"
Is OPNsense affected. Seems that it's not using Tls-crypt-v2 when you configure the vpn via the gui
https://www.cve.org/CVERecord?id=CVE-2025-2704
https://www.cve.org/CVERecord?id=CVE-2025-2704
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
24.7, 24.10 Legacy Series / OpenVPN Security issue
January 19, 2025, 11:26:46 AM
Hello,
anyone has some more information about the current OpenVPN Server security issue?
The current OpenVPN Server Version seems like it's affected to the following problem:
https://www.tenable.com/plugins/nessus/214337
Does the OPNsense Team has an information if OPNsense is affected as well?
Security Audit in the current version, says yes (see screenshot)
anyone has some more information about the current OpenVPN Server security issue?
The current OpenVPN Server Version seems like it's affected to the following problem:
https://www.tenable.com/plugins/nessus/214337
Does the OPNsense Team has an information if OPNsense is affected as well?
Security Audit in the current version, says yes (see screenshot)
#3
24.7, 24.10 Legacy Series / HAProxy no SNI
November 05, 2024, 07:45:00 PM
Hello everyone,
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
#4
German - Deutsch / HA Setup Physical Virtual
December 16, 2022, 08:47:39 AM
Hallo zusammen,
ich habe aktuell den gedanken mir ein HA Setup aus einer Hardware OPNsense und einer VM zu bauen.
Hier und da liest man immer, dass die Interfaces gleich heißen sollten. Nun heißen die der Hardware OPNsense aber em0, em1,... und die der VM virt0, virt1,... .
Das sollte ja zu einem Problem werden.
Jedoch ist mir unter Schnitstellen -> Zuweisung aufgefallen, dass es eine Interface ID gibt, diese kann ich ja frei bearbeiten.
Heißen dort also sowohl in der Hardware als auch in der VM die Schnitstellen opt1, opt2,... dürfte es doch kein großes Problem geben?
Laut dem Infofeld bezieht sich HA ja auf diese ID und nicht auf em0, virt0?
Danke schon mal
ich habe aktuell den gedanken mir ein HA Setup aus einer Hardware OPNsense und einer VM zu bauen.
Hier und da liest man immer, dass die Interfaces gleich heißen sollten. Nun heißen die der Hardware OPNsense aber em0, em1,... und die der VM virt0, virt1,... .
Das sollte ja zu einem Problem werden.
Jedoch ist mir unter Schnitstellen -> Zuweisung aufgefallen, dass es eine Interface ID gibt, diese kann ich ja frei bearbeiten.
Heißen dort also sowohl in der Hardware als auch in der VM die Schnitstellen opt1, opt2,... dürfte es doch kein großes Problem geben?
Laut dem Infofeld bezieht sich HA ja auf diese ID und nicht auf em0, virt0?
Danke schon mal
#5
22.1 Legacy Series / HAProxy no new certificates shows
April 12, 2022, 10:55:48 AM
Hello,
seems that HAProxy is not reading out any new LetsEncrypt or ZeroSSL certificates.
They arent shown in the certificate list at the frontend config.
seems that HAProxy is not reading out any new LetsEncrypt or ZeroSSL certificates.
They arent shown in the certificate list at the frontend config.
#6
German - Deutsch / IDS/IPS Blockieren greift nicht
April 07, 2022, 08:37:29 AM
Hallo zusammen,
ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.
Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der Aktion "allowed" auf.
Habe ich da noch was übersehen?
Danke euch
ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.
Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der Aktion "allowed" auf.
Habe ich da noch was übersehen?
Danke euch
#7
German - Deutsch / [GELÖST] FreeRadius Zertifikatsfehler für WLAN
November 29, 2021, 11:12:20 AM
Hallo zusammen,
ich bin aktuell dabei eine WLAN Enterprise Authentifizierung mit dem FreeRadius der OPNsense aufzusetzen.
Dabei habe ich ein LetsEncrypt Zertifikat erstellt und dies im Radius hinterlegt.
Die Verbindung von Windows Clients klappt auch, jedoch bekomme ich keine Verbindung mit einem Android 12 Handy hin, da taucht im Radius immer folgender Error auf:
Hat jemand ne Idee wo ich da suchen soll?
ich bin aktuell dabei eine WLAN Enterprise Authentifizierung mit dem FreeRadius der OPNsense aufzusetzen.
Dabei habe ich ein LetsEncrypt Zertifikat erstellt und dies im Radius hinterlegt.
Die Verbindung von Windows Clients klappt auch, jedoch bekomme ich keine Verbindung mit einem Android 12 Handy hin, da taucht im Radius immer folgender Error auf:
Code Select
eap_peap: ERROR: (TLS) Alert read:fatal:certificate expiredHat jemand ne Idee wo ich da suchen soll?
