Messages

31

General Discussion / Features request : Proxy ACL Rules

« on: January 30, 2016, 06:34:20 pm »

Hi, just a little feature request who could interest come people.

Like for IDS who have out of box a list of rulesets and we just need to check or uncheck the box, is there anyway to have the same thing for proxy server ?

Administrator could like that easily lock some category like porn, forum, etc.

Best regards

32

French - Français / Re: OPNsense 16.1

« on: January 30, 2016, 01:37:06 pm »

Je viens d'essayer également avec les blacklists de Toulouse : http://dsi.ut-capitole.fr/blacklists/download/

Comme indiqué par domg tu ajoute l'URL complète pour télécharger le fichier tar.gz, tu coches activé pour indiquer que tu veux l'utiliser, tu cliques sur Download & Apply (désolé, on traduit quand on a le temps^^), ça télécharge l'ACL et normalement c'est bon.

Si l'ACL est volumineuse ça peut être long a charger.

Par contre effectivement chez moi ça ne marche pas en version 16.1 et je ne sais pas si ça marchais avant ou pas. Faut que je test.

J'ai essayé avec l'URL d'ACL suivante : http://dsi.ut-capitole.fr/blacklists/download/adult.tar.gz

Pour les détails techniques j'ai vérifier plusieurs choses, quand c'est rentré dans l'interface graphique :
- /usr/local/etc/squid/squid.conf a bien les lignes pour activer l'ACL (acl remoteblacklist dstdom_regex "/usr/local/etc/squid/acl/Adult" et http_access deny remote blacklist)
- le fichier /usr/local/etc/squid/acl/Adult est bien repli avec le contenu du tar.gz qui se trouve en ligne
Donc squid a les infos pour effectuer le bloquage c'est juste qu'il ne les appliques pas.

33

French - Français / Re: CLient VPN L2TP

« on: December 19, 2015, 08:26:00 am »

Bonjour,

je ne me suis pas penché sur la question mais il est vrai qu'en interface graphique il n'y a pas l'option.

On peut utiliser OpenVPN en temps que client, on peut également faire des tunnels site à site en IPSec, par contre le L2TP c'est une bonne question.

Après c'est peut être possible en ligne de commande étant donné que opnsense est bâtie sur une base freebsd 10.

34

Development and Code Review / [SOLVED] Feature request : TOR

« on: December 09, 2015, 09:24:09 am »

Hello,

Just a little feature request, could it possible to have TOR server integrated in OPSense ?

Best regards

35

15.7 Legacy Series / Re: Testing transparent proxy cache

« on: November 15, 2015, 07:10:31 pm »

Effectively transparent proxy don't cache everything. You can check what is cached in Services --> Proxy Server --> Forward Proxy --> Access Control List.

At the bottom you have the destination ports who is cached.

You can check proxy activity in Status --> System Logs --> Proxy --> Access, you should have

I think speed test is not cached, streaming in big case majority will not be cached too.

Proxy is more useful with HTTP.

36

Tutorials and FAQs / Re: UPnP Gaming

« on: November 11, 2015, 09:47:18 am »

Normally PS4 have always NAT2 type.

Here the 3 differents NAT Type for PS4 :
NAT1 : One to One, the PS4 have it own public IP address
NAT2 : in fact PAT, you have a router with one public IP address and many device on your LAN with private IP address
NAT3 : Same thing NAT2 but your routeur don't do static port translation, so when your PS4 send packets the source port is different on the public IP address outside your routeur than the inside source port on the private IP address of your PS4.

In NAT3 you can't play online, internet work for basic services like internet browsing, browse the store, etc. In fact for online gaming your PS4 can connect to other players but others players can't connect to you, so you can't play.

Yes in think PS4 don't like UPNP, and it is exactly the same thing for Wii U and the same solution.

37

Tutorials and FAQs / Re: UPnP Gaming

« on: November 10, 2015, 08:17:58 am »

I don't understand, if you have NAT Type 2 normally that work.

Please find bellow screenshot of my configuration. I assume my PS4 have a static ip address (DHCP reservation or static ip) and an alias in opnsense to this IP address.

Capture1 : the outbound NAT rules, change for Hybrid Outbound NAT rule generation.

