Messages

136

General Discussion / Re: One computer - different subnet

« on: March 07, 2020, 08:01:29 pm »

What about a second NIC for this host in your 192.168.1.0/24 network? Then you access your files via this interface and the old up is still valid

137

General Discussion / Re: split my Public network - good or bad idea?

« on: March 06, 2020, 02:26:22 pm »

You will lose 2 ip addresses and why NAT if public ips?

138

General Discussion / Re: System Routes

« on: March 05, 2020, 03:47:43 pm »

Ok, once again:

If all network segments are directly connected via opnsense, you do NOT need to setup routes! Watch System: Routes: Status, all directly connected networks are on link# and in kernel routing table.

You just need firewall rules to allow traffic between your networks.

139

German - Deutsch / Re: OPNSense direkt an innogy Glasfaser-Anschluss?

« on: March 05, 2020, 12:15:23 pm »

Also wenn Du die Fritzbox als NAT-Router nutzt, dann PPPoE auf WAN wie gehabt und für LAN-Subnetz nimmst Du ein 2-Host Transfernetz.

z.B.

• 172.16.200.1/30 für Fritzbox LAN
• 172.16.200.2/30 für OPNsense WAN

Die zwei Geräte direkt verkabeln, denn mehr Hosts passen in das /30 Netz eh nicht rein (.0 ist Netz, .3 Broadcast).

Deine OPNSense hat dann die Fritzbox mit 172.16.200.1 als Default Gateway. Für Deine Clients ändert sich nichts. Die haben weiterhin ihr internes Netz (z.B. 192.168.0.0/24) und die OPNsense als Gateway (z.B. 192.168.0.1). Die OPNsense darf jetzt kein NAT machen (wollen ja kein Double-NAT). Somit kommen an Deiner FritzBox die originalen, unverfälschten IP-Adressen Deines internen Clientnetzwerks an.

Will die Fritzbox jetzt antworten, dann kennt sie erst mal dieses Netz nicht (sie hat ja nur Provider-IP und die 172.16.200.1) und würde die Antwort - wie für jede andere unbekannte Adresse - an Deinen Provider schicken (der sie dann verwirft, da RFC1918-Adresse). Deswegen braucht die FritzBox eine Rückroute für Dein internes Client-Netz zur OPNsense.

Du mußt also auf der FritzBox eine manuelle Route setzen mit:

internes Netz --> GW 172.16.200.2

z.B. 192.168.0.0/24 --> GW 172.16.200.2

Vorteil: Du kannst weiterhin Portforwarding auf verschiedene Clients betreiben. Einfach in der Fritzbox den entsprechenden Port auf die interne Netz-IP weiterleiten und auf der OPNsense auf WAN dann den Port eingehend erlauben.

140

General Discussion / Re: System Routes

« on: March 05, 2020, 11:40:42 am »

Without netmasks hard to say.

But if networks all are connected via opnsense, nothing has to be done. Then all are direct connected routes. Your clients just need the opnsense as default gateway.

141

General Discussion / Re: How to remove DHCP reservation from removed interface?

« on: March 05, 2020, 11:00:34 am »

Just download the configuration, remove the old entries and reimport just the dhcp section or edit /etc/config.xml directly and reconfigure dhcp.

142

German - Deutsch / Re: OPNSense direkt an innogy Glasfaser-Anschluss?

« on: March 04, 2020, 10:23:20 pm »

FritzBox als DSL-Modern konfigurieren und an OPNsense PPPoE nutzen. Da solltest du kein doppeltes NAT haben, da die FritzBox ja nur als Modem und nicht Router agiert.

Und selbst wenn du Fritzbox als Router konfigurierst, brauchst Du nur das Routing richtig konfigurieren, dann gibt's auch kein doppeltes NAT.
NAT würde Fritzbox machen, dann RFC1918 Transfernetz (/30)  zur OPNsense, Rückroute nicht vergessen (Fehlerursache Nr.1), fertig.

143

General Discussion / Re: Block specific IP

« on: March 04, 2020, 12:21:51 pm »

The grey flash indicates a lazy rule (last matched). So at least ports 53, 80 and 443 are permitted to this host before your explicit block rules are matched.

If you want to block it, make it a quick rule (first match) and correct the netmask to /32.

144

20.1 Legacy Series / Re: Mobile client VPN

« on: March 03, 2020, 10:18:43 am »

Hey guys, please do not use DisableIKENameEduCheck and weaken your VPN setup!

