Recent posts

#1
German - Deutsch / Wireguard Roadwarrior Setup fu...
Last post by mfreudenberg - Today at 12:52:14 PM
Hallo Zusammen,

ich habe auf meinem OPNSense eine Wireguard-Instanz aufgesetzt und zwei peers angelegt (iPhone, Laptop). Ich versuche Alles so einzurichten, dass ich von Unterwegs auf lokale Dienste zugreifen kann, die über einen Reverse-Proxy (Caddy) nur intern erreichbar sind.

Der Handshake scheint zu funkionieren und ich sehe auch einen grünen Haken am Peer wenn ich über die Weboberfläche reinschaue. Wenn ich allerdings versuche einen Dienst über den Revproxy zuerreichen, dann baut sich dieser nicht auf.

Wenn ich in das Live-log von OPNSense reinschaue, dann sehe eine grüne Zeile, die scheinbar auf Port 443 funktioniert. Die Zeilen danach finde ich aber Merkwürdig. Zumal sehe ich, dass der Peer scheinbar versucht über den UDP-Port 443 auf den Reverse-Proxy zu gehen (siehe Screenshot)??

Hier meine Peer-Konfiguration:

[Interface]
PrivateKey = ***
Address = 10.10.0.11/32
DNS = 10.10.0.1

[Peer]
PublicKey = vbhuQBxaP0Sh+LoboRlIUyE72TQ3FaPzO1ybd4tywX8=
PresharedKey = ***
Endpoint = meinedomaine.com:57444
AllowedIPs = 0.0.0.0/0


Was die Firewall angeht, habe ich das Wireguard-Interface (VPNWG), dass ich vorher über Assignments erstellt habe, in eine Gruppe "TrustedClients" gesteckt. In der Gruppe ist auch das normale Client-Interface drin (Laptops, PC's, Handys). Für das Client-Netz habe ich eine recht ausführliche Firewall-Tabelle gemacht und würde diese gerne einfach auf das VPNWG-Netz anwenden wollen - da ich im Prinzip über das VPN die gleichen Dienste erreichen möchte.
Ja, es ist der Reverse-Proxy als Firewall-Regel enthalten (TCP80, TCP443).

Was ich mich Frage, ob das richtig ist, dass ich das VPNWG-Interface in die Gruppe gesteckt habe, oder ob ich nochmal alle Regeln für das VPN kopieren muss?

Meine Fragen:
- Muss ich irgendwas beachten, wenn der Reverse-Proxy in einem anderen VLAN als Wireguard läuft?
- Muss ich die Wiregard-Schnittstelle in ein VLAN stecken? Und müsste ich an meinem Switch noch was anpassen, oder reicht dafür die die Konfig in OPNSense?
- Brauche ich ggf. eine statische Route?

Was ich sonst noch eingetellt habe:
- Outbound-NAT (hybrider Modus): VPNWG -> NAT Address (Interface Address)
- Unter System->Gateways->Configuration habe ich für Wireguard ein Gateway eingetragen (IPV4, Prio: 255, IP-Adress: 10.8.0.1)

Danke und grüße,
Michael;
#2
26.1 Series / Re: Crowdsec on newest Firmwar...
Last post by Nephiria - Today at 12:31:06 PM
ah yes i have found thanks
#3
26.1 Series / Re: Crowdsec on newest Firmwar...
Last post by DEC740airp414user - Today at 12:19:43 PM
top right of plugins.  there is a community check mark i think its listed as

it will show significantly more apps
#4
26.1 Series / Crowdsec on newest Firmware no...
Last post by Nephiria - Today at 12:17:51 PM
Hi All,

I know that Crowdsec was available in an earlier release, which I could install via the plugins, but it's no longer there.
According to the website https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/
it should be there.
Can someone tell me how to install the plugin?
Here's a list of the plugins available to me.