Add rule with + button

In this new rule :

Capture 2 : Source you PS4 ip address or alias

Capture 3 : check Static-port

I have the same rule for my Wii U and everything work correctly (if you don't have this rules online gaming failed to connect to other player, other online functionality work).

My configuration is a little complex because i need to use my ISP modem in router mode so i make double NAT like this : OPNSense routeur <-------> ISP modem (DMZ configured to OPNSense WAN adress). So normally with a more simple configuration that work more easily.

38

French - Français / Re: Traduction, discussions, retours, problèmes

« on: October 25, 2015, 08:49:34 pm »

Actually it is not fixed in the original code.

39

French - Français / Re: Redirection de ports

« on: October 22, 2015, 02:30:47 pm »

Bonjour, pour le ports forwarding il va y avoir 2 choses a faire.

1) Le NAT en lui même.

Aller dans Firewall --> NAT --> Port Forward.
Créer une nouvelle règle en cliquant sur le +
Remplir les champs suivant :
- Interface : WAN
- Protocol : ce qu'on veut, généralement TCP, UDP ou les 2
- Destination port range : le port coté WAN (par exemple pour un serveur web cela sera HTTP ou le numéro du port 80)
- Redirect target IP : l'adresse ip interne. (On peut utiliser la fonction aliases pour créer un alias de l'adresse ip)
- Redirect target port : le port sur l'ordinateur interne. Généralement le même que celui coté WAN mais cela peut arriver qu'on change de port entre celui qui est public et celui qui est en interne (attention en fonction du service changer de port entre le port public et le port interne peut être mal supporté).
Cliquer sur Save, la règle est créé.

2) La règle pour autoriser le flux sur l'interface WAN.

Normalement la règle est automatiquement (99% du temps c'est le cas) créé mais en fonction de la configuration il est possible que cela ne soit pas bon, donc a vérifier.

Aller dans Firewall --> Rules --> WAN
Il doit y avoir une règle avec les paramètre suivants :
- Action : Pass
- Interface : WAN
- TCP/IP version : IPv4
- Protocol : le même que pour la règle NAT
- Destination : l'adresse ip de la machine interne
- Destination port range : le port

Si la règle est créé automatiquement par le NAT alors certaines informations sont grisées, c'est normal.

Je joints les captures de mes règles. Je ne grise rien car pas d'adresse ip visible j'ai un cardav et un transmission utilisant le port forwarding.

40

General Discussion / Re: [SOLVED] IPSEC NAT/BINAT

« on: October 21, 2015, 09:33:41 am »

Hello, I am not an IPSec VPN expert so what i need to put in NAT/BINAT option to make working NAT for my VPN client.

Actually i have a functionnal VPN configuration for mobiles users, only NAT don't work. The option NAT/BINAT is set to None.

41

General Discussion / Re: [SOLVED] IPSEC NAT/BINAT

« on: October 20, 2015, 05:08:35 pm »

Same problem. I have mobiles users VPN IPSec and NAT don't work.

Any special things to do in the configuration ? I have NAT in Hybrid mode, i saw the automatic NAT rules, I have a firewall rule on IPSec interface that allow all traffic, so I think all is ok.

If it is a bug, is that work with the least release 7.17 ?

42

15.7 Legacy Series / Re: DNS Resolver Number of hosts to cache issue

« on: October 15, 2015, 08:02:12 am »

Second fix work perfectly. 

Thank you.

43

15.7 Legacy Series / Re: DNS Resolver Number of hosts to cache issue

« on: October 14, 2015, 09:39:20 am »

Sorry, the fix don't work.

I have attached screenshot :
1 --> the fix file from this morning
2 --> make modifications (or not) click on save, OPNSense ask to apply changes
3 --> after applying everything is empty.

Anyway after step 3 if you click on generals settings, then come back in advanced settings the configuration is ok.

44

15.7 Legacy Series / Re: DNS Resolver Number of hosts to cache issue

« on: October 14, 2015, 08:02:25 am »

Ok, sorry, i haven't understand i need to apply the fix.

I see the link and the modification in php file. How can i apply it ?

45

15.7 Legacy Series / Re: DNS Resolver Number of hosts to cache issue

« on: October 13, 2015, 09:02:08 pm »

Yes i confirm.

The configuration is saved correctly and applied but the configuration file is not read after applied.

Anyway if we click on DNS resolver then advanced the configuration file is read correctly.