Create the right vpn server certificate with correct extendedKeyUsage:

http://tiebing.blogspot.com/2012/05/windows-7-ikev2-error-13806.html?m=1

145

German - Deutsch / Re: Working Roadwarrior IKEv2 IOS, WIN10

« on: February 29, 2020, 10:05:09 pm »

Also XAuth have ich nur noch mit IKE1 aus Kompatibilitätsgründen für Legacy Clients. Ist nicht mehr zeitgemäß und wird für IKE2 glaub ohnehin nicht mehr unterstützt. LDAP-Plugin wäre mit jetzt nicht bekannt, aber kann man ja über Radius anflanschen. Darüber werden dann auch die Gruppenmitgliedschaften abgedeckt und IP-Pools entsprechend zugewiesen.

146

German - Deutsch / Re: Working Roadwarrior IKEv2 IOS, WIN10

« on: February 29, 2020, 06:26:31 pm »

Was IPsec VPN auf der OPNsense angeht, lohnt es sich die Konfigurationen händisch zu erstellen und entsprechende Dateien in /usr/local/etc/ipsec.opnsense.d und /usr/local/etc/strongswan.opnsense.d zu platzieren.

Da bist du dann viel flexibler mit Optionen.

147

German - Deutsch / Re: unbound per Script starten/stoppen

« on: February 28, 2020, 11:32:05 pm »

Sorry, ich hab die Frage gelesen und beantwortet. Hätte sie gelautet: "wie kann man einfach Blocklisten implementieren?" wäre sie anders ausgefallen.

148

German - Deutsch / Re: unbound per Script starten/stoppen

« on: February 28, 2020, 11:57:17 am »

Code: [Select]

/usr/local/sbin/pluginctl -s unbound stop

Code: [Select]

/usr/local/sbin/pluginctl -s unbound start

Code: [Select]

/usr/local/sbin/configctl unbound reload

149

20.1 Legacy Series / Re: CARP + IPv6 Router advertisements

« on: February 28, 2020, 08:33:36 am »

It's the way it works on pfSense. On OPNsense my radv-daemons are also running on both nodes.

I will try to disable radv-service on my backup node and use the carp trigger to start it on failover. The question is how to configure the service not to auto-start on boot. Script will take care of backup run state.

https://docs.opnsense.org/development/backend/autorun.html
https://docs.opnsense.org/development/backend/carp.html

Edit:

I created a script based on the 50-frr script, that starts radvd on MASTER and stops on BACKUP:

/usr/local/etc/rc.syshook.d/carp/20-radvd

Code: [Select]

#!/usr/local/bin/php

<?phprequire_once('config.inc');require_once('util.inc');$subsystem = !empty($argv[1]) ? $argv[1] : '';$type = !empty($argv[2]) ? $argv[2] : '';if ($type != 'MASTER' && $type != 'BACKUP') {    log_error("Carp '$type' event unknown from source '{$subsystem}'");    exit(1);}if (!strstr($subsystem, '@')) {    log_error("Carp '$type' event triggered from wrong source '{$subsystem}'");    exit(1);}switch ($type) {    case 'MASTER':        shell_exec('/usr/local/sbin/pluginctl -s radvd start');        break;    case 'BACKUP':        shell_exec('/usr/local/sbin/pluginctl -s radvd stop');        break;}

So radvd just runs on the active node, only one ipv6 gateway is advertised, no async routing. The downside of this 'hack':
In case of failover, it needs time to failover, start radvd on BACKUP node, advertise it to clients and clients have to start using new gateway. Have to test how long this will need.




150

20.1 Legacy Series / Re: CARP + IPv6 Router advertisements

« on: February 27, 2020, 04:22:57 pm »

I just found this for pfSense. Same problem there: https://forum.netgate.com/topic/133306/ipv6-carp-vip-with-route-advertisements/8

And I just checked my pfSense cluster end there, the radv-daemon is inactive on backup node. It only gets active on failover.

Edit:
I have to correct myself. The OPT_vip changes settings. Here is the diff:

Code: [Select]

--- radvd.conf-novip    2020-02-27 16:25:32.993687000 +0100
+++ radvd.conf-vip      2020-02-27 16:24:50.078941000 +0100
@@ -262,11 +262,14 @@
        AdvManagedFlag on;
        AdvOtherConfigFlag on;
        prefix 2002:db0::/64 {
-               DeprecatePrefix on;
+               DeprecatePrefix off;
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr on;
        };
+       route ::/0 {
+               RemoveRoute off;
+       };