Topics

Hallo Forum!

Obwohl ich OPNsense schon eine ganze Zeitlang betreibe, habe ich noch nie die DHCP Funktion benutzt oder gebraucht. Soweit ich sehe gibt es da verschiedene Optionen. Keadhcp, ISC oder DNSmasq.

Welcher für welchen Zweck oder ist das egal bzw. Geschmacksache?

Danke für eure Tipps!

Hallo OPNsensler!

Ich brauche bitte Nachhilfe im Umgang mit OPNsense - OpenVpn und dem Umgang mit den OpenVpn Zertifikaten.

Ich betreibe einen OPEN-Vpn Server auf einer Sense der einwandfrei funktioniert.

Nun sind bei einigen Usern die Zertifikate abgelaufen und ich kriege die Sache nicht in den Griff.

Ich habe nach Googeln eine Revocation List erstellt und dem OPENVPN Server zugewiesen.

Dann habe ich verschiedenes probiert:

1. Das abgelaufene Zertifikat gelöscht und ein neues erstellt die Konfig dann exportiert und auf dem Client importiert. Beim Login kommt immer noch Zert abgelaufen!

2. Das Zert auf die Revocation List gesetzt, wieder ein neues Zert erstellt, dann ex und importiert. Gleiches ergebnis - Zert abgelaufen.

3. Dann habe ich aufgehört um das Chaos nicht noch größer zu machen (wahrscheinlich war es falsch das abgelaufene Zertifikat als erstes zu löschen).

Meine Frage/Bitte kann jemand kurz erläutern wie die richtige Vorgehensweise ist? Oder mir eine Quelle nennen wo ich das nachlesen kann?

Vielen Dank für eure Hilfe!

MfG RO

Hallo Forum!

Ist es prinzipiell möglich auf einer OPNsense Openvpn mit Ldap Anbindung an Windows AD und OPNvpn Site to Site Verbindungen "nebeneinander" zu betreiben oder schließt sich das gegenseitig aus?

Danke für eure Antworten!

Hallo Forum!

Seit ich mit OPNsense arbeite bin ich auf der Suche nach einer ReverseProxy Plugin Lösung die mit Exchange 2016 funktioniert.

Habe gehört, dass das mit Caddy funktionieren soll?

Ist das so?

Wo könnte ich mich da einlesen?

Gibts vielleicht ein Howto?

Danke!

Hallo Forum!

Ein IPsec Tunnel funktioniert nach Upgrade auf OPNsense 24.7.3_1-amd64 nicht mehr.

Der Tunnel lief zwischen zwei OPNsensen mit jeweils fester IP ohne Nat dazwischen bis zum durch geführten Upgrade auf einer der beiden Sensen.

Die andere läuft noch mit OPNsense 24.1.8-amd64.

Interessanterweise meldet die 24.7 einen Tunnelaufbau von Phase 1 die andere 24.1 zeigt nur ein rotes Kreuz und logt nach einem manuellen Verbindungversuch:    12[IKE] <con2|17> received NO_PROPOSAL_CHOSEN notify error

Zum aufbau der Phase 2 kommt es gar nicht mehr

Auf den Systemen laufen verschiedene andere Tunnel teilweise OPNsense zu OPnsense oder auch zu Lancom, Checkpoint problemlos.

Wo kann ich hier die Fehlersuche ansetzen?

Danke für Tipps!

Hallo Forum!

In OPNsense 24.7.3_1 ist anscheinend os-api-backup nicht mehr verfügbar???

Das wäre für mich sehr schade, da ich meine sense konfigs mit hilfe des Plugins sichere.

Oder bin ich zu doof um das Plugin zu finden?

Danke!

Hallo OPNsensler!

Ich betreibe ca. 10 IPsec Site to Site Tunnel mit zt. OPNsensen und Lancom Routern auf der Partnerseite.

Diese Tunnel laufen weitgehend stabil.

Allerdings weisen alle Tunnel unregelmäßig Ping-Ausfälle, 2-3 Pings fallen aus, auf. Die Störungen treten in allen Tunneln auf unabhängig vom Partner (OPNsense oder Lancom).

Die Internet Verbindung Tkom Glasfaser scheint zu diesem Zeitpunkt stabil (keine Ping Ausfälle bei Pings auf externes Ziel).

Danke für Tipps!

Hallo Forum!

Wie kann ich prüfen ob meine Sense au der aktuellen Version läuft?

Hintergrund ist, das ein Ipsec Tunnel plötzlich nicht mehr will.

Ich bin unsicher ob der Fehler nach dem letzten Update aufgetreten ist und ggf. damit zusammenhängt.

Nun checke ich jeden Tag ob es neue Updates gibt es gab aber relativ lange wohl keine neuen Updates.

Ich bin unsicher ob meine sense vielleicht aber nur keine findet obwohl welche da wären.

Wie kann ich prüfen ob meine sense aktuell ist?

Meine sense meldet V. 24.1.9_4

Danke für eure Tipps!

