einmal ziehen bzw per CLI den Port deakivieren und anschließend wieder online bringen. Dann fängt sich das ganze system nach 2-3 Minuten wieder und es läuft wie es soll.

Es ist ein HP ProCurve switch, auf den Ports selber ist nichts besonderes aktiv, kein LACP oder ähnliches.

Hat jemand vielleicht eine Idee, was das sein kann? Irgendein Protokoll an das ich nicht denke? ARP Cache vllt?
Master & Slave arbeiten auf der zur Zeit aktuellen Version. Das Problem schleppe ich auch schon viele Versionenlang mit mir mit, was natürlich jedesmal für graue Haare sorgt, wenn ich die Firewall aktualisieren muss.

Bin für jeden Tipp Dankbar!