Topics

Hallo,

hab mir die Anleitungen zum Shaper gelesen, und verstehe die grundlegende Funktionalität.
Nun versuche ich mal die Regeln zu konfigurieren.

Wie gehe ich das beim Einsatz vom HAproxy an? Als Beispiel: Download-Seite lautet download.company.com, und den Download-Request der aus dem Internet (!) kommt will ich mit 80mBit begrenzen. Das Verkehr Netzintern soll natürlich nicht gebremst werden.
Shaper braucht eine lokale IP. Aliase oder FQDNs funktionieren nicht.
Wie würde ich so eine Regel machen oder geht das gar nicht?
Ich habe auch bei HAproxy nachgeschaut, finde auch nichts zum Traffic Shaping (oder bin ich blind?).
Was definitiv funktioniert ist die Begrenzung des Traffics wenn dieser an der Maschine initiiert wird.

PS. Ich hatte das falsche Interface ausgewählt  ::)

Hallo,

irgendwas mach ich bestimmt falsch, sehe aber nicht ganz durch.
Im LAN sind grundlegend Geräte die die DCs als DNS verwenden sollen.
Daher würde ich auch gerne nun sichergehen, dass auch die Anfragen die eventuell fälschlicherweise woanders (zB. direkt) gehen würden, korrekt zum DC umgeleitet werden.
Daher ein Rule im Port Forwarding:
LAN   TCP/UDP   *   *   ! Domain_Controllers    53 (DNS)   Host_DC01     53 (DNS)   DNS Redirection
Das dürfte ja reichen, oder?
Nun wenn ich das mache, ist DNS tot glaub ich (ich versuche grad nur von zu Hause zu konfigurieren, da bin ich nur Remote am System, ich kann nur sagen dass ich mich ab dem Moment auf die Maschine nicht mehr per Remote verbinden kann, aber das reicht mir erstmal als Test).

Hallo,

gibt's ne Möglichkeit die ntopng täglich zu automatisieren?
Ich kenne die Einstellung für automatische firmware updates, aber das aktualisiert ja nicht den ntopng?

Danke

Hallo,

soweit ich danach gesucht habe, sollten Unix traceroutes sein. Ich bekomme so ca. jede 1-2 Sekunden so ein Paket am WAN Port.

Wie verhält man sich der Sache gegenüber? Soll ich einfach ein Blockrule als Floating erstellen, Logging abdrehen und gut ist? Oder Reject?

Hello,

I hope it's fine if I post this here too, I did in the German forum also.
Since the upgrade to 21.7.1 (following the upgrade path via GUI), DNS doesn't resolve over IPsec Tunnel. Meaning: I have overrides on my OPNsense for certain domains in the company, to over company DC, which is behind another OPNsense (21.4.2). This has worked up to the upgrade to 21.7.1 on my own OPNsense without a problem.

This is an excerpt from the Level 4 Log in Unbound:
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: mesh_run: validator module exit state is module_finished   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: cannot validate non-answer, rcode SERVFAIL   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: comm point start listening 177 (-1 msec)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 50169   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: iter_handle processing q with state QUERY TARGETS STATE   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=33175   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: error sending query to auth server ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 61877   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: serviced query UDP timeout=376 msec   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: EDNS lookup known=0 vs=0   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: sending query: dc01.internal.domain.com. AAAA IN   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: selrtt 376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)

I anonymized the domain.
I checked couple of things:
Access Lists, which only list local networks, seem fine. There is no entry for the remote network.
I tried setting All (Recommended) for Outgoing Interfaces and also Network Interfaces, that doesn't help.
Tried deactivating Suricata, Sensei and HAproxy just for test, no help (I suspected Suricata might play some role, but nothing in there really).
Checked the IPsec SAs, they seem to be established fine.
DNS Lookup in the Diagnostics doesn't work (??), simply does nothing.
Ping -> DC from PC OK, Ping from Firewall -> DC fails (what the...??).
--- 10.10.11.11 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

It is quite obvious that it's since the update only, so either I am missing something or some new feature or there is a bug.

Can someone help please?

Thank you.

EDIT: it seems it's not only DNS. For instance, I can ping the remote server, but I can't access it, not even RDP via IP.
However, I do seem to be able to connect from the company to my work-computer at home.

EDIT2: the source of the problem seems to be the inability of the home firewall to reach the domain controller (or any other device) on the remote network(s).

Hallo,
seit dem Upgrade meiner OPNsense auf 21.7.1 geht mein IPsec Tunnel mit der anderen OPNsense (Business) zwar, ich kann die IPs auf dem anderen Ende anpingen, aber die DNS Auflösung ist tot.
Ich habe die Overrides geprüft, drinnen sind sie, aber hat sich was geändert dass das plötzlich nicht gehen würde?

