Messages

121

20.1 Legacy Series / own crontab edit version upgrade persistent?

« on: June 09, 2020, 11:23:55 am »

Hi!
I want to backup my config.xml via scp cmd and cronjob.

If i edit the crobjobs via crontab -e, is that persistent over systemupgrades?

thank you!

122

German - Deutsch / HA Setup -Enter Persistent CARP Maintenanc funktionierte nicht, massive Probleme

« on: April 15, 2020, 11:16:15 am »

Hallo Community!

Ich hatte gestern ein unerfreuliches Update verhalten. Vor einigen Tagen habe ich bereits meinen Slave und sämtliche Remote Standorte auf 20.1.4 geupdatet - alles ohne Probleme.

Nun wollte ich meinen Master Updaten und versuchte ihn in den Persistent CARP Maintenance Mode zu schicken.
Ich habe auch gesehen, dass der Master auch nicht mehr CARP demotion 0, sondern 240 hatte, aber alle Verbindungen blieben auf dem Master.

Ich habe mir dabei dann erstmal nicht weiter gedacht, mich nur gewundert. Update also gestartet. Master macht seinen Reboot, Slave übernimmt endlich die Dienste (tadellos) und sobald der Master wieder online war, gingen die Probleme los. Ich bekam plötzlich paket loss ohne ende, hatte Schwierigkeiten den Master via SSH oder WebUI zu erreichen. Ich nehme an, dass jetzt beide Master spielen wollten und sich nicht einigen konnten. Da ich kaum noch dazu in der Lage war, irgendwelche Aktivitäten zu tun, beschloss ich den Master wieder runterzufahren. Dabei hatte ich wieder Zugriff auf den Slave aber das bekam von den Clients keine Internet Verb. das default Gateway (Eine CARP VIP) war nicht ansprechbar.

Ende vom Lied war, dass ich mehrfach in abwechselnder Richtung beide FW gebootet habe, bis endlich der Master wieder master war und der Slave slave.

Ich weiß echt nicht was hier schief gelaufen ist. Es existiert auf jedem Interface, das CARP nutzt, eine Regel alá

Proto: CARP
Source: INTERFACE-NET
Destination: 'This Firewall'

CARP Selbst scheint mir richtig eingestellt zu sein. Jedes CARP Interface hat eine eigene  VHID Group (auf dem Slave die gleiche) und der Master hat jeweils  Advertising Frequency Base1 Skew 0, der Slave hat Base 1 Skew 100.

Die Config und States wird über ein eigenes, physicalisches Interface per 1zu1 direkt Verbindung gesynct.

Hat jemand vielleicht eine Vermutung, was passiert sein könnte? Mich interessiert insbesondere, warum der erste Step schon nicht geklappt hat (Enter persistent CARP...).

Vielen Dank für jeden Tipp den ich nachgehen könnte!

123

20.1 Legacy Series / Re: NAT internal IP

« on: April 02, 2020, 03:06:45 pm »

found the solution: as simple as that: dont use outbound nat for Wifi, instead use the same port forward rule from outside, and add the wifi interface there

124

20.1 Legacy Series / NAT internal IP

« on: April 02, 2020, 01:42:19 pm »

Hi,
I want to enable OpenVPN from my Wifi VLAN, but without changing the client config. All my VPN Clinets have the external IP of my Server in their conifg.

Like: 80.72.100.100:443 (fantasy IP)

The OpenVPN Sevice ist listening on 10.27.30.35:1194.

From Outside, I do the following Forward NATing:
Interface: outside
Proto: TCP
Source: *
Destination: my Pub IP
Dest Port: 443
NAT IP: 10.27.30.35
NAT Port: 1194

That works finde.

Now I want the same for my Wifi, but I didint get it:

Interface: Wifi
Proto: TCP
Source: *
Destination: my Pub IP
Dest Port: 443
NAT IP: 10.27.30.35
NAT Port: 1194

Should'nt that work too? Do I miss something?
If i change my config to the internal IP and Port, then I can connect.
Thank You

125

German - Deutsch / Externe IP intern NAT'ten

« on: March 20, 2020, 03:42:49 pm »

Hi,
ich habe ein "Problem". Meine OpenVPN user verbinden sich mit einer externen IP, die auf meiner FW eingerichtet ist. Gleichzeitig habe ich ein VLAN für Wifi. Ich möchte erreichen, dass wenn meine User sich im WiFi bewegen, auch den VPN Tunnel über die externe IP erreichen können.

Ich schaffe es aber nicht dies über NAT'ing abzufangen.

Beispielsweise sieht meine Regel so aus:

Interface: Wifi
Source: any
Source Port: tcp
Destination: mypubip/32
Port: tcp/443

NAT Address 10.27.20.35
NAT Port: 2004 (hier lauscht OpenVPN)
STATIC Port: NO

Im TCP Dump sehe ich, das diese Regel keine Effekt hat, es wird nicht übersetzt. Geht das denn überhaupt mit "router eigenen IP's?"

Ändere ich die OVPN Config auf die interen IP's und Ports, geht das auch aus dem WiF.

