Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    aliasmod

    Deutsch
    3
    6
    420
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      richie1985
      last edited by

      Hi,

      pfsense version 2.7.0

      ich würde gern automatisiert nachts einträge einer alias network liste ergänzen, habe dazu aliasmod gefunden:

      [2.7.0-RELEASE][root@router1.local]/root: aliasmod
usage:
 Add IP/FQDN entry to the Alias
     aliasmod add <alias> <IP/FQDN>

 Remove IP/FQDN entry from the Alias
     aliasmod del <alias> <IP/FQDN>

 Add example:
     aliasmod add publicdns 1.1.1.1

 Remove example:
     aliasmod del localservers 192.168.1.10

      Beispielhaft:

      aliasmod openvpn_subnets add 10.0.0.0/22 testnetwork

      Leider passiert da nichts, kommt aber auch keine Fehlermeldung. Prüfe ich die Liste dann in der Web GUI ist nichts zu sehen.

      Hat jemand Erfahrungen damit?

      Cheers!

      Erik

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @richie1985
        last edited by

        @richie1985 said in aliasmod:

        Beispielhaft:

        aliasmod openvpn_subnets add 10.0.0.0/22 testnetwork

        Da steht aber das Kommando, das add, an der falschen Stelle.

        aliasmod kenne ich nicht. Ich hatte dafür mal den Alias Typ URL (IPs) verwendet. Da kannst du eine URL angeben, über welche die Liste mit IPs und Subnetzen als Inhalt für den Alias abgerufen werden kann.
        Die Liste muss auch einen HTTP-Server liegen und wird einmal täglich aktualisiert.
        Reicht das nicht? Voraussetzung natürlich, dass du einen HTTP-Server hast.

        R 1 Reply Last reply Reply Quote 0
        • R
          richie1985 @viragomann
          last edited by

          @viragomann

          klasse idee, funzt aber leider nicht. Ich würde gerne eine Liste pflegen der Subnetze in den OpenVPN Tunnel geroutet werden sollen:

          80e70b08-37eb-4adb-994d-cd80cf6a9068-grafik.png

          Geht aber leider nur mit einem "host/network type alias". Also sowas:

          5dbe630c-8bef-42ea-a7dd-e27fdf096fbd-grafik.png

          Funktioniert super, nur füge ich da ein Netzwerk hinzu startet instend der openvpn server neu, was alles gerade verbunden openvpn user raus schmeisst und die sich erneut verbinden müssen :( daher würde ich das gerne "nachts" machen.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @richie1985
            last edited by

            @richie1985 said in aliasmod:

            Geht aber leider nur mit einem "host/network type alias". Also sowas:

            Wenn die Tabelle ausschließlich Subnetze enthält, sollte sie ja diesem Typ entsprechen.

            Funktioniert super, nur füge ich da ein Netzwerk hinzu startet instend der openvpn server neu, was alles gerade verbunden openvpn user raus schmeisst und die sich erneut verbinden müssen :( daher würde ich das gerne "nachts" machen.

            Warum verwendest du da nicht einfach einen größeren Bereich? Dann kannst du innerhalb diesem nach Lust und Laune Subnetze hinzufügen, ohne dass der Server neu starten muss.
            Bspw. 10.65.0.0/16. Der 192.168.er Bereich lässt da halt nicht so viel Spielraum.

            R 1 Reply Last reply Reply Quote 0
            • R
              richie1985 @viragomann
              last edited by

              @viragomann

              nur die grün markierten typen können in openvpn benutzt werden:

              6c4a42d5-751c-42e5-8f66-c7fe86fc6de9-grafik.png

              aliase vom typ url leider nicht.

              Grössere Subnetze "würden" gehen, aber irgendwo nie so sauber. Beispiel 192.168.0.0/16 würde ja dann den Traffic der Fritzbox (192.168.178.0/24) auch in den Tunnel jagen. Genau das will ich ja nicht :)

              JeGrJ 1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @richie1985
                last edited by

                @richie1985 said in aliasmod:

                Grössere Subnetze "würden" gehen, aber irgendwo nie so sauber. Beispiel 192.168.0.0/16 würde ja dann den Traffic der Fritzbox (192.168.178.0/24) auch in den Tunnel jagen. Genau das will ich ja nicht :)

                Antworten

                Nö, warum würde es das? Größere Subnetze stechen NIE die kleineren Definitionen. Sondern spezifischere Netze (/24) stechen unspezifischere (/16). Wenn du also /16 ins VPN jagst aber ein Netz davon mit /24 lokal an der Firewall anliegt, wird das nicht einfach weggeroutet. Lokale Host/Netzwerkrouten stechen IMMER irgendwelche manuellen Routingeinträge.

                Davon abgesehen würde ich trotzdem hart abraten, mit nem Alias in OpenVPN rumzustochern. Darf man fragen warum du das überhaupt machst? Das sollte ja für nen Tunnel eine relativ statische Sache sein. Dazu kommt, dass du die Einstellungen ja nicht nur im OpenVPN Server selbst brauchst, sondern ggf. auch noch im Client Specific Override (je nachdem ob du Server oder Clientseite bist) und da bin ich mir sehr unsicher, dass die in einem CSO berücksichtigt werden.

                Wenn du unbedingt dynamische Routen machen willst - warum dann nicht mit OSPF gleich ordentlich Routen draufpacken und announcen? Ein bisschen overkill - sicher - aber einfacher als manuell mit Aliasen zu basteln.

                @richie1985 said in aliasmod:

                Grössere Subnetze "würden" gehen, aber irgendwo nie so sauber.

                Definiere sauber :)

                @viragomann said in aliasmod:

                Da steht aber das Kommando, das add, an der falschen Stelle.

                Nichts desto trotz war dein ursprüngliches Kommando falsch und das add/mod war an falscher Stelle. Also wenn dus mit dem Alias weiter probieren willst - Command fixen? :)

                @richie1985 said in aliasmod:

                Funktioniert super, nur füge ich da ein Netzwerk hinzu startet instend der openvpn server neu, was alles gerade verbunden openvpn user raus schmeisst und die sich erneut verbinden müssen :( daher würde ich das gerne "nachts" machen.

                Antworten

                Na das wird auch via Konsole passieren, denn wie soll sonst die OpenVPN Instanz lernen, dass die Netze sich geändert haben? Alias hin oder her, das Alias wird ja nur beim Starten der OVPN Instanz tatsächlich eingelesen, das ist OVPN spezifisch, da kann Alias oder pfSense nix für :)
                Wenn du das Routing wirklich dynamisch brauchst/willst, dann geht das IMHO nur per OSPF. Ansonsten sollte man ggf. die Netze und Netzstruktur überdenken (soweit möglich) und die sinnvoll aufbauen, dass sie nach Möglichkeit alle in einem größeren Netz liegen, das man fürs Routing einfach greifen kann (bspw. mit nem /19 oder /20 etc.)

                Cheers
                \jens

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post