OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of pleibling »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - pleibling

Pages: 1 [2]
16
German - Deutsch / Nach umstellen auf neue Hardware - scheinbar Routingproblem
« on: August 19, 2023, 09:12:15 pm »
Hallo, derzeit habe ich eine OPNsense 23.7.1 auf VMware, diese funktioniert einwandfrei.

Nun habe ich mir jedoch eine Sophos UTM 230 Rev1 besorgt und würde gerne auf diese Umstellen - was ich mir eigentlich ganz einfach vorgestellt hatte.

Also den neuen LAN Port konfiguriert wie den ESXI LWL Uplink, verbunden - WAN Stecker vom Host auf die Sophos gesteckt und Konfig Ex-/Importiert.

Da vorher andere Netzwerkkarten waren einfach die entsprechenden Ports angepasst (vorher vmx0 bzw. vmx1, jetzt igb0 bzw. igb1).

Zugriff auf die UI ist nun möglich, und auch alle VLAN Interfaceadressen sind aus dem LAN erreichbar und ich sehe auch in den Logs alles.

Doch es kommt dennoch keine Verbindung zustande.Was seltsam ist, die opnsense scheint nun nicht mehr die angebundenen Netze (z.B. VLANs) direkt anzusprechen, sondern schickt den Traffik über das Default Gateway.

Wenn ich die OPNsense jedoch resete und einfach nur mal ein paar LAN Interfaces einrichte, dann sehe ich das der Traffik "intern geroutet wird" und nicht in Richtung default Gateway gesendet wird.

Die Einstellung sehen aber genau so aus, wie in der alten VM Version.

Habt ihr Ideen, was das sein könnte? Muss hier irgendetwas mit diesen Dynamic Gateways oder so eingestellt werden, oder hat die Sophos noch irgendwie Routen auf die alten Interfaces (vmx) angelegt und da die nicht mehr da sind, werden die über das Default Gateway gesendet?

Benötigt ihr mehr Infos und wenn ja, welche?

Danke für eure Hilfe.

17
German - Deutsch / Gesamten mobile VPN über Tunnel routen
« on: July 21, 2023, 08:20:26 am »
Hallo,

ich habe eine mobile VPN Konfiguration welche zuerst "nur" den Zugriff auf mein internes Netz erlaubte - diese funktionierte einwandfrei.

Nun möchte ich jedoch den gesamten Verkehr über diese Verbindung leiten.

Dazu habe ich einen Hacken bei Redirect Gateway gemacht, welcher mir dann die Lokale Netze deaktiviert hat (was ja auch richtig ist). Weiterhin habe ich die Firewallregel angepasst - diese ist wie folgt:

Action: Pass
Interface: OpenVPN
Direction: In
IP Version: 4
Protocoll: Any
Source: VPN Network
Destination: Any
Portrange: Any
Log: Aktiviert

Wenn ich nun die Verbindung starte und eine externe Webseite auf dem Client aufmache und anschließend in die Logs schauen, dann sehe ich wie die DNS Anfragen an die Firewall ok (grün) sind - die HTTPS Anfragen, werden jedoch gar nicht erst angezeigt.

Habe ich noch was vergessen?
Gehen Sie Packete überhaupt ins VPN wenn diese nicht im Log angezeigt werden?

Danke für eure Hilfe.

18
General Discussion / OTP activated: Is it possible to create a single User without OTP?
« on: July 13, 2023, 08:55:37 am »
Hello, i got a question - on my OPNsense i have OTP activated (System > Server > Local + Timebased One Time Password), but i want to create a user with an complex long Password, but without an OTP. Is this possible and if yes, how?

Many thanks for your help :).

19
German - Deutsch / Ist es möglich bestimmte Backends in HA Proxy zu begrenzen?
« on: July 03, 2023, 08:03:49 am »
Hallo,

ich habe mehrere Seiten über HAProxy WAF veröffentlicht. Jedoch möchte ich gerne das einige Verwaltungsseiten nur intern aufgerufen werden können. Ist es möglich dies zu begrenzen?

Danke für eure Unterstützung.

20
General Discussion / OPNsense has NAT Problem
« on: June 14, 2023, 08:59:39 pm »
Hi,

i have two Interfaces (Server vlan0.33 Tag 33 and Security vlan0.50 Tag 50).

