Messages

16

24.1 Legacy Series / HA cluster goes haywire after 24.1.1 [solved]

« on: February 11, 2024, 01:21:39 pm »

Hello everyone,

Since updating to 24.1.1, I have had massive problems with my HA cluster. As soon as I put the second node into operation, my entire network goes down.

It doesn't matter which of the two nodes is the active one. As soon as both instances are online, I have permanent crashes in the entire network. According to my Unifi switch, the ports are probably all blocked due to STP. However, I was only able to see this briefly once, as I can no longer access my Unifi controller as soon as both nodes are active.

I have already read a lot about problems with the new 24.1 but not yet about this issue. At the moment I don't quite know how to debug it to find out what the problem is.

17

General Discussion / HAProxy - Forbid root path but allow subpaths

« on: December 07, 2023, 01:05:48 pm »

Hello everyone,

I am using a Proxmox Mail Gateway behind HAProxy.

This sends a spam report to the users once a day. The spam report contains a link that is structured something like this:

https://spamreport.domain.com/quarantine?ticket=hjdsah233eda35f4we5f4few

If the link is called up, the user ends up in his spam quarantine and the link changes statically to:

https://spamreport.domain.com/quarantine#pmgSpamQuarantine

My problem is that when someone accesses the top level domain https://spamreport.domain.com, the Proxmox Mailgateway login screen appears, which is also used for administration.

This login screen should not be accessible from the internet, as the users work with tickets as mentioned above.

I have already tried several things here to block only the root directory, unfortunately without success. According to Chat-GPT, the following REGEX would be the solution:

Code: [Select]

acl allow_quarantine path_reg -i ^/quarantine[?#].+
http-request allow if allow_quarantine
http-request deny

but unfortunately HA Proxy says that the synthax is wrong.

Does anyone have any advice on how to implement this?

18

High availability / Public IP-Range as VIP/CARP

« on: July 20, 2023, 02:29:59 pm »

Hello all,

we just replaced two Sophos XG with two OPNsense in the data center.

In the data center there are only the two firewalls, a switch and a NAS which takes our backup. For this reason there is also a small /29 subnet here.

Currently the config looks like this:

OPNsense VIP: 172.16.21.1/29
Switch: 172.16.21.2/29
OPNsense node1: 172.16.21.3/29
OPNsense node2: 172.16.21.4/29
NAS: 172.16.21.5/29

Everything works fine so far.

Now we have received a public IP range /29 from the data center.

Currently the WAN interfaces are configured as follows:

OPNsense node1: 88.74.150.2
OPNsense node1: 88.74.150.3

the other Public-IP addresses are stored as CARP VIP.

My question is, if I can configure the first two IPs (88.74.150.2, 88.74.150.3) also as CARP.

My thought behind this is that if the cluster swapped, node2 is also reachable with 88.74.150.2. However, I am currently not sure what I need to configure on the physical interface if I want to use ALL public IPs as CARP.

19

Virtual private networks / Re: [Solved] Site-2-Site IPsec very slow

« on: April 24, 2023, 02:14:59 pm »

I have been able to find the error in the meantime.
The problem on the UTM side was the flood protection.

I turned it off and now everything works fine. An exception, which was always configured for the subnets has curiously not worked. Since the UTM will sooner or later be switched to OPNsense, this is enough for me for now.

20

German - Deutsch / Re: Monit verschickt keine E-Mails

« on: April 19, 2023, 08:07:19 am »

TOP! Das hat mir sehr weitergeholfen. Über den Tunnel ging er wirklich nicht aber über die Public IP. Der Fehler war am Ende aber die falsch angegebene Log-Datei im Monit. Bin wohl einer älteren Anleitung gefolgt.

Nun klappt es. Danke dir!

21

German - Deutsch / Re: Monit verschickt keine E-Mails

« on: April 18, 2023, 11:18:13 pm »

Danke für deine Antwort.

Könntest du mir ein CLI Beispiel für den TCP Dump geben? 

Die Öffentliche IP habe ich ja ebenfalls versucht aber auch da kommt nichts an.

22

Virtual private networks / [Solved] Site-2-Site IPsec very slow

« on: April 18, 2023, 02:38:07 pm »

Hello all,

I recently switched to OPNsense and have two IPsec tunnels set up.

