Topics

1

22.7 Legacy Series / CARP doesn't answer / ARP broadcast storm

« on: January 30, 2023, 01:17:30 pm »

Hello,

we are running OPNsense in a HA-cluster, virtualiced under Proxmox VE. Our master and backup each have a configured ip-address on their interfaces, because we are using the dhcp function. The VIPs on all of our interfaces are gateway ip adresses.

After checking our routes and traffic we saw that we are getting a lot of ARP-requests from our DHCP-server.
Because of that we have some performance issues.
It is literally an ARP broadcast storm. Around 30% of our packages are ARP-requests from our master maschine.

Another problem should be that while doing a tracert into the internet our master maschine answers the first hop instead of the gateway address.

After looking through some threads here and on the proxmox site i think it has something to do with the MAC spoofing, but i am not sure if it really has something to do with it.
I know for a fact that on ESXi and Hyper-V you need to allow MAC address spoofing / MAC changes. But for Proxmox the option for MAC Filter is located under the firewall.

So here is my question. Do i need to enable the MAC Filter under Proxmox to solve our problems with CARP or is there another way to solve them?

Greetings

2

General Discussion / Captive Portal no automatic redirect

« on: July 14, 2022, 02:31:43 pm »

Hello,

our captive portal does not lead to the login page of the captive portal when connecting to the WLAN, the clients are allowed directly into the Internet without a login.

It somehow looks as if no CP is activated on the interface.
However, if I enter the IP address of the interface on the OPNsense with port 8000, the CP login page loads normally and I can log in there. A session can also be seen in the OPNsense.

We noticed the problem when we updated from version 21.7 to 22. Unfortunately, even a pure new installation with the transfer of the old configuration does not work. I also tested different version of 22, but all tests have the same results.

Deleting and recreating the entire configuration in the Captive Portal Administration also does not help.
We have already tested an "Allow any any" rule in the firewall rules and also directly entered ports 8000-10000 for the captive portal page.

The assigned interface in the Captive Portal is correct, the settings are correct, but somewhere has to be a misconfiguration.

Due to the size and complexity of our currently existing machines, we would like to avoid reconfiguring the machines from scratch -> We have around 70 different interfaces actively running with quite large sets of rules.

Unfortunately, we're a bit at the end of our rope there.

3

German - Deutsch / Captive Portal ohne Redirect

« on: July 13, 2022, 10:38:52 am »

Hallo,

unser Captive Portal leitet bei der Verbindung mit den WLAN  nicht auf die Login-Page vom Captive Portal, die Clients werden ohne Login direkt in das Internet gelassen.

Es wirkt irgendwie so, als wenn auf dem Interface kein CP aktiviert ist.
Gebe ich allerdings die IP-Adresse des Interfaces auf der OPNsense mit dem Port 8000 an, dann lädt die Login-Page von CP ganz normal und ich kann mich dort anmelden. Auch dann ist in der OPNsense eine Session zu sehen.

Das Problem ist bei uns aufgefallen, als wir von Version 21.7 auf 22 geupdatet haben. Auch eine reine Neuinstallation mit der Überspielung der alten Konfiguration funktioniert leider nicht.

Auch hilft eine Löschung und Neuanlegung der ganzen Konfiguration in der Captive Portal Administration nicht.
Bei den Firewall-Regeln haben wir schon eine "Allow any any"-Regel getestet und auch direkt die Ports 8000-10000 für die Captive Portal Page eingetragen.

Aufgrund der Größe und der Komplexität unserer derzeit bestehenden Maschinen möchten wir es gerne vermeiden, die Maschinen von Grund auf wieder neu zu konfigurieren -> Haben ca. 70 verschiedene Interfaces aktiv am laufen mit recht großen Regelwerk.

Leider sind wir da mit unserem Latein ein bisschen am Ende.

4

German - Deutsch / Keine Weiterleitung auf Captive Portal Login Page

« on: March 30, 2022, 04:26:35 pm »

Hallo zusammen,

seit unbekannter Zeit funktioniert bei uns im Netz die Weiterleitung zur Login-Page von Captive Portal nicht mehr. Der Fehler ist nur zufällig aufgefallen.

Wir haben bei uns 2 Zones angelegt für verschiedene Benutzergruppen.
Die Anzeige von der Login-Page geht über die Ports 8000 und 8001 noch. Auch eine Anmeldung auf dem manuell geöffnetem Captive Portal geht. Nach der Anmeldung werden die Sessions unter Captive Portal angezeigt. Auch in den Log-Files ist die Authentifizierung zu sehen.

Das große Problem ist jetzt, dass die Verbindung auf den Netzen so durchgeht. Heißt also, es können sich alle mit dem Netz verbinden und bekommen direkt eine Internetverbindung. Der Redirect auf die Login-Page des Captive Portals geht nicht.

Was ich schon probiert habe:
- Löschung der Datenbank unter /var/captiveportal/ und unter /conf
- Neuanlegung der Zonen
- Überprüfung DNS, die Redirect-Seiten können aus dem Netz werden -> msftconnecttest.com / microsoftconnecttest.com

Im DHCP-Server ist als DNS die Schnittstelle des Netzes eingetragen, auf dem das Captive-Portal läuft. Die Schnittstelle läuft über den Unbound DNS. Eine Internetverbindung kann ja aufgebaut werden.
In der Firewall sind die Ports 8000 -  10000 für das Catpive Portal freigegeben. Auch mit einer "Allow any any"-Regel habe ich leider keinen Erfolg verzeichnen können.

