OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Hunduster »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - Hunduster

Pages: [1]
1
24.7 Production Series / IPsec loses connection every 24 hours
« on: October 19, 2024, 11:04:20 am »
Hello everyone,

I currently have a problem with IPsec VPN under 24.7.6.

My IPSec tunnels go offline after about 24 hours. The log only shows gnoring
Code: [Select]
IKE_SA setup from 58.147.46.77, per-IP half-open IKE_SA limit of 5 reached for all my 5 tunnels.

Also, the service cannot be restarted via the GUI, so I have to restart the entire node once.
Nothing has changed on my tunnels since the update, none have been added, none have been removed and no values have been changed.

Is the error already known somehow? Unfortunately I could not find anything about it.

2
Intrusion Detection and Prevention / [solved] Problem with inbound TLS connection
« on: March 01, 2024, 01:45:21 pm »
Hello everyone,

I have a problem with one of my mail gateways behind an OPNsense and two Internet connections.

WAN 1 - COLT fiber
WAN 2 - Vodafone DOCSIS

Both connections have fixed IP addresses. On each OPNsense, a static IP is entered on the WAN interfaces and the remaining IP addresses are created as CARP.

I have two mail gateways behind the firewall, where port 25 is forwarded to the gateways via DNAT. One CARP IP is forwarded to gateway 1 and one CARP IP to gateway 2. The rules are otherwise identical.

The whole thing works perfectly with the COLT connection. With the Vodafone connection, I cannot establish a TLS connection, only plain. With various TLS checks I always get the same error message:
Code: [Select]
Cannot convert to SSL (reason: SSL wants a read first)
So something is really messing up here.

I have already deactivated all possible security features such as IPS/IDS and Zenarmour. It's no use. The logs also show nothing. Firewall and DNAT rule let all packets through.

I'm slowly running out of ideas where else to look.

3
High availability / HA with two public subnets
« on: February 22, 2024, 01:03:09 pm »
Hello everyone,

I need your help for once.

I have two OPNsense running in an HA cluster. Both nodes are connected to a fiber optic connection.

On this connection we have two public 29 subnets, each with a gateway IP in the respective subnet.

Node 1 has the first public IP from subnet 1 and is running.
Node 2 has the first public IP from subnet 2 and is not coming out.

Each node shows its gateway as online but only Node 1 has Internet access.

Node 2 can only access the Internet if I deactivate the gateway from subnet 1, even though it is offline and I have set Auto Detect to Gateway 2 on the interface.

Can anyone explain why this is the case?

4
24.1 Legacy Series / HA cluster goes haywire after 24.1.1 [solved]
« on: February 11, 2024, 01:21:39 pm »
Hello everyone,

Since updating to 24.1.1, I have had massive problems with my HA cluster. As soon as I put the second node into operation, my entire network goes down.

It doesn't matter which of the two nodes is the active one. As soon as both instances are online, I have permanent crashes in the entire network. According to my Unifi switch, the ports are probably all blocked due to STP. However, I was only able to see this briefly once, as I can no longer access my Unifi controller as soon as both nodes are active.

I have already read a lot about problems with the new 24.1 but not yet about this issue. At the moment I don't quite know how to debug it to find out what the problem is.

5
General Discussion / HAProxy - Forbid root path but allow subpaths
« on: December 07, 2023, 01:05:48 pm »
Hello everyone,

I am using a Proxmox Mail Gateway behind HAProxy.

This sends a spam report to the users once a day. The spam report contains a link that is structured something like this:

https://spamreport.domain.com/quarantine?ticket=hjdsah233eda35f4we5f4few

If the link is called up, the user ends up in his spam quarantine and the link changes statically to:

https://spamreport.domain.com/quarantine#pmgSpamQuarantine

My problem is that when someone accesses the top level domain https://spamreport.domain.com, the Proxmox Mailgateway login screen appears, which is also used for administration.

This login screen should not be accessible from the internet, as the users work with tickets as mentioned above.

I have already tried several things here to block only the root directory, unfortunately without success. According to Chat-GPT, the following REGEX would be the solution:

Code: [Select]
acl allow_quarantine path_reg -i ^/quarantine[?#].+
http-request allow if allow_quarantine
http-request deny

but unfortunately HA Proxy says that the synthax is wrong.

Does anyone have any advice on how to implement this?