Danke für Anregungen!

126

20.1 Legacy Series / Re: HA Setup with multiple Public IP's - routing Problem

« on: March 15, 2020, 04:05:43 pm »

So in other words i should Set a private Addresse on the outside Interface and all Public addresses AS carp?

127

20.1 Legacy Series / HA Setup with multiple Public IP's - routing Problem

« on: March 15, 2020, 12:24:18 pm »

Hi,
I've got a few Public IP's and Configured them like this:

HA-Master: x.x.x.103
HA-Slave: x.x.x.250

All other IP's as CARP - IP Alias with VHID did'nt worked for me.

So my question now is about: I've got a few Port Forwards for the x.x.x.250 IP. But as long as my Master is... the master.. all requests are first going to my HS-Slave, becuase it is the Public IP of the slave, and my Service behind the .250 want to answer via default Gateway, wich is my Master - you see the problem? A valid connection cant be established. Is there a routing trick, that I did'nt see so far?

Is it Possbile the set the .250 as an other CARP address, even though that this is the public IP of the slave? My thought is, that the Master will then receive the .250 requests.

Thank you!

128

20.1 Legacy Series / Re: Firewall design question (NAT Port Forward)

« on: March 10, 2020, 10:19:53 am »

Oh Sorry. I see now, it creates automatically a suitable rule for that Interface.

I have so much rules, that I didn't saw that!

129

20.1 Legacy Series / Firewall design question (NAT Port Forward)

« on: March 10, 2020, 10:17:22 am »

Hi!
I have a shot question:

For example is the following Port forward rule is given:

Interface: WAN
Proto: TCP
Source: ANY
Ports: ANY
Destination: 43.1.1.1 (fantasy IP but in real a public IP that i own)
Ports: 25
NAT: internal MX Server IP
Ports: 25

Do I also have to create a Firewall Rule, or is that done automatically but not visible in the rules section for this interface (WAN)?

Thank you!

130

20.1 Legacy Series / Re: Set MTU Size on VLAN Interface

« on: March 09, 2020, 08:05:52 am »

Thank you, thats a workaround that works and I can live with.

131

20.1 Legacy Series / Re: Set MTU Size on VLAN Interface

« on: March 08, 2020, 07:43:04 pm »

mhh is it possible to set a @reboot cronjob? Then I would write a script, that change the MTU Sizes after a reboot.

I still dont have a solution for that problem :-/

132

20.1 Legacy Series / Re: Set MTU Size on VLAN Interface

« on: March 06, 2020, 01:03:24 pm »

Okay my VLAN Parent device seems to be persistent with MTU9000, but not my VLAN childs :/

133

20.1 Legacy Series / Re: Set MTU Size on VLAN Interface

« on: March 06, 2020, 12:42:21 pm »

Could maybe a driver problem. But I'm unable to install the latest:

Intel's instructions:

Code: [Select]

7. If you want the driver to load automatically when the system is booted:

   cd ixgbe-x.x.x/src
   make
   make install
My output:

Code: [Select]

root@gw01:~/tmp/src # make
make: "/usr/share/mk/bsd.kmod.mk" line 12: Unable to locate the kernel source tree. Set SYSDIR to override.
root@gw01:~/tmp/src # make install
make: "/usr/share/mk/bsd.kmod.mk" line 12: Unable to locate the kernel source tree. Set SYSDIR to override.
root@gw01:~/tmp/src #
little googling says, that i have to check out the source tree via svn, but i'm not able to install svn too XD

134

20.1 Legacy Series / Set MTU Size on VLAN Interface

« on: March 06, 2020, 12:29:25 pm »

Hi,
I'm currently installing a hardware Firewall with OpnSense (20.1.2) and 10GBit NICs and I'm trying to set die MTU Size to 9000 on each VLAN interface.

But I get the following error:

Code: [Select]

The following input errors were detected:

    MTU of a vlan should not be bigger than parent interface.
I have to assign die Parent Device and let it unconfigured except MTU Size.

Next Thing: If I check die MTU Size via CLI, all Interfaces still have the default MTU1500. First if I change the MTU Size via CLI to 9000, I will get my full 10gbit speed.

It looks like something went wrong. The Networkcard is an IntelX710-DA4. Any Idea what goes wrong?

I also get an erro message on cli if something changed with the NIC Config like:

Code: [Select]

ixl0: aq_add_macvlan err -53, aq_error 14
or

Code: [Select]

WARNING: queue 0 appears to be hung!

Code: [Select]

WARNING: queue 2 appears to be hung!
But I dont see any negative effects.

135

20.1 Legacy Series / Re: IPSec Dead Peer Detection problem

« on: February 26, 2020, 08:16:46 am »

Yep. Meanwhile all my Servers running the latest 20.1.1 Version and yesterday evening, I changed some openvpn and Firewall Serversettings and a few IPSec tunnels went down. I connected then via public IP to the management interfaces and they still showed an online tunnel - which was wrong. I had to manually restart the strongswan service on the affected remote sites.