Das sehe ich im Log (Level4):
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: mesh_run: validator module exit state is module_finished   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: cannot validate non-answer, rcode SERVFAIL   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: comm point start listening 177 (-1 msec)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 50169   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: iter_handle processing q with state QUERY TARGETS STATE   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=33175   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: error sending query to auth server ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 61877   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: serviced query UDP timeout=376 msec   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: EDNS lookup known=0 vs=0   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: sending query: dc01.internal.domain.com. AAAA IN   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: selrtt 376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)

Domain ist anonymisiert.

Access List enthält nicht 10.10.11.0/24 Netz, aber denke nicht dass das jemals der Fall war.
Ich habe versucht allerdings einen Eintrag zu erstellen -> kein Erfolg.
Ich habe auch Outgoing Interfaces auf All (Recommended) gestellt -> kein Erfolg (sonst nur nach Bedarf, üblicherweise LAN und gewisse VLANs).
Network Interfaces in Unbound haben sich nicht geändert, hier sind LAN, VLANs, OpenVPN und WG Zugriff drin. Grund für nicht All ist dass ich eine VPN Anbindung habe, die den Unbound als DNS nicht benutzen darf.

Suricata deakitivert. Sensei deaktiviert.

Ideen bitte?

Danke

Hallo,

wir haben eine neue Tel-Anlage, und diesmal ist es eine komplette VOIP Anlage.
Gibt es etwas (außer Shaping) worauf man bei OPNsense achten muss?

Hallo,

kann die OPNsense lokale IPs von einem DC resolven (also reverse lookup, IP->FQDN), zB. in der Firewall?

Hallo,

anschließend an das Thema mit dem VPN Router, wollte ich auf dem Transfernetz-Gateway ein Health-Check einrichten.
Nur, die Pings funktionieren nicht. Liegt nicht an der Firewall. Also die IPs sind 10.146.35.1 (OPNsense) und 10.146.35.2 (VPN Router).
Wenn ich auf Interfaces/Diagnostics/Ping einen Ping vom Transfersnetz-GW auf 10.146.35.2 auslösen, fail.
Jedoch vom LAN funktioniert es.
Das liegt vermutlich daran, dass der Cisco VPN Router so konfiguriert ist, dass die Pings nur vom lokalen LAN kommen können, also ich kann aus dem LAN die 10.146.35.2 pingen.
Kann ich den Gateway irgendwie einrichten dass er die Health-Check pings vom LAN versendet?

Hallo,

damit ich es bitte richtig verstehe, was kommt zuerst? Firewall oder Port Forward?
Ist mir etwas unklar, wenn ich ein Paket bei WAN sehe, und ich weiß wo der hinsoll, mach ich erstmal Port Forward oder zuerst WAN eingehend erlauben? Oder beides?

Beispiel:
Paket kommt auf Port 4567 rein. Klopft am WAN address.
Damit ich das erlaube, muss ich als Dest WAN address Port 4567 erlauben.
Ohne was am WAN zu machen, mache ich Port Forward 4567 -> Server -> 4567
Damit ändert sich die Destination im Live View, zu dem Server eben.
Jetzt müsste ich beim Rule "Server" als Destination eingeben.

Danke

Hallo,

sag mal, bin ich komplett bescheuert, und ist das Icon für den AD-Sync einfach mal weg?
https://docs.opnsense.org/manual/how-tos/user-ldap.html
Unter Step 4, das kleine Icon fehlt bei mir.
Beim Erstsetup gestern war noch drin, dann habe ich es genutzt, gewisse Benutzer bezogen, aber manche nicht übernommen, die möchte ich jetzt aber nachziehen.
Das Icon ist aber weg.

Wie krieg ich das bitte hin?

EDIT:
Erstmal suchen, dann posten!  ::) ::) ::)
https://forum.opnsense.org/index.php?topic=9801.0

Hello,

I hope this is the right place. I am using HAproxy for SSL offloading for internal and external GUIs.
I migrated to the OPNsense, however I have issue with the same config as I used to have on the Sophos, our previous firewall.
I have two sites that both have internally 443, however I used to get to one via another port.
Doing that works, the site answers, however the site gets redirected to 443 and also picks some other certificate, one of the other sites used in HAproxy.
There is only one WAN IP, however different FQDNs, of course.
My understanding is mostly basic, what I know from reading off the net and tutorials.
I would expect it to "sort" the access according to the FQDN and then retain the port at which HAproxy serves the site (and of course the cert).
Is that possible at all?

An example:
site1.domain.com:443 -> server1.internal.domain.com:443
site2.domain.com:4343 -> server2.internal.domain.com:443

I'm only reluctant to post real domains and ports, so these are just examples.

Hallo,

bin etwas perplext, warum greift dieses Rule nicht?
Screenshots folgen.