Unfortunately I get a maximum transfer rate of 300 kB/s with both tunnels. I have already searched everything here but could not find a solution for me that brings me even close to a higher data throughput.

The OPNsense is running on a Sophos SG135 hardware appliance and should have enough performance. The processor is at least bored to death - also the tunnels always ran flawlessly when Sophos UTM was in use. I had also played around with the encryptions, unfortunately without success.

I have now read several times about "normalization" and also entered different values for IPsec at the point in the OPN. Unfortunately, this did not change anything for me, neither in a positive nor in a negative way.


Side A - builds the tunnels:
OPNsense on a 1.000/50 asymmetric line

Side B:
Sophos UTM on a 1.000 symmetric line.

Side C:
Sophos UTM on a 1.000 symmetric line


I am currently a bit in despair.

23

Virtual private networks / Re: [Solved] Site-2-Site IPsec between OPNsense/Sophos UTM

« on: April 18, 2023, 02:14:01 pm »

I was able to "solve" the problem in the meantime.
I changed the direction once and let the Sophos build the tunnel. The routes were set directly. Curiously, it now also works in the other direction, i.e. when the OPNsense sets up the tunnel.

Since the UTM will also be replaced by OPNsense, I will not investigate this further for the time being.

24

German - Deutsch / [Gelöst] Monit verschickt keine E-Mails

« on: April 15, 2023, 11:27:58 pm »

Hallo zusammen,

ich versuche mich gerade via Monit über bestimmte Dinge per Mail informieren zu lassen.

Als Mailserver nutze ich den Relay Server einer Sophos UTM. Die interne, sowie die WAN IP meiner OPNsense ist auf der UTM zum Relay berechtigt.

Ich habe mir nun verschiedene Alerts eingestellt und diese auch bewusst provoziert (z.B. fehlerhaften Login). Leider aber scheint die OPNsense keine E-Mails zu verschicken, zumindest kommt auf der UTM kein Verbindungsversuch an; egal ob intern oder extern.

In den Logs der OPNsense sehe ich auch keine Fehlermeldung, dass die Mail nicht oder überhaupt versucht wurde zugestellt zu werden.

Hat jemand einen Tipp, was ich falsch gemacht haben könnte?

Als Server Adresse habe ich bereits die interne (erreichbar via bestehendem IPsec-Tunnel) sowie die externe IP der UTM eingetragen. Auch Port 25 und 465 (UTM horscht auf beide) habe ich getestet.

25

German - Deutsch / Re: ioBroker via Reverse Proxy - Websocket

« on: April 15, 2023, 11:19:59 pm »

Hast du mal in die NGINX HTTP Fehler Logs geguckt?
Hast du security policy filter bei dir eingerichtet? Eventuell sind die Filter dafür verantwortlich.
Ich kenne ioBroker nicht, aber ich hatte das phänomen auch vor kurzem bei nextcloud. Da musste ich meine Filter nochmal anpassen um mich anmelden zu können.

In den HTTP Logs steht nur "no data available"

Mit Filter meinst du die WAF? Die habe ich aktuell noch nicht aktiviert. Wollte mich, wenn es einmal generell geht, langsam hochhangeln.

Mal advanced aktiviert (oben im UI) und websocket Support (müsste es irgendwo ne checkbox geben) aktiviert?

Das ist zumindest das Einzige, was man bei Websockets speziell machen muss.

Unter Locations > WebSocket Support ist angehakt.

26

German - Deutsch / ioBroker via Reverse Proxy - Websocket

« on: April 12, 2023, 05:49:26 pm »

Hallo zusammen,

ich versuche aktuell, die Visualisierung meines ioBrokers über den Reverse Proxy (Nginx) für die mobile App freizugeben. Am HAproxy bin ich komplett gescheitert.

Beim Nginx habe ich nun alle nötigen Dienste nach Außen veröffentlichen können nur der Websocket scheint nicht zu laufen. Ich komme auf die Anmeldemaske aber hier passiert, auch nach der Eingabe meiner Credentials, nichts mehr.

Ich habe mir hierzu schon einen Wolf gegoogelt und komme einfach nicht weiter bei dem Thema.

In Summe gibt es zwei Ports, welche freigegeben werden müssen. Der Webserver horcht auf 8082. Nach der Authentifizierung erfolgt ein Websocket auf 8400.