Wir haben in unserem System 2 OPNsense-Maschinen im HA-Cluster am laufen, die beiden virtuellen Maschinen sind auf der Version 22.1.4_1.
Durch das Update kommt der Fehler nicht, bei einem anderen Kunden haben wir das gleiche System im Einsatz, dort geht das Captive Portal noch.

Eine Neuinstallation der Maschinen kommt nicht in Frage, da dies unsere Router-/DHCP-Maschine im Netzwerk ist.

Was können wir tun bzw. wo liegt der Fehler?

5

German - Deutsch / Captive Portal falscher Redirect

« on: February 19, 2021, 01:38:18 pm »

Hallo,

wir haben bei einer Schule 2 Captive Portals eingerichtet. Ein CP ist für SchülerInnen, das andere CP ist für LehrerInnen.

Die Konfiguration der CP ist an sich richtig, da es mit den Einstellungen anfangs funktioniert hat.

Das Problem was wir haben, ist dass das Captive Portal von Zone0 auch gleichzeitig das Captive Portal von Zone1 vorgibt.

Heißt also, wenn ich mich als Lehrer anmelden will (Zone0) funktioniert alles. Als Schüler werde ich auf das CaptivePortal der Lehrer redirectet. Somit geht hier auch nur die Anmeldung der Lehrer.

Eine komplette Neueinrichtung des CP hat nichts gebracht, das CP (egal wie viele) redirectet immer zum CP Zone0.

Ich vermute, dass das Problem durch das Update von 20.7 auf 21.1 aufgetreten sein muss, da in der Zwischenzeit nichts anderes verändert wurde.

Wo liegt hier das Problem? Kann mir einer weiterhelfen?

6

German - Deutsch / Captive Portal Error

« on: January 28, 2021, 09:46:08 am »

Hallo,

bei der Einrichtung Captive Portal bekommen wir den Fehler: "error reloading captive portal template"

In den Log-Files des Systems steht dazu folgendes:
[138ba1b1-e348-4333-a3cc-3b65acc0b03a] Inline action failed with OPNsense/Captiveportal OPNsense/Captiveportal/lighttpd-zone.conf 'collections.OrderedDict object' has no attribute 'ipaddr' at Traceback (most recent call last): File "/usr/local/opnsense/service/modules/template.py", line 264, in _generate content = j2_page.render(cnf_data) File "/usr/local/lib/python3.7/site-packages/jinja2/environment.py", line 1090, in render self.environment.handle_exception() File "/usr/local/lib/python3.7/site-packages/jinja2/environment.py", line 832, in handle_exception reraise(*rewrite_traceback_stack(source=source)) File "/usr/local/lib/python3.7/site-packages/jinja2/_compat.py", line 28, in reraise raise value.with_traceback(tb) File "/usr/local/opnsense/service/modules/../templates/OPNsense/Captiveportal/lighttpd-zone.conf", line 29, in top-level template code {% do cp_zone_item.update({'redirect_host':'http://'+cp_zone_item.interface_hostaddr + ':' ~ (cp_zone_item.zoneid|int + 8000) ~ '/index.html'}) %} jinja2.exceptions.UndefinedError: 'collections.OrderedDict object' has no attribute 'ipaddr' During handling of the above exception, another exception occurred: Traceback (most recent call last): File "/usr/local/opnsense/service/modules/processhandler.py", line 506, in execute return ph_inline_actions.execute(self, inline_act_parameters) File "/usr/local/opnsense/service/modules/ph_inline_actions.py", line 51, in execute filenames = tmpl.generate(parameters) File "/usr/local/opnsense/service/modules/template.py", line 341, in generate raise render_exception File "/usr/local/opnsense/service/modules/template.py", line 332, in generate for filename in self._generate(template_name, create_directory): File "/usr/local/opnsense/service/modules/template.py", line 267, in _generate raise Exception("%s %s %s" % (module_name, template_filename, render_exception)) Excep

Zu unserem System:
Wir haben 2 OPNsense-Maschinen im HA-Cluster im Einsatz, die wir gerade erst neu installiert und eingerichtet haben.
Das Captive Portal kommt mit der ersten Standardeinrichtung auf einem WLAN-Interface für die Benutzer. Das Template dafür haben wir aus der alten OPNsense genommen. Auch die Verwendung von anderen Templates ändert an der Meldung nichts.

Sobald wir kein Captive Portal eingerichtet haben, kommt der Fehler nicht mehr. Erstellen wir nur ein Captive Portal ohne Einstellungen vorzunehmen bzw. nur ein Template hinzufügen und die Einstellung Speichern kommt wieder der Fehler.

Die beiden OPNsense-Maschinen sind auf Version 20.7.8 und komplett upgedatet.Ein Revert von lighttpd auf ältere Versionen bringt auch keine Änderung.

Viele Grüße