Hallo,

kleine SNAT Hilfe bitte.
IKE2 Policy IPsec Tunnel Site A-B.
Site A: 192.168.11.0/24
Site B: 10.146.32.0/24
Site C: 10.246.157.0/24
Damit Site C von Site A zugegriffen werden kann, muss Site A IP in Site B IP übersetzt werden, SNAT.

Auf Sense Site B:
Interface   Source   Source Port   Destination   Destination Port   NAT Address   NAT Port   Static Port
IPsec   192.168.11.0/24    *   10.246.157.0/24     *           LAN address   *   NO

Stimmt das so? Bisher kriege ich es nicht hin, aber das müsste stimmen, korrekt?

Hallo,

ist es normal wenn ich auf der Sense bei der Abfrage des AD seltsame Zeichen bekomme?
Etwa so:
usercertificate => 0�,0��
o�����՗z��0  *�H��

0`10
(aber deutlich mehr Zeilen)
Weiter unten kommen dann weniger seltsame Zeichen, aber definitiv nicht so wie in der Anleitung.

Lt. Anleitung soll es die Gruppen anzeigen:
https://docs.opnsense.org/_images/ldap_testok.png

Wenn ich Read Properties nicht anhake, sieht normal aus, aber halt ohne Gruppen-Info.

Hallo,
durch unsere Struktur kommt dazu, dass wir einen remote Server haben, der unsere Telefonieanlage kontaktiert, und sendet auf Port 7222 TCP Pakete (NCTI / UC Server). Da es sich aber um das interne, und nicht WAN, Interface handelt, wird reingelassen, aber blockt natürlich die Antwort auf dem entsprechenden LAN-Interface.
Die Anlage der Regeln wie üblich wirkt nicht.
Was mache ich falsch?

Hallo Leute,

benötige ein bisschen Hilfe zum Aufbau eines IPsec Tunnels.
Grundsätzlich so:

Code Select Expand


      .-----+-----.  Site A
      | OPNsense| LAN: 192.168.11.0/24, GW: 192.168.11.254
      '-----+-----'  WAN: 80.1.1.1
            |
            |
      .-----+------.
      |  WAN       |
      '-----+------' 
            |
            |
      .-----+------.  Site B
      | OPNsense | WAN: 200.1.1.1
      '-----+------'  LAN: 10.146.32.0/24, GW: 10.146.32.254
       



Log ist sauber.
Die Verbindung kommt zustande.
Aber, ich kann nichts erreichen. Kein Ping, keine Verbindung, mein Remote, SMB, nix.
Firewall blockt nix.
Die Einstellungen in beiden Firewalls sind gleich und nach OPNsense Anleitung gemacht.

Aus dem Log ziehe ich das mal raus:
2021-07-20T23:23:31   charon[55884]   15[IKE] <con1|4> CHILD_SA con1{4} established with SPIs c744b7d9_i c4c97c7b_o and TS 10.146.32.0/24 === 192.168.11.0/24
...
2021-07-20T23:23:31   charon[55884]   15[IKE] <con1|4> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding

Drinnen sieht man auch PSK auth successful.

Paar Konfig-Screenshots.

Bisher hatte ich Sophos-OPNsense IKEv1 laufen, problemlos. Die schwarze OPNsense ist Site B, weiße OPNsense ist Site A.

Hallo,

wenn ich DHCP Relay aktiviere, kann ich kein DHCP mehr aktivieren, ist das korrekt?
Ich tät bevorzugen DHCP für Gast, IOT usw auf der Sense zu haben, aber wenn ich den Relay aktiviere, geht's nicht mehr. Relay geht auf den DC, dort möchte ich aber nicht zwingend die Gast-Netze abbilden.
Was wäre die Alternative?

Hallo,

die Frage halte ich erstmal kurz:
Weiß jemand ob es möglich ist, die OPNsense als Hauptfirewall zu haben und eine Sophos UTM nur für WLAN?
Die Access Points sind 4x Sophos AP55 die die Sophos UTM als "Controller" haben (sie funken ohne UTM nicht).

Die Funktionalität sollte so etwa wie ein Unifi Controller + Access Points sein.
Die Sophos macht grundsätzlich nix anderes außer WLAN-Zugang und VLAN Tagging (kein Routing oder NAT) und reicht weiter an die OPNsense. Die Anbindung kann sowohl via Switch wie auch direkt gemacht werden.

Also, geht das?

Hi,

have you ever thought of creating an alternative UI, possibly adaptable?
Instead of having circles, rather have one or two straight lines (similar to circle and inner circle in some reports). Text-Reports (now right from the circle) could be simply in one slim line above.
For me the advantage would be possibly more visible reports at one time, especially if one would turn the screen to portrait.
Of course, it's just a suggestion.