Ich habe für beide Dienste die jeweiligen Einträge im Nginx angelegt und bei Port 8400 in den advanced settings auch den Haken bei Websocket gesetzt. Auf die Anmeldeseite komme ich, aber von hier geht es dann nicht weiter -> keine Reaktion.

Das Verhalten kenne ich von emienr alten FW. Hier musste ich für Port 8400 auch nur den Haken setzen, Websockets durchzulassen und es lief sofort. Leider habe ich aber bisher bei meinen Suchen keine funktionierende Lösung für mich finden können und hoffe daher, dass einer von Euch eine ähnliche Config zum Laufen gebracht hat.

27

German - Deutsch / Re: IPsec OPNsene -> Sophos UTM

« on: April 12, 2023, 05:25:43 pm »

Danke für deine Antwort.

Ich konnte in der Zwischenzeit feststellen, dass die OPNsense keine Routen angelegt hat. Ein manuelles Anstoßen, die Routen zu setzen, via CLI hat zwar funktioniert (die Routen waren sichtbar), doch leider ging immer noch kein Traffic über den Tunnel. Auf der UTM kam auch nichts an.

Ich konnte das Ganze nun so lösen, dass nicht die OPNsense den Tunnel aufbaut sondern die UTM. Das klappte auf Anhieb und nun funktioniert alles.

Sicherlich nicht ganz elegant, dem Thema nicht weiter auf den Grund zu gehen aber besagte UTM wird bald auch gegen eine OPNsense ersetzt. Von daher passt das erst mal für mich.

28

Virtual private networks / [Solved] Site-2-Site IPsec between OPNsense/Sophos UTM

« on: April 10, 2023, 05:31:53 pm »

Hello all,

I am in the process of actively switching from Sophos UTM to OPNsense.

I had prepared everything on a second appliance and I am now live with OPNsense. In fact, everything is working fine so far.

Unfortunately, however, I'm biting my teeth now for two days on a Site-2-Site IPsec to a Sophos UTM.

My OPNsense establishes the connection to a remote UTM. The remote UTM has a static public IP.

The tunnel is shown as active on both sides. However, I cannot reach the other from either side. Even pings do not work. Since I have replaced the UTM at home, but all networks remain the same, all rules should also fit. I have also double checked the firewall on both sides several times and everything seems to go through.

I'm now to the point where it looks to me like the OPNsense isn't setting the routes correctly. A traceroute always wants to send traffic to the remote subnet through my gateway, which in this case is a Fritzbox.

Has anyone had similar experiences or even got an IPsec working between OPNsense and Sophos UTM?

29

German - Deutsch / IPsec OPNsene -> Sophos UTM

« on: April 10, 2023, 11:28:53 am »

Hallo zusammen,

ich versuche seit zwei Tagen vergeblich einen IPsec Tunnel zwischen der OPNsense und einer Sophos UTM ans Laufen zu bekommen.

Der Tunnel an sich war kein Problem.

Beide Seiten zeigen an, dass der Tunnel up ist. Jedoch kann ich keine Verbindungen zu der jeweiligen anderen Seite aufbauen. Auch Pings funktionieren nicht.

Ich habe schon alles mögliche probiert. Auch ein Gateway und eine statische Route anglegt. Leider alles ohne Erfolg. Auch finde ich nicht wirklich etwas hilfreiches zum Thema OPNsense und Sophos UTM.

Ich hoffe daher, dass jemand von Euch noch einen Tipp für mich hat.

30

German - Deutsch / Re: Verständnisfrage für einen Newbie

« on: April 02, 2023, 01:58:14 am »

Hallo uneu,

vielen Dank für deine Antwort.

Eine Verständnisfrage noch: muss ich auf ausgehenden Subnetzen auch eine ausgehende Regel erstellen, wenn ich z.B. vom Einen in das Andere Subnetz will?

Beispiel:

Raspberry aus Subnetz IoT soll auf NAS im LAN zugreifen.

Ich würde nun eine Regel auf dem LAN Interface bauen die besagt:

LAN - IN - Source: Raspberry - Destination: NAS = Pass

Muss ich nun auf dem IoT Subentz auch eine Regel bauen die besagt:

IoT - OUT - Source: Raspberry - Destination: LANnet = Pass ?