Topics

Hi,

ich möchte einen Client aus der Zugriffsliste für das VPN entfernen. Ich habe den Benutzer und das Zertifikat gelöscht, und trotzdem kann sich der Client verbinden.
Ist das Zertifikat noch irgendwo gespeichert?
Hilft ein Neustart der OPNsense?

Danke
Freddy

Hi,

I'm using the OPNsense with OpenVPN, which works fine until now. We started using Softphones because of the corona virus and I get some issues:
Outgoing call: The called can here me, but I can not hear him.
Incoming call: The called can here me and I can hear him.

I made some tests and found out following by packet capture on the OPNsense:
On a outgoing call the RTP packets the VPN clients sends the outgoing packets through the tunnel, but the incoming packets are not sent through the VPN tunnel, but to the WAN interface.
On the incoming call the outgoing and incoming RTP packets are send through the tunnel as aspected.

I also checked the States Dump and filtered by the VPN client and RTP port and recognized, that the arrow for source -> router -> destination is different:

Outgoing call:
Int    Proto    Source -> Router -> Destination    State
all    udp    10.10.11.38:30000 -> 192.168.252.3:5004    MULTIPLE:MULTIPLE    
all    udp    192.168.252.3:5004 <- 10.10.11.38:30000    MULTIPLE:MULTIPLE

Incoming call:
Int    Proto    Source -> Router -> Destination    State
all    udp    10.10.11.38:30000 <- 192.168.252.3:5004    MULTIPLE:MULTIPLE    
all    udp    192.168.252.3:5004 <- 10.10.11.38:30000    MULTIPLE:MULTIPLE
(See images attached)

VPN Client is 10.10.11.38
Telephone system is 192.168.252.3

After an incoming call, the outgoing call works fine too, until an undefined time. Sometimes it happens, that I can't hear the called anymore.

System informations: OPNsense 19.7.8-amd64 on a APU2 board.

Is there anything that I can check, or shall I open an issue on github?

Thanks,
Freddy

Hi,

unsere OPNsense habe ich mit WAN Group und als OpenVPN Server eingerichtet, was allgemein gut funktioniert.
Auf der aktuellen Lage haben wir Softphones für unsere Telefonanlage eingerichtet. Bei diesen habe ich das Problem, das teilweise die RTP Pakete von der TK-Anlage nicht beim Endgerät ankommen.

Bei meinen Tests ist mir aufgefallen, dass ich den Client aus dem Intranet nicht erreichen kann (zB Ping oder HTTPS).

Meine OpenVPN Konfiguration:
Server Mode: Remote Access (SSL/TLS)
Protocol: UDP
Device Mode: tun
Interface: any
IPv4 Tunnel Network: 10.10.11.0/24
IPv4 Local Network: 192.168.252.0/24

Mein Endgerät erhält dann folgende Konfiguration:
IPv4-Adresse  . . . . . . . . . . : 10.10.11.38(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 10.10.11.37

Ich versuche einen Ping bzw. Webaufruf der IP 10.10.11.38.

Ist dies gar nicht möglich, da es en 'tun' Tunnel ist?
Oder fehlt etwas bei der Firewall?

Gruß
Freddy

Hi,

after the update to 19.1 the notifications are no longer available. I tried to configure monit, but get the following messages in the logfile:
monit[95267]: SMTP: Mailserver response error -- 550 invalid DNS MX or A/AAAA resource record
monit[95267]: Mail: Mailserver response error -- 550-Requested action not taken: mailbox unavailable

We use 1und1 as mail server for our domain. According to https://intodns.com/ our entries are ok, we don't have any problems with sending e-mails on any other client. I have copied my username and password, so it can't be that.

With 18.7 the notifications still worked.

Does anyone know the problem, or has a tip for me?

Hi,

nach dem Update auf die 19.1 sind bei mir die Notifications nicht mehr verfügbar. Ich habe versucht monit zu konfigurieren, erhalte aber folgende Meldungen im Logfile:
monit[95267]: SMTP: Mailserver response error -- 550 invalid DNS MX or A/AAAA resource record
monit[95267]: Mail: Mailserver response error -- 550-Requested action not taken: mailbox unavailable

Wir nutzen 1und1 als Mailserver für unsere Domain. Laut https://intodns.com/ sind unsere Einträge in Ordnung, wir haben auch auf keinem anderen Client Probleme mit dem E-Mail Versand. Benutzername und Passwort habe ich kopiert, daran kann es also nicht liegen.

Mit 18.7 haben die Notifications noch funktioniert.

Kennt jemand das Problem, oder hat einen Tipp für mich?

Hallo liebe OPNsense User,

voller Begeisterung bin ich auf OPNsense gestoßen, setze es schon erfolgreich für OpenVPN ein, habe aber nun ein Problem, was ich leider nicht behoben bekomme.

Ich habe ein Multi WAN gemäß dieser Anleitungen
https://wiki.opnsense.org/manual/multiwan.html
https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN
eingerichtet.

Wir haben eine Kabel und eine VDSL Leitung. Leider wird die VDSL Leitung nicht als Online erkannt.
Als Monitor IP verwende ich für Cable 8.8.8.8 und für VDSL 9.9.9.9

In der Firewall sehe ich, dass die Pings auf 9.9.9.9 von der Default deny rule geblockt werden.
Mich wundert, dass als Interface dort WAN_Cable steht und nicht WAN_VDSL, und dass der Ping überhaupt blockiert wird. Die Routen scheinen korrekt zu sein.

Ein paar Informationen habe ich angehängt.

Beim Testen habe ich noch etwas entdeckt, was mich etwas wundert. Wenn ich über Interfaces: Diagnostics: Ping einen Ping-Test durchführen, ist das Interface immer WAN_Cable (Default Gateway), obwohl ich als Source address WAN_VDSL ausgewählt habe. Hängt das mit der Gateway Group zusammen?

Mein Netzplan sieht folgendermaßen aus.

Danke und Gruß
Freddy