Topics

Hallo an die Runde,

seit Update auf die Firmware 25.3.1 wird mir beim os-speedtest-community Plugin "falsch konfiguriert" angezeigt (Plugin Version 0.9_6). Das Plugin funktioniert jedoch meiner Meinung nach einwandfrei.

Eine Neu-Installation brachte keine Änderung. Das Problem hat sich mit 25.3.4 nicht geändert. Auf einer zweiten, ident konfigurierten Opnsense tritt die gleiche Fehlermeldung auf.

Hat noch jemand das Problem identifiziert?

Grüße
neuling10



 

Hallo an die Runde,

zuerst zu meinem Setup:
Wireguard Site to Site Verbindung zwischen 2 Opnsense Firewalls. Beide Opnsese sind mit je einem Router im Bridge Mode verbunden, die eine dynamische, öffentliche IP vom ISP erhalten. Die Wireguard Verbindung ist aufgrund der dynamischen öffentlichen IPs mit DynDNS Domains aufgebaut. Das Setup funktioniert, ich kann von Site A auf das LAN von Site B zugreifen und umgekehrt.
LAN IP Range Site A: 10.100.1.1/16. Die Admin-Seite des Routers ist werksseitig über 192.168.1.1 erreichbar
LAN IP Range Site B: 100.200.1.1/16. Die Admin-Seite des Routers ist werksseitig über 192.168.0.1 erreichbar

Ziel: Ich würde gerne von Site A zusätzlich zum LAN-Netzwerk Site B auch auf die Admin Site des Routers auf Site B zugreifen und vice versa.

Ich habe in den Wireguard Peer Einstellungen bei den zugelassenen IPs die Router IP der jeweiligen Gegenseite ergänzt (192.168.1.1/32 bzw. 192.168.0.1/32) und im Wireguard Interface die FW Rule Site A mit
allow   IPv4*   10.100.1.1/16   *   192.168.0.1/32   *   *   *
und Site B mit
allow   IPv4*   10.200.1.1/16   *   192.168.1.1/32   *   *   *
ergänzt.

Leider erreiche ich die Router-Oberfläche auf der jeweiligen Gegenseite nicht. Über eine Wireguard iOS Verbindung zu Site A am Smartphone erreiche ich den Router der Site A jedoch problemlos.

Meine Überlegungen:
- Ist es möglich, dass über eine Wireguard Site to Site VPN Verbindung nur eine interner IP Range geteilt werden kann? Also nicht 10.100.1.1/16 und zusätzlich auch noch 192.168.1.1/32? Bräuchte ich somit eine zusätzliche separate Site to Site Verbindung?
- Funktioniert das Setup möglicherweise nicht, weil 2 idente private Netzwerke (192.168.1.1/24) auf beiden Seiten vorhanden sind?
- Oder liegt es einfach an einem Konfigurationsfehler meinerseits?

Danke Euch für Eure Tipps!

Grüße
neuling10

Hallo an die Runde,

ich habe mich die letzten Tage intensiv mit dem Thema LetsEncrypt Zertifikate für interne Hosts auseinandergesetzt.

Mein Ziel ist es, die nervenden "Ihre Verbindung ist nicht sicher"-Meldungen durch ein LetsEncrypt Wildcard Zertifikat für diverse interne Hosts (Synology NAS, Openhab Smart Home, Grafana Dashboards etc.) zu eliminieren. Mir geht es rein um interne Hosts, ich möchte keinen externen Zugriff ermöglichen und habe hierfür aktuell auch keinen Anwendungsfall. Für den Zugriff auf meine Hosts von Außerhalb nutze ich ausschließlich Wireguard VPN (Site to Site oder am Smartphone).

Mein Plan wäre es nun, mir mittels ACME Plugin ein Wildcard LetsEncrypt Zertifikat zu generieren über eine DNS Challenge eines DNS Providers. Nur für die Opnsense würde ich einen A-Record beim DNS Anbieter anlegen (in meinem Fall z.B. bei IPv64). Den TCP Port der Opnsense Weboberfläche würde ich von 443 auf einen anderen Port ändern.
Mittels Nginx Plugin würde ich das Zertifikat den internen Hosts zur Verfügung stellen. Für diese Host Domains würde ich anstatt DNS A-Records beim DNS Provider den Unbound Dienst mit DNS Host Overrides nutzen und dies im Nginx HTTP-Server erfassen. 