#8
German - Deutsch / NTP startet unter 21.7.3_3-amd64 nicht
October 18, 2021, 03:02:55 PM
Guten Tag zusammen,
ich habe aktuell einige OPNsense Systeme auf 21.7.3_3-amd64 geupdated. Seit dem läuft bei allen Systemen der NTP Dienst nicht mehr.
Im Log findet man nur
ich habe aktuell einige OPNsense Systeme auf 21.7.3_3-amd64 geupdated. Seit dem läuft bei allen Systemen der NTP Dienst nicht mehr.
Im Log findet man nur
Code Select
2021-10-18T14:52:27 ntpd[32598] daemon child exited with code 1
2021-10-18T14:52:27 ntpd[47114] unable to bind to wildcard address :: - another process may be running - EXITING
#9
German - Deutsch / OpenVPN MultiWAN Umgebung
August 31, 2021, 09:24:56 AM
Hallo zusammen,
folgendes Szenario habe ich hier.
OPNsense mit 2 WAN Verbindungen, auf der OPNsense läuft ein OpenVPN Server.
Es ist kein Failover o.ä. konfiguriert.
WAN1(default GW) WAN2
| |
| |
| |
|------OPNsense-----|
Nun kann ich über WAN1 die VPN Verbindung aufbauen, das klappt alles. Wenn ich WAN2 als default GW hinterlege, kann ich diese auch über WAN2 aufbauen.
Nun möchte ich mich aber über WAN2 verbinden können, während WAN1 das default GW ist.
Dazu habe ich bereits den Haken bei "deaktivere Antwort-an bei WAN Regeln" gesetzt, aber leider ohne Erfolg.
Muss man dazu noch etwas umkonfigurieren?
folgendes Szenario habe ich hier.
OPNsense mit 2 WAN Verbindungen, auf der OPNsense läuft ein OpenVPN Server.
Es ist kein Failover o.ä. konfiguriert.
WAN1(default GW) WAN2
| |
| |
| |
|------OPNsense-----|
Nun kann ich über WAN1 die VPN Verbindung aufbauen, das klappt alles. Wenn ich WAN2 als default GW hinterlege, kann ich diese auch über WAN2 aufbauen.
Nun möchte ich mich aber über WAN2 verbinden können, während WAN1 das default GW ist.
Dazu habe ich bereits den Haken bei "deaktivere Antwort-an bei WAN Regeln" gesetzt, aber leider ohne Erfolg.
Muss man dazu noch etwas umkonfigurieren?
#10
Virtual private networks / What is more secure
June 08, 2021, 10:52:26 AM
For a S2S OpenVPN setup.
Should I use SHA3-512 or SHAKE256? or better RSA-SHA...?
What do you think is the better one?
Should I use SHA3-512 or SHAKE256? or better RSA-SHA...?
What do you think is the better one?
#11
German - Deutsch / WireGuard baut keine Verbindung auf
April 26, 2021, 08:37:57 AM
Hallo zusammen,
aktuell versuche ich eine weitere Wireguard Verbindung hinzuzufügen (2 sind bereits Vorhanden)
Folgende Situation:
FW1:
- hat bereits 2 laufende Wireguard S2S
- keine öffentliche IP
- baut sozusagen die Verbindung zur "Server" Seite auf
FW2:
- hat bisher keine Wireguard Verbindung
- hat eine öffentliche IP
- wartet sozusagen auf die Verbindung
Habe ich nun die Wireguard configs auf beiden Seiten eingerichtet und aktivere auf FW2 das logging taucht dort nichts auf. Es scheint also so als würde FW1 keinen Verbindungsversuch startet, trotz gesetztem KeepAlive
Die Configuration ist vom Prinzip her gleich mit denen der 2 laufenden Verbindungen - somit finde ich es irgendwie komisch
Hat jemand eine Idee?
aktuell versuche ich eine weitere Wireguard Verbindung hinzuzufügen (2 sind bereits Vorhanden)
Folgende Situation:
FW1:
- hat bereits 2 laufende Wireguard S2S
- keine öffentliche IP
- baut sozusagen die Verbindung zur "Server" Seite auf
FW2:
- hat bisher keine Wireguard Verbindung
- hat eine öffentliche IP
- wartet sozusagen auf die Verbindung
Habe ich nun die Wireguard configs auf beiden Seiten eingerichtet und aktivere auf FW2 das logging taucht dort nichts auf. Es scheint also so als würde FW1 keinen Verbindungsversuch startet, trotz gesetztem KeepAlive
Die Configuration ist vom Prinzip her gleich mit denen der 2 laufenden Verbindungen - somit finde ich es irgendwie komisch
Hat jemand eine Idee?