6
High availability / Public IP-Range as VIP/CARP
« on: July 20, 2023, 02:29:59 pm »
Hello all,

we just replaced two Sophos XG with two OPNsense in the data center.

In the data center there are only the two firewalls, a switch and a NAS which takes our backup. For this reason there is also a small /29 subnet here.

Currently the config looks like this:

OPNsense VIP: 172.16.21.1/29
Switch: 172.16.21.2/29
OPNsense node1: 172.16.21.3/29
OPNsense node2: 172.16.21.4/29
NAS: 172.16.21.5/29

Everything works fine so far.

Now we have received a public IP range /29 from the data center.

Currently the WAN interfaces are configured as follows:

OPNsense node1: 88.74.150.2
OPNsense node1: 88.74.150.3

the other Public-IP addresses are stored as CARP VIP.

My question is, if I can configure the first two IPs (88.74.150.2, 88.74.150.3) also as CARP.

My thought behind this is that if the cluster swapped, node2 is also reachable with 88.74.150.2. However, I am currently not sure what I need to configure on the physical interface if I want to use ALL public IPs as CARP.

7
Virtual private networks / [Solved] Site-2-Site IPsec very slow
« on: April 18, 2023, 02:38:07 pm »
Hello all,

I recently switched to OPNsense and have two IPsec tunnels set up.

Unfortunately I get a maximum transfer rate of 300 kB/s with both tunnels. I have already searched everything here but could not find a solution for me that brings me even close to a higher data throughput.

The OPNsense is running on a Sophos SG135 hardware appliance and should have enough performance. The processor is at least bored to death - also the tunnels always ran flawlessly when Sophos UTM was in use. I had also played around with the encryptions, unfortunately without success.

I have now read several times about "normalization" and also entered different values for IPsec at the point in the OPN. Unfortunately, this did not change anything for me, neither in a positive nor in a negative way.


Side A - builds the tunnels:
OPNsense on a 1.000/50 asymmetric line

Side B:
Sophos UTM on a 1.000 symmetric line.

Side C:
Sophos UTM on a 1.000 symmetric line


I am currently a bit in despair.

8
German - Deutsch / [Gelöst] Monit verschickt keine E-Mails
« on: April 15, 2023, 11:27:58 pm »
Hallo zusammen,

ich versuche mich gerade via Monit über bestimmte Dinge per Mail informieren zu lassen.

Als Mailserver nutze ich den Relay Server einer Sophos UTM. Die interne, sowie die WAN IP meiner OPNsense ist auf der UTM zum Relay berechtigt.

Ich habe mir nun verschiedene Alerts eingestellt und diese auch bewusst provoziert (z.B. fehlerhaften Login). Leider aber scheint die OPNsense keine E-Mails zu verschicken, zumindest kommt auf der UTM kein Verbindungsversuch an; egal ob intern oder extern.

In den Logs der OPNsense sehe ich auch keine Fehlermeldung, dass die Mail nicht oder überhaupt versucht wurde zugestellt zu werden.

Hat jemand einen Tipp, was ich falsch gemacht haben könnte?

Als Server Adresse habe ich bereits die interne (erreichbar via bestehendem IPsec-Tunnel) sowie die externe IP der UTM eingetragen. Auch Port 25 und 465 (UTM horscht auf beide) habe ich getestet.

9
German - Deutsch / ioBroker via Reverse Proxy - Websocket
« on: April 12, 2023, 05:49:26 pm »
Hallo zusammen,

ich versuche aktuell, die Visualisierung meines ioBrokers über den Reverse Proxy (Nginx) für die mobile App freizugeben. Am HAproxy bin ich komplett gescheitert.

Beim Nginx habe ich nun alle nötigen Dienste nach Außen veröffentlichen können nur der Websocket scheint nicht zu laufen. Ich komme auf die Anmeldemaske aber hier passiert, auch nach der Eingabe meiner Credentials, nichts mehr.

Ich habe mir hierzu schon einen Wolf gegoogelt und komme einfach nicht weiter bei dem Thema.

In Summe gibt es zwei Ports, welche freigegeben werden müssen. Der Webserver horcht auf 8082. Nach der Authentifizierung erfolgt ein Websocket auf 8400.

Ich habe für beide Dienste die jeweiligen Einträge im Nginx angelegt und bei Port 8400 in den advanced settings auch den Haken bei Websocket gesetzt. Auf die Anmeldeseite komme ich, aber von hier geht es dann nicht weiter -> keine Reaktion.