Both are allowed via AutoNAT - Internetconnection from Servernetworks works via NAT - but Security not, the settings looks same.



21
General Discussion / NAT with Webserver behind a VPN Tunnel
« on: June 13, 2023, 08:55:07 pm »
Hello,

i need a little help. I this configuration:

Homelab: OPNsense
IP: 192.168.33.253/24
Webserver: 192.168.33.2

Remotenetwork: OPNsense
External IP: 84.19.28.246
Virtual IP: 84.10.28.245
Internal Network: 192.168.230.0/24

There is an OpenVPN Tunnel between the sites, thats work - i can tracert from the Webserver the Internal IP/External IP/Virtual IP from the remotenetwork.

The Homelab has the Tunnel IP 10.1.1.1, so i create a Gateway with this IP and add a route for the virtual IP (after then i can ping the virtual IP from the Webserver in Homelab).

Now i want to NAT from external Webclient via 84.19.28.245 to 192.168.33.2:443

Live view looks god, but i get not the Webpage.

Can anybody tell me where the problem is?

Thanks for your help.

22
German - Deutsch / [Solved] Problem OPNsense und Sophos UTM OpenVPN: TLS Handshake failed
« on: June 09, 2023, 11:37:54 am »
Hallo,

nachdem ein VPN Tunnel mit IPSec nicht möglich ist (Double NAT und Dynamic IP) wollte ich einen Tunnel zwischen einer OPNsense zuhause und der Sophos UTM in der Firma aufbauen (derzeit habe ich noch eine Sophos UTM im Einsatz, möchte aber auf die OPNsense umstellen - zwischen den UTMs klappt das ohne Probleme.

Dazu habe ich mich nach einer Anleitung gerichtet von SysOpsTV auf Youtube - diese ist leider nicht vollständig, damit es verständlicher und auch für mich sowie auch andere besser Verständlich ist, habe ich eine Anleitung erstellt (diese kann gerne auch hier im Forum verwendet oder gar verteilt werden)  und hochgeladen auf meine Site (ist zu groß für den Upload): https://www.leibling.de/wp-content/uploads/2023/06/230608-SSL-Tunnel-zwischen-OPNsense-und-Sophos-UTM.pdf

Doch leider habe ich dennoch Probleme, ich sehe in den Logs das versucht wird die Verbindung aufzubauen - jedoch bekomme ich Fehlermeldungen.

Hier benötige ich eure Hilfe, dazu habe ich mal die Logs von beiden Seiten angehangen (sensitive Bereiche habe ich verändert, ich bitte um Verständnis).

Logs der Sophos:

Code: [Select]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: MULTI: multi_create_instance called
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Re-using SSL/TLS context
2023:06:09-11:15:28 gw-lfd openvpn[22198]: LZO compression initialized
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Control Channel MTU parms [ L:1560 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:143 ET:0 EL:3 AF:3/1 ]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Local Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Local Options hash (VER=V4): 'xxxxxxx'
2023:06:09-11:15:28 gw-lfd openvpn[22198]: Expected Remote Options hash (VER=V4): 'yyyyyyy'
2023:06:09-11:15:28 gw-lfd openvpn[22198]: TCP connection established with [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444)
2023:06:09-11:15:28 gw-lfd openvpn[22198]: TCPv4_SERVER link local: [undef]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: TCPv4_SERVER link remote: [AF_INET]92.200.246.14:11294
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER READ [14] from [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TLS: Initial packet from [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444), sid=b5d194db e18e0a8e
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER WRITE [26] to [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0 DATA len=0
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER READ [299] from [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_V1 kid=0 [ 0 ] pid=1 DATA len=273
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER WRITE [22] to [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_ACK_V1 kid=0 [ 1 ]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER WRITE [1184] to [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_V1 kid=0 [ ] pid=1 DATA len=1170
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER WRITE [1184] to [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_V1 kid=0 [ ] pid=2 DATA len=1170
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER WRITE [816] to [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_CONTROL_V1 kid=0 [ ] pid=3 DATA len=802
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 TCPv4_SERVER READ [26] from [AF_INET]92.200.246.14:11294 (via [AF_INET]185.35.x.x:444): P_ACK_V1 kid=0 [ 1 0 ]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 Connection reset, restarting [0]
2023:06:09-11:15:28 gw-lfd openvpn[22198]: 92.200.246.14:11294 SIGUSR1[soft,connection-reset] received, client-instance restarting
2023:06:09-11:15:28 gw-lfd openvpn[22198]: TCP/UDP: Closing socket
Und hier die Logs der OPNsense:

Code: [Select]
2023-06-09T11:14:39 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:39 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:39 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:39 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:39 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:39 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:39 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:39 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:31 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:31 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:31 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:31 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:31 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:31 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:30 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:30 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:26 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:26 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:26 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:26 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:26 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:26 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:26 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:26 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:24 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:24 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:24 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:24 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:24 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:24 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:24 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:24 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:23 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:23 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:23 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:23 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:23 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:23 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:23 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:22 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:22 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:22 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:22 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:22 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:22 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:21 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:21 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:20 Error openvpn_client1 Fatal TLS error (check_tls_errors_co), restarting
2023-06-09T11:14:20 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:20 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:20 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:20 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:20 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:20 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:20 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:19 Error openvpn_client1 TLS Error: TLS handshake failed
2023-06-09T11:14:19 Error openvpn_client1 TLS Error: TLS object -> incoming plaintext read error
2023-06-09T11:14:19 Error openvpn_client1 TLS_ERROR: BIO read tls_read_plaintext error
2023-06-09T11:14:19 Error openvpn_client1 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2023-06-09T11:14:19 Error openvpn_client1 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=de, L=Duesseldorf, O=Company, CN=Company VPN CA, emailAddress=p.leibling@company.de, serial=1735613419994xxxxxx
2023-06-09T11:14:19 Warning openvpn_client1 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023-06-09T11:14:19 Warning openvpn_client1 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-06-09T11:14:19 Warning openvpn_client1 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-06-09T11:14:19 Warning openvpn_client1 WARNING: using --pull/--client and --ifconfig together is probably not what you want
2023-06-09T11:14:19 Warning openvpn_client1 WARNING: file '/var/etc/openvpn/client1.up' is group or others accessible
2023-06-09T11:14:19 Warning openvpn_client1 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

Die Zertifikate sehen jedoch für mich gut aus, wenn ich die Zeichenketten als CRT speichere (Ca und das eigene Cert), dann kann ich die anzeigen lassen - es werden die Informationen usw. angezeigt und kein Lesefehler. Den privaten Schlüssel weiß ich nicht, wie ich den prüfen könnte.

Seht ihr welche Probleme, oder habt ihr Ideen wie man weiter prüfen könnte?

Danke für eure Unterstützung.

23
German - Deutsch / Frage zu 2FA mit Reverse Proxy
« on: March 03, 2023, 09:04:42 am »
Guten Morgen,

ich beschäftige mit seit kurzem mit der OPNSense Firewall, da ich meine Sophos UTM ablösen möchte. Diese erfüllt mit der Home Lizenz zwar alleine meine Anfoderungen - jedoch habe ich ein Projekt begonnen welches sich FreeSOC nennt. Dort geht es um den Aufbau eines SOC mittels open Source mitteln (ist noch im Aufbau: https://www.leibling.de/it-sicherheit/) - auch drumherum würde ich gerne Open Source mittel verwenden und bin so nach einiger Recherche bei der OPNSense gelandet und eruiere gerade den Funktionsumfang.

Ich habe gesehen, das man WAF mittels HAProxy bereitstellen kann - ist es jedoch auch möglich einige Seiten mittels 2FA zu schützen? In der Sophos kann man bestimmte Seiten der WAF beim Reverseproxy den Zugriff per Authentifizierung schützen und der wenn der User 2FA aktiviert hat, dann wir auch diese verwendet:

https://www.leibling.de/owa-und-ecp-mit-sophos-per-2fa-bzw-otp-zusaetzlich-schuetzen/

Auf der Dokuseite habe ich gesehen, das dies auch bei Usern einstellbar ist - auch das der Webproxy geschützt werden kann. Würde ich nun so deuten, das dies bei der OPNSense nicht möglich ist - liege ich da richtig?

Danke für eure Unterstützung.
https://docs.opnsense.org/manual/two_factor.html

Pages: 1 [2]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2