#12
German - Deutsch / OPNsense UDP Probleme
March 17, 2021, 11:46:20 AM
Hallo zusammen
ich habe 2 OPNsense miteinander Verbunden und möchte nun per RDP auf ein Geräte hinter der anderen OPNsense zugreifen
Gerät A nach B
Solange ich RDP über TCP laufen lasse klappt alles, bei UDP jedoch bricht die Verbindung ab und fängt sich nach kurzer Zeit wieder und läuft dann sauber weiter.
Jemand ne Idee?
Auf den ganzen Schnitstellen wird kein NAT gemacht.
Netzwerkplan:
172.16.0.2/24
172.16.0.1/24
+----------------------+
+--------------------+ | |
| | | |
| OPNsense A ------------------- OPNsense B |
| | | |
| | +-------------|--------+
+----|---------------+ | 192.168.2.1/24
192.168.1.1/24| |
| |
| |
| |
| |
\ |
| |
| |
| |
| |
| | 192.168.2.10/24
|192.168.1.10/24 +--|----+
+--|--+ | |
|PC A | | PC B |
| | | |
+-----+ +-------+
ich habe 2 OPNsense miteinander Verbunden und möchte nun per RDP auf ein Geräte hinter der anderen OPNsense zugreifen
Gerät A nach B
Solange ich RDP über TCP laufen lasse klappt alles, bei UDP jedoch bricht die Verbindung ab und fängt sich nach kurzer Zeit wieder und läuft dann sauber weiter.
Jemand ne Idee?
Auf den ganzen Schnitstellen wird kein NAT gemacht.
Netzwerkplan:
172.16.0.2/24
172.16.0.1/24
+----------------------+
+--------------------+ | |
| | | |
| OPNsense A ------------------- OPNsense B |
| | | |
| | +-------------|--------+
+----|---------------+ | 192.168.2.1/24
192.168.1.1/24| |
| |
| |
| |
| |
\ |
| |
| |
| |
| |
| | 192.168.2.10/24
|192.168.1.10/24 +--|----+
+--|--+ | |
|PC A | | PC B |
| | | |
+-----+ +-------+
#13
German - Deutsch / NAT Slipstreaming
March 11, 2021, 07:16:51 PM
Mal ne generelle Sicherheitsfrage:
Ist OPNsense betroffen ?
https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schlimmer-5078104.html
Ist OPNsense betroffen ?
https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schlimmer-5078104.html
#14
German - Deutsch / [GELÖST] Ungewöhnliches Routing Verhalten
February 02, 2021, 12:22:09 PM
Hallo zusammen,
ich bin aktuell dabei einen alten Router durch die OPNsense abzulösen
Der "Router ALT" soll ersetzt werden. Klappt auch soweit alles.
Allerdings habe ich für eine Archiv Software einen extra VPN Router im Netz, um diesen zu erreichen ist im bestehenden Router eine Route für das 80.80.80.80/32 an die 192.168.1.254/24 eingetragen.
Übernehme ich nun diese Einstellungen in die OPNsense und änder das Gateway des Clients auf die OPNsense bekomme ich in der Archiv Software einen "Socket Timeout". Ein tracert auf dem Client zeigt aber das gleiche Verhalten wie wenn ich den "Router ALT" benutze.
Erst an den Router/OPNsense danach an die 192.168.1.254
Als würde in der OPNsense das Routing komisch laufen, oder nicht für alle Pakete
Der Haken "Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle" ist bereits gesetzt.
Und hier einmal der Netzwerkplan
ich bin aktuell dabei einen alten Router durch die OPNsense abzulösen
Der "Router ALT" soll ersetzt werden. Klappt auch soweit alles.
Allerdings habe ich für eine Archiv Software einen extra VPN Router im Netz, um diesen zu erreichen ist im bestehenden Router eine Route für das 80.80.80.80/32 an die 192.168.1.254/24 eingetragen.
Übernehme ich nun diese Einstellungen in die OPNsense und änder das Gateway des Clients auf die OPNsense bekomme ich in der Archiv Software einen "Socket Timeout". Ein tracert auf dem Client zeigt aber das gleiche Verhalten wie wenn ich den "Router ALT" benutze.
Erst an den Router/OPNsense danach an die 192.168.1.254
Als würde in der OPNsense das Routing komisch laufen, oder nicht für alle Pakete
Der Haken "Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle" ist bereits gesetzt.