Hallo Forum!

Ich habe von Vodafone Kabel auf Tkom Glasfaser umgestellt.

Habe einige OPnsense Glasfaser Howtos gelesen. Richtig schlau bin ich bis in die letzte Instanz daraus leider nicht geworden.

Ich habe es am Ende aber hingekriegt - bis auf meine Ipsec Tunnel.

Meine jetzige Konfig:

Tkom Glasfaser Modem - Proxmox VM OPNsense hat feste IP von der TKOM.

VTNet0 Lan

VTnet1 Wan - Glasfaser Modem (OPNsense macht Vlan7 selber)

---

Wan interface steht auf PPPoe die alte NAT Konfig (Portforwardings) funktioniert ohne das ich etwas ändern musste.

Soweit gut.

IPsec Tunnel sind von aussen erreichbar aber von innen nach aussen geht IPsec nicht.
Wenn ich ein Tunnel Netz anpinge, tut sich im IPseclog gar nichts. (tail -f /var/log/ipsec/latest.log)

Wo gehen die Pings hin?

Leider habe ich zuwenig Kenntnisse um hier weiter zu kommen.

Für Tipps wäre ich sehr dankbar.

Ich habe jetzt den mekwürdigen Effekt, dass nach einem Reboot der Sense eine zeitlang ein Ping auf einen entfernten Tunnel möglich ist.

Das geht eine zeitlang, dann nicht bis ich wieder reboote  >:(






Danke!

Hi People!

I placed this posting also in the german forum. I hope this is ok!?

I recently changed my internet provider to glassfiber.

Ipsec is now not working.

The main reason for this is I guess that the public IP of the opnsense changed from a public IP adress to a private IP because the router that is placed before the OPNsense cannot provide it in the way the other that I used with cable could do.

The tunnels now connect and it looks like everything is working but I can't ping from either side.

All other portforwardings (mail server and so on) work well so I think the exposed host function the router provides and which points to the OPNsense is functional.

I tried a lot but nothing worked.

Can anybody help?

Hallo Forum!

Nach einem Wechsel von Kabel Vodafone auf Tkom Glasfaser funktionieren IPsec Tunnel nicht mehr.

Alte Konfig:
Vodafone-Kabel-Fbox mit fester IP vor OPNsense. OPNsense war Exposed Host der Fbox. Die externe IP der OPNsense war eine öffentliche IP4adresse. Vodafone stellte ein mininetz zur Verfügung.
Ipsectunnel haben funktioniert.

OPNsense selbst lief und läuft unter Proxmoxvirtualisierung.

Neue Konfig:
Telekom Glasfaser Modem dann OPNsense mit fester externer IP. OPNsense macht das Vlan7 für die Tkom selbst
IPsectunnel bauen zwar verbindungen auf aber ein Ping in die Netze ist nicht möglich!
Andererseits kann die Gegenseite meine internen IPs anpingen.
Die Firewallregeln betr. Ipsec sind nach der offiziellen Doku angelegt und haben wie schon gesagt mit der alten Konfig funktioniert.
Wenn ich einen Ping ins "gegnerische" Netz absetze geschieht im Ipsec Log gar nichts.
Ich konnte bis jetzt aber nicht herausfinden wer die Pings "schluckt".
Wahrscheinlich ein Firewall Problem.
Leider fehlen mir Kenntnisse wie ich das herausfinden kann.
Der Rest der Natkonfig (Portforwardings) funktioniert ohne dass ich an der Konfig was ändern musste.

Ich finde den Fehler nicht.

Ich habe aber nach langem probieren keine Idee mehr wo ich ansetzen kann.

Hat jemand von euch eine Idee?

Danke!

Hallo Forum!

Ich habe in meiner OPNsense Failover mit 2 Wananschlüssen Glasfaser und LTE konfiguriert.

Dann habe ich in der Firewall eine Gruppe mit den 2 Wananschlüssen konfiguriert.

Diese Gruppe will ich den Portforwarding Regeln verwenden.

Was muss ich nun unter Ziel eintragen Wangruppe Adresse gibt es ja nicht.

Danke!

Hallo!

Ich betreibe eine OPNsense mit 5 externen IP Adressen 4 davon habe ich als virtuelle IPS auf dem Wan Interface eingetragen.

Nun muss ich Portforwardings konfigurieren.

Ich wähle als Ziel eine der Virtuellen IPs aus.

Wenn ich das tue meldet bsbw. eine 3cx Telefonanlage, die sich im Lannetzwerk befindet, beim Firewalltest Fehler.

Nehme ich die erste Ip (die nicht virtuelle) als Ziel dann funktioniert alles.

Wie konfiguriere ich ein Portforwarding mit einer Virtuellen WanIP korrekt?

Danke!

Hallo!

Wie konfiguriere ich eine OPNsense zur Verwendung mit mehreren externen IP Adressen?

Ich habe mehrere ähnliche Threads gefunden brauche aber bitte weitere Infos!