Soweit zum Plan. Nun stellen sich mir als Laie jedoch noch ein paar Fragen in Bezug auf die Sicherheit meines Vorhabens:
1. Wenn ich es richtig verstanden habe, wird für die DNS Challenge durch das ACME Plugin die Opnsense von extern zugreifbar. Könnte das nicht ein durchaus kritisches Einfallstor in Bezug auf die Sicherheit sein (Zugriff auf die Opnsense GUI), z.B. falls der DynDNS Provider gehackt wird?
2. Könnte nun jemand, der meine externe IP und die internen Host Domains kennt, von außen auf die Weboberfläche der Hosts zugreifen?

Ich hoffe ihr könnt mir ein paar Ratschläge zu meinem Vorhaben geben. Immerhin möchte ich durch den Komfort-Gewinn nicht eine unnötige Sicherheitslücke aufmachen, dann lasse ich das lieber doch bleiben...

Grüße
neuling10

Hello everyone,

I have a Wireguard VPN site to site tunnel between 2 Opnsense firewalls. In the network on Site A is a host with an InfluxDB.

The Opnsense on Site A sends data into the InfluxDB using the Telegraf plugin. Unfortunately, the Opnsense on Site B cannot reach the InfluxDB, although the FW rule between Opnsense on Site B and InfluxDB on Site A is set to Allow any. As a layman, I have no idea why this is failing or what I could try to establish communication. Perhaps something needs to be set in the routing tables? Or in the Wireguard peer settings?

I am grateful for any tips :-)

Regards
neuling10

Hallo an die Runde,

ich habe einen Wireguard VPN Site to Site Tunnel zwischen 2 Opnsense Firewalls. Im Netzwerk auf Site A sitzt ein Host mit einer InfluxDB.

Die Opnsense auf Site A schaufelt Daten mittels Telegraf Plugin in de InfluxDB. Die Opnsense auf Site B erreicht die InfluxDB leider nicht, obwohl die FW Rule zwischen Opnsense und InfluxDB auf Allow any steht. Als Laie fehlen mir die Ideen, warum dies scheitert oder was man versuchen könnte, um die Kommunikation herzustellen. Muss vielleicht was in den Routing Tabellen eingestellt werden?

Bin für jeden Tipp dankbar :-)

Grüße
neuling10

Hallo an die Runde,

um DNS freizugeben, nutze ich die eingehende Regel
IPv4 TCP/UDP   Server    *   Diese Firewall   53 (DNS)   *   *      LAN_TO_Firewall_DNS

Die DNS Freigabe klappt nur mit obiger Regel. Setze ich bei Ziel statt "Diese Firewall" die IP der Opnsense ein (10.10.1.1), klappt die DNS Freigabe nicht mehr.
Ich nutze Adguard und Unbound DNS auf Port 53053.

Eine Verständnisfrage zu den Firewall Regeln:
=> Ist die DNS Freigabe auf "Diese Firewall" ein potentielles Sicherheitsrisiko? Ich habe gelesen, der Eintrag "Diese Firewall" würde alle privaten Adressen der Sense umfassen?  ???

=> Falls meine DNS Regel Optimierungsbedarf hat, wäre interessant wie diese aussehen müsste? Target 10.10.1.1 mit Port 53 oder Port 53053 (Unbound) habe ich bereits getestet, damit bekommen die Hosts allerdings keine Internetverbindung.

Grüße
neuling10

[Aufbau:]

Hallo an die Runde,

folgender Aufbau:
ich habe 2 Opensense Boxen via IPSec Site 2 Site verbunden, das ganze läuft problemlos.

Auf Site A ist eine Gateway Gruppe aktiv zwecks Failover (falls Kabelverbindung ausfällt, wird Verbindung über LTE Modem hergestellt). Das WAN Failover funktioniert problemlos.
Auf Site B gibt es kein Failover.
Da ich auf beiden Sites statische, öffentliche IP Adressen habe, erhält Phase 1 des Tunnels mittels DynDNS Service stets die aktuelle und aktive IP von Site A sowie die aktuelle IP von Site B. Auch das funktioniert wie es soll.
Auf Site A habe ich zwei Phase 1 Einträge; für jedes Interface einen (WAN Kabel und WAN LTE). Die WAN Gruppe ist ja leider nicht wählbar.
Auf Site B habe ich nur einen Phase 1 Eintrag.

Ziel:
Schaltet auf Site A die WAN Verbindung aufs LTE Modem um, soll der IPSec Tunnel über das LTE Gateway laufen. Sobald wieder eine Verbindung zum Haupt-Gateway (Kabel) aufgebaut ist, soll der VPN Tunnel wieder automatisch auf das Kabel Gateway wechseln.