os-acme-client (installed) 4.13 832KiB 3 OPNsense ACME Client
os-clamav (installed) 1.8.1 47.8KiB 3 OPNsense Antivirus engine for detecting malicious threats
os-cpu-microcode-intel (installed) 1.1 508B 2 OPNsense Intel CPU microcode updates
os-dmidecode (installed) 1.2 6.71KiB 3 OPNsense Display hardware information on the dashboard
os-haproxy (installed) 4.6_2 682KiB 3 OPNsense Reliable, high performance TCP/HTTP load balancer
os-isc-dhcp (installed) 1.0_3 277KiB 2 OPNsense ISC DHCPv4/v6 server
os-postfix (installed) 1.24.1 156KiB 3 OPNsense SMTP mail relay
os-redis (installed) 1.1_3 69.1KiB 3 OPNsense Redis DB
os-rspamd (installed) 1.13_2 80.1KiB 3 OPNsense Protect your network from spam
os-sftp-backup (installed) 1.1_2 13.6KiB 2 OPNsense Backup configurations using SFTP
os-smart (installed) 2.4 22.9KiB 3 OPNsense SMART tools
os-theme-rebellion (installed) 1.9.4 5.23MiB 3 OPNsense A suitably dark theme
os-theme-vicuna (installed) 1.50 5.31MiB 3 OPNsense The vicuna theme - blue sapphire
os-cpu-microcode-amd 1.1 504B 2 OPNsense AMD CPU microcode updates
os-debug 1.7 5.63KiB 2 OPNsense Debugging Tools
os-dec-hw 1.1_3 6.87KiB 2 OPNsense Deciso hardware specific information
os-etpro-telemetry 1.8 50.3KiB 2 OPNsense ET Pro Telemetry Edition
os-frr 1.50_1 329KiB 2 OPNsense The FRRouting Protocol Suite
os-git-backup 1.1_3 14.8KiB 2 OPNsense Track config changes using git
os-q-feeds-connector 1.4_1 70.4KiB 2 OPNsense Connector for Q-Feeds threat intel
os-relayd 2.9_3 144KiB 2 OPNsense Relayed Load Balancer
os-stunnel 1.0.6_1 44.8KiB 2 OPNsense Stunnel TLS proxy
os-sunnyvalley 1.5_2 2.43KiB 2 OPNsense Vendor Repository for Zenarmor - Enterprise SASE & SSE platform (NGFW, SWG, CASB, ZTNA, SD-WAN)
os-vmware 1.5_1 645B 2 OPNsense VMware tools

I find the list of plugins quite short anyway, because it used to be much longer. Is this a bug in the new release?

Many thanks for your help.
#5
26.1 Series / Re: Firewall Policy using Micr...
Last post by lmoore - Today at 11:48:46 AM
I've filed a bug report regarding this issue: https://github.com/opnsense/core/issues/9835
#6
25.7, 25.10 Series / Re: [SOLVED] hostwatch at 100%...
Last post by Slybunda - Today at 11:29:59 AM
What sort of information is it logging that takes up 20gb over 6 hours?
#7
26.1 Series / Re: Odd defaults for RA and DH...
Last post by JamesFrisch - Today at 11:19:24 AM
For whatever reason, I can't get my VM to get any IP. Neither for KEA nor dnsmasq. Works fine with ISC.

For Kea I did:
Subnet: 10.0.60.0/24
Pools: 10.0.60.2-10.0.60.200
Interface is listening on vlan60.
Service is running, restart does nothing, no errors in logs.

For dnsmasq, I can get the service is running, but as soon as I try to add the DHCP range onto the VLAN60 interface by using start 10.0.60.2 and end 10.0.60.200, the service crashes with no logs.

#8
26.1 Series / Re: hostname no longer include...
Last post by bran.ko - Today at 10:42:08 AM
+1
and timedate stamp was also good. When I create new sync with nexcloud - every time stamp on file is same datetime (from sync). 
#9
26.1 Series / Re: Odd defaults for RA and DH...
Last post by Patrick M. Hausen - Today at 10:09:48 AM
I run Kea for DHCPv4 and radvd.
#10
26.1 Series / Re: Odd defaults for RA and DH...
Last post by JamesFrisch - Today at 10:01:34 AM
QuoteIf you get a static /48 from your ISP why don't you configure all internal interfaces statically?
You severely underestimate my laziness! :) /s

But you are right, I could set them statically. Even when I move eventually, my ISP let me keep my static prefix if I ask for it.


How about the other two points?

- enable dnsmasq as DHCPv4 server
- Either use RA or dnsmasq for RA and stateless SLAAC

I like to follow defaults, so I should probably use radvd and not RA form dnsmasq, right?