Das Verhalten kenne ich von emienr alten FW. Hier musste ich für Port 8400 auch nur den Haken setzen, Websockets durchzulassen und es lief sofort. Leider habe ich aber bisher bei meinen Suchen keine funktionierende Lösung für mich finden können und hoffe daher, dass einer von Euch eine ähnliche Config zum Laufen gebracht hat.

10
Virtual private networks / [Solved] Site-2-Site IPsec between OPNsense/Sophos UTM
« on: April 10, 2023, 05:31:53 pm »
Hello all,

I am in the process of actively switching from Sophos UTM to OPNsense.

I had prepared everything on a second appliance and I am now live with OPNsense. In fact, everything is working fine so far.

Unfortunately, however, I'm biting my teeth now for two days on a Site-2-Site IPsec to a Sophos UTM.

My OPNsense establishes the connection to a remote UTM. The remote UTM has a static public IP.

The tunnel is shown as active on both sides. However, I cannot reach the other from either side. Even pings do not work. Since I have replaced the UTM at home, but all networks remain the same, all rules should also fit. I have also double checked the firewall on both sides several times and everything seems to go through.

I'm now to the point where it looks to me like the OPNsense isn't setting the routes correctly. A traceroute always wants to send traffic to the remote subnet through my gateway, which in this case is a Fritzbox.

Has anyone had similar experiences or even got an IPsec working between OPNsense and Sophos UTM?

11
German - Deutsch / IPsec OPNsene -> Sophos UTM
« on: April 10, 2023, 11:28:53 am »
Hallo zusammen,

ich versuche seit zwei Tagen vergeblich einen IPsec Tunnel zwischen der OPNsense und einer Sophos UTM ans Laufen zu bekommen.

Der Tunnel an sich war kein Problem.

Beide Seiten zeigen an, dass der Tunnel up ist. Jedoch kann ich keine Verbindungen zu der jeweiligen anderen Seite aufbauen. Auch Pings funktionieren nicht.

Ich habe schon alles mögliche probiert. Auch ein Gateway und eine statische Route anglegt. Leider alles ohne Erfolg. Auch finde ich nicht wirklich etwas hilfreiches zum Thema OPNsense und Sophos UTM.

Ich hoffe daher, dass jemand von Euch noch einen Tipp für mich hat.

12
German - Deutsch / Verständnisfrage für einen Newbie
« on: April 01, 2023, 12:07:15 am »
Hallo zusammen,

ich bräuchte einmal Hilfe als vollkommener Neuling in OPNsense.

Ich bin selber ITler und habe früher die Sophos UTM geatmet. Diese ist nun zu 2026 endgültig abgekündigt, sodass ich für zuhause nach einer Alternative gesucht habe (auf der Arbeit geht es nun Richtung Fortinet) und die OPNsense gefällt mir richtig, richtig gut  :)

Die OPNsense habe ich mir nun auf einer zweiten Sophos XG Appliance installiert und das läuft auch richtig gut.

Nachdem ich nun mein Regelwerk soweit "abgeschrieben", habe ich heute den ersten Test gemacht, in dem ich einmal alles umgesteckt habe. Leider komme ich aus meinen verschiedenen Subnetzen nicht mal ins Internet. Die OPNsense selber funkt fröhlich ins Internet während alle anderen angeschlossenen Clients laut Log mit "   Default deny / state violation rule" geblockt werden.

Was mich an der Stelle wundert, und mir nicht ganz aufgeht: kommt ein Datenpaket aus dem LAN, zeigt die OPN es als "incoming" auf dem LAN interface an. Meine Regeln besagen (nach meiner eigenen Logik) jedoch:

"Kommst du aus dem LAN -> machst 80/443 -> willst RAUS ins Internet = PASS"

Aber auch, wenn ich die Regel von OUT auf IN umstelle, komme ich zum Verrecken nicht raus.

Als UTM Admin ist es neu für mich, auf jedem Interface die Regeln zu definieren, aber passt. Was mir nur nicht aufgeht ist die Logik hinter den einzelnen Regeln. Werden die angeschlossenen Clients hinter den Interfaces nicht als "vertrauenswürdig" eingestuft, sodass ich auch eingehende Regeln für jeden Client erstellen muss, der das Interface seines Subnetzes passiert?

Bin für jeden Gedankenanstoß dankbar!




Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2