Problem:
Natürlich habe ich bereits einiges an Recherche- und Testfällen hinter mir (Dead Peer Detection, "MOBIKE "deaktivieren" aktiviert, Keyingtries auf -1). Was ich auch einstelle, nach dem Gateway Wechsel wird die VPN Verbindung nicht mehr aktiv. Erst nachdem ich auf beiden Sites den IPSec VPN Dienst neu gestartet habe, verbindet sich der Tunnel wieder.

Hat jemand von euch einen ähnlichen Aufbau und eine funktionierende Konfiguration?

Grüße
neuling10

Hallo an die Runde,

ich möchte ein Synology NAS, welches sich in einem eigenen LAN Netz befindet, über Rechner aus einem VLAN sowie über VPN (Wireguard Verbdindung für Smartphone und IPSec Site 2 Site zu zweiter Opnsense) erreichen.

VLANPCundSmartphone 10.10.2.1 mit dem Windows Notebook 10.10.2.20 am Opnsense Anschluss ETH2
Netzwerk NAS 10.10.20.1 mit dem Synology NAS 10.10.20.21 am Opnsense Anschluss ETH3+4 (Bridge)

Liegen Windows PC und das Synology NAS im identen Netz (Anschluss an ETH3 und ETH4), kann ich problemlos auf das NAS (Disk Station Manager) zugreifen.

Wechsle ich mit dem PC in ein anderes Netzwerk (VLAN), funktioniert kein Zugriff mehr. Ping vom PC aufs NAS ist ebenso nicht mehr möglich.
Im Anhang meine Firewall Regeln.

Benötigt der Zugriff auf ein NAS vielleicht weitere (ausgehende) FW-Regeln oder eine NAT Portweiterleitung?

Danke im Vorhinein für Eure Hinweise!

Grüße
neuling10

Erstmals ein herzliches Hallo an die OPNsense Community  :D

ich hatte bisher Fritzboxen im Einsatz und bin neu im Opnsense Universum. Ich bitte um Nachsicht, sollte ich noch bei den Grundlagen hängen  ;D

Nach reichlich Text- und Videorecherche habe ich auf eigener Hardware die Opnsense mit Version 24.1.6 am Laufen, bisher mit nur 1 PC am LAN Interface.

Installiert bzw. laufen habe ich den Squid Web Proxy (transparent), Unbound DNS, Adguardhome und ClamAV mit ICAP. Nach reichlich Testen sind mir folgende Unstimmigkeiten aufgefallen, die ich erstmals beheben möchte bevor ich das System weiter aufsetze. Bei folgenden Punkten bin ich ratlos:

1. Systemstatus unter System - Firmware - Status lädt sich zu tode
2. Der Neustart des Squid Web Proxy wirft eine Fehlermeldung, wird jedoch "grün" und läuft
3. ClamAV blockt leider keine Eicar zip Testfiles
4. Ookla Speedtest findet keinen Server ohne eine LAN_TO_ANY FW-Rule zu aktivieren

Nach Recherche vermute ich hinter 1., 2. und 3. eine fehlerhafte DNS Konfiguration. Hier die Fehlermeldung des Web Proxy:


Den UnboundDNS habe ich auf Port 5353 geändert. Adguardhome läuft stabil und akzeptabel schnell auf Port 53  (100-120ms Bearbeitungsdauer).

Unter Dienste - Squid Web Proxy - Verwaltung (erweiterter Modus) habe ich als alternativen DNS-Server die IP der OPNsense drinnen, also 192.168.1.1 (ohne Port). Ist das korrekt? Darüber sollte ja auch Adguard laufen? Wenn ich 192.168.1.1:53 (mit Port 53 von Adguard) einstelle, geht nichts mehr.
Unter System - Einstellungen - Allgemein habe ich alle DNS Server Einträge gelöscht.

NATs habe ich über den Web Proxy angelegt. Brauche ich hier weitere NATs? Ist es möglich, dass der ClamAV gar nicht über den Web Proxy 5353 läuft sondern weiter auf Port 53 lauscht und deshalb nichts geblockt wird?

Zu 4. vermute ich eine fehlende Firewall Rule. Ich habe nach Recherche bei Ookla den Port 8080 TCP/UDP und 5060 TCP/UDP geöffnet. Läuft bei euch der Speedtest mit diesen offenen Ports? Oder könnte das auch mit den Problemen von oberhalb zusammenhängen?

Ich wäre Euch für jegliche Hinweise sehr dankbar  ???

Grüße
neuling10