Die OPnsense stehr hinter einem, vom Provider gelieferten, Mikrotik Router.

Der Provider stellt ein kleines Netz xxx.xxx.xxx.xxx/29 zur Verfügung.

Somit sind 5 externe Ips für uns nutzbar.

Die Anbindung ans Inet funktioniert und läuft im moment über die erste der 5 Ipadressen.

Die anderen 4 IP Adressen sind ungenutzt.

Es gibt im Moment ein Lan und ein Wan Interface.

Die Konfig des Mikrotik Routers liegt ausserhalb meiner Reichweite scheint aber für den Zweck korrekt zu sein (Portforwardings auf der OPNsense konfiguriert funktionieren).

Ich habe gelesen, dass man in einem solchen Setup die übrigen IPs als virtuelle Ips konfigurieren soll!?

Wie genau muss ich das machen? aAs IPalias auf dem Wan Interface?

Wo bsbw. kann ich das detailliert nachlesen?

Sind (falls das mit den virtuellen Ips stimmt) noch weitere Schritte notwendig?

Ich hoffe ich konnte das Problem verständlich und vollständig darstellen!

Ich hatte bisher noch nie mit dieser Problemstellung zu tun.

Danke!

Hallo OPNsensler!

Ich müsste auf eine OPNsense Zugriff auf das Webinterface mittels einer SSH Verbindung aufbauen.

Die OPNsense steht in einem anderen Netz auf das ich Remote nur noch Zugriff auf die dortige OPNsense mittels SSH habe.

Ich müsste dort ein Portforwarding einrichten um Remote wieder Zugriff auf einen Host zu bekommen.

Dazu brauche ich Zugriff auf die GUI oder geht das auch über SSH?

GUI wäre mir natürlich lieber.

Danke!

Hallo opnsensler!

Ist es möglich auf einer opnsense ein Openvpn Site to Site und Openvpn Client Einwahl nebeneinander zu betreiben?

Danke für Infos!

Hallo OPNsensler!

Kennt jemand ein gutes Tutorial in dem das neue Ipsec Interface erklärt wird?

Ich benutze immer noch das Legacy Interface möchte aber gerne das neue benutzen.

Danke für eure Infos!

Hallo!

Ich habe Suricata nun seit einigen Tagen am laufen!

Ich bemerke jetzt die ziemlich großen Logs!

Wie geht ihr mit diesen Logs um?

Ich habe logrotate jetzt auf einen Tag eingestellt.

Gibt es eigentlich eine möglichkeit die Logs automatisch auszulagern, sodass immer nur das aktuelle Log auf der sense liegt und die anderen beispielsweise auf einem FTP-Server?

Hallo opnsensler!

Habe gerade suricata eingerichtet. Eicar Virus wird erkannt und geblockt. Das läßt mich glauben, dass ich nichts allzu grobes falsch gemacht habe.

Ich arbeite zum erstenmal mit einem IDS.

Jetzt frage ich mich was ich an Rulesets aktivieren soll gibts da einen Tipp für Anfänger oder wo kann ich das nachlesen?

Die Howtos erklären zwar die Installation teilweise sehr gut aber die Rulesets werden oft nur gestreift.

Danke für eure Hilfe bzw. Tipps!

Hallo opnsensler!

Auf einer opnsense (Patchstand vom 06.09.23) habe ich das Crowdsec Plugin installiert.

Der FirewallBouncer läuft aber nicht!

Hier ein Auszug aus dem Log:

root@OPNsense:~ # tail /var/log/crowdsec/crowdsec-firewall-bouncer.log
time="06-09-2023 10:43:42" level=debug msg="[headers] Date : [Wed, 06 Sep 2023 08:43:42 GMT]"
time="06-09-2023 10:43:42" level=debug msg="[headers] Content-Length : [30]"
time="06-09-2023 10:43:42" level=debug msg="[headers] Content-Type : [application/json; charset=utf-8]"
time="06-09-2023 10:43:42" level=debug msg="Response: HTTP/1.1 403 Forbidden\r\nContent-Length: 30\r\nContent-Type: application/json; charset=utf-8\r\nDate: Wed, 06 Sep 2023 08:43:42 GMT\r\n\r\n{\"message\":\"access forbidden\"}"
time="06-09-2023 10:43:42" level=error msg="API error: access forbidden"
time="06-09-2023 10:43:42" level=info msg="Shutting down backend"
time="06-09-2023 10:43:42" level=info msg="flushing 'crowdsec' table(s)"
time="06-09-2023 10:43:42" level=info msg="pf table clean-up: /sbin/pfctl -t crowdsec_blacklists -T flush"
time="06-09-2023 10:43:42" level=info msg="pf table clean-up: /sbin/pfctl -t crowdsec6_blacklists -T flush"
time="06-09-2023 10:43:42" level=fatal msg="process terminated with error: stream api init failed"

Reboot und Uninstall-Reinstall habe ich schon gemacht.

Habt Ihr Ideen - Vielen Dank im voraus!