Und hier einmal der Netzwerkplan
Code Select
+----------+ +------------+
| | | |
| OPNsense | | Router ALT |
| | | |
+-----|----+ +--/---------+
192.168.1.10/24 192.168.1.1/24
| /
| |
| /
| / +-----------+
| / | |
Switch----------|-----|----------------------VPN Router |----------------- 80.80.80.80/32
+----------|----------+ |Archiv |
| +-----------+
| 192.168.1.254/24
|
/
|
|
|
|
|---------------+
| |
| |
| Windows Cient|
| |
| |
+---------------+
#15
21.1 Legacy Series / Can't change IDS Rules to drop
January 31, 2021, 05:53:40 PM
After the Upgrade I can't enable the IDS Rules for blocking
Before I could change it unter IDS->Download
But now there isn't a button to "enable drop" for the market rules
Before I could change it unter IDS->Download
But now there isn't a button to "enable drop" for the market rules
#16
21.1 Legacy Series / Postfix Log broken
January 31, 2021, 11:09:51 AM
Hi,
I upgraded some opnsense systems to 21.1 now. Everything went fine - thanks for that amazing work!
But after the upgrade my Postfix Log seems broken.
I can restart the service or send mails to Postfix but the log stays empty.
Does anyone has the same problem ?
Thanks:)
I upgraded some opnsense systems to 21.1 now. Everything went fine - thanks for that amazing work!
But after the upgrade my Postfix Log seems broken.
I can restart the service or send mails to Postfix but the log stays empty.
Does anyone has the same problem ?
Thanks:)
#17
General Discussion / Securing ACME Port 80
January 26, 2021, 04:29:21 PM
Hello,
does anyone having a List of ACME IPs or Alias Names.
I dont want to open Port 80 to the world, just to the LetsEncrypt Servers :)
does anyone having a List of ACME IPs or Alias Names.
I dont want to open Port 80 to the world, just to the LetsEncrypt Servers :)
#18
General Discussion / HAProxy Gateway Timeout
December 17, 2020, 10:26:54 AM
Hi,
i have my own WebServer running behind a HAProxy for SSL etc.
But on bigger Loads on my Webserver i get a "Gateway Connection Timeout".
Can i increase the Time until the HAProxy sends a Timeout?
i have my own WebServer running behind a HAProxy for SSL etc.
But on bigger Loads on my Webserver i get a "Gateway Connection Timeout".
Can i increase the Time until the HAProxy sends a Timeout?
#19
German - Deutsch / Verbindungsprobleme Status Einstellungen
November 05, 2020, 02:07:08 PM
Hallo zusammen,
in manchen Netzwerkumgebungen laufen einige Verbindungen nicht. Ich kann es aktuell nicht an einer bestimmten Netzwerkkonfiguration festmachen.
In den betroffenen Netzwerken können manche Verbindungen nicht aufgebaut werden, Webseiten gehen z.B. aber Mails abrufen nicht. Werden dann von der Default DENY Rule abgelehnt.
Sobald ich dort aber zusätzlich zur LAN->ANY Regel eine LAN->ANY Regel, mit der Option "Statustyp:Keiner" setze funktioniert auch in diesesn Netzen der gesamte Verkehr.
Hat jemand eine Idee woran das liegen kann?
Danke :)
in manchen Netzwerkumgebungen laufen einige Verbindungen nicht. Ich kann es aktuell nicht an einer bestimmten Netzwerkkonfiguration festmachen.
In den betroffenen Netzwerken können manche Verbindungen nicht aufgebaut werden, Webseiten gehen z.B. aber Mails abrufen nicht. Werden dann von der Default DENY Rule abgelehnt.
Sobald ich dort aber zusätzlich zur LAN->ANY Regel eine LAN->ANY Regel, mit der Option "Statustyp:Keiner" setze funktioniert auch in diesesn Netzen der gesamte Verkehr.
Hat jemand eine Idee woran das liegen kann?
Danke :)
#20
General Discussion / Rspam says MX Invalid
October 20, 2020, 08:48:20 AM
Hello,
i am having some Mails over Postfix and Rspam which get blocked, Rspam says "MX_INVALID (8)". But when I get the senders Domain and enter it on a page like "mxtoolbox.com" the page shows that the Domain has an valid MX Record.
Where is Rspam checking the MX Records? Or does it use the OPNsense configured DNS Server to check it?
i am having some Mails over Postfix and Rspam which get blocked, Rspam says "MX_INVALID (8)". But when I get the senders Domain and enter it on a page like "mxtoolbox.com" the page shows that the Domain has an valid MX Record.
Where is Rspam checking the MX Records? Or does it use the OPNsense configured DNS Server to check it?
