Topics

Hallo,

ich habe unter Schnittstellen -> Virtuelle IPs mehrere öffentliche IPv6-Adresse im CARP angelegt. Später bei der Konfiguration des Portforwarding (Firewall -> NAT -> Portforwarding) wähle ich diese IPs aus und erhalte eine falsche Subnetzmaske (/32) anstelle von /128. Daher kommt es zu Problemen beim Routing, da z.B. der Mailserver (TCP 25) mit /32 angesprochen wird, lande ich wieder bei meinem eigenen mit der Meldung "mail for <external host> loops back to myself".

Die öffentliche IP wird als Ziel angegeben und bei Ziel-IP-Umleiten eine lokale IPv6.

Workaround:
Anpassen von der Virtuellen IP auf "Einzelner Host / Netzwerk" und die Subnetzmaske auf /128 ändern.

Viele Grüße
Lars

I have a Multi-WAN with two internet connections. The first one is a fibric, connected to the first Switch. The second one is a VDSL. The fabric have some virtual (public) IP-addresses. The OPNsense is working in a Cluster of 2 Nodes. The Cluster is connected in our DMZ-Network and have 1 virtual IP.

We provide a second Cluster for the internal Traffic for our environment. Every network gets a smaller Subnet of 10.0.0.0/8 Network in one VLAN (e.g. 10.1.1.0/24).

I have Routing Problems to connect the second Cluster with the virtual IP 192.168.0.160 to the first Cluster 192.168.0.150. I check the first Cluster with one PC in the DMZ an I have a good connection with one or two pings failed.

I check the second Cluster with the same PC in another Subnet (no blocking everything), I get only one or two pings back from 1.1.1.1 or 8.8.8.8.

Version OPNsense: 19.7.6

If I create in the second Cluster a Gateway-Group with the real IPs of OPNsense in the first Cluster, I will get every response. If I use the virtual IP of the first Cluster, I get one or two responses (10 ICMP-Requests). What is the problem?

Grettings
Lars

Code Select Expand


        WAN                   WAN
         :                     :
         : Ethernet            : VDSL
         :                     :
:               -----------
         :               |  Router  |
         :               ------------
         :                     |
         -----------------------
         |  Switch (redundant) |
         -----------------------
           |                 |
           |                 |
           |                 |       Multi-WAN with Backup
      -----------      -----------
      | OPNsense |-----| OPNSense|
      ----------- HA-1 -----------
           |     CARP        |
  x.x.x.151|  VIP x.x.x.150  | 192.168.0.152/24
           ---------------------
           |       DMZ         |
           ---------------------
           |    CARP         |
  x.x.x.161|  VIP x.x.x.160  | 192.168.0.162
     -----------          -----------
     | OPNsense |---------| OPNSense |
     -----------  HA-2    ------------
         |                   |
         |                   |
         ---------------------
         |  Internal Net VIP |
         ----------------------


Hallo zusammen,

ich habe an dem ersten HA-Cluster ein Multi-WAN. Leitung A ist eine Glasfaserleitung (wird auf dem Switch gewandelt) und Leitung B eine VDSL-Leitung (Router vorgeschaltet, arbeitet im Privaten Adressbereich).

Bei der Leitung A liegen ca. 16 public IPs, die jetzt über das erste Firewall-Cluster ins DMZ-Netz geroutet werden sollen (ausgehendes NAT für div. Server). Dafür habe ich eine virtuelle IP (CARP) angelegt und die OPNSense im ersten Cluster kann nach draußen ohne Probleme kommunizieren.

Beim zweiten Firewall-Cluster (in der DMZ zu den internen Netzen) kann das ausgehende NAT nicht auf die 192.168.0.160/24 festgelegt werden. Wird dort die Schnittstellenadresse verwendet, ist das Lauffähig, kommt dem HA-Gedanken nicht wirklich nach, außer ich definiere eine Gateway-Gruppe.
Gerade im Hinblick auf die verschiedenen Netze, die in der DMZ stehen werden, z.B. über CARP weitere VIPs definiert, kommt es zu Problemen.

Ich möchte in dem zweiten Cluster die VIP vom ersten Cluster als Gateway definieren. Dabei geht trotz Any nach draußen kein Ping zu 1.1.1.1 oder 8.8.8.8

Version: 19.7.6

Code Select Expand


        WAN                   WAN
         :                     :
         : Ethernet            : VDSL
         :                     :
:               -----------
         :               |  Router  |
         :               ------------
         :                     |
         -----------------------
         |  Switch (redundant) |
         -----------------------
           |                 |
           |                 |
           |                 |       Multi-WAN mit Ausfallleitung
      -----------      -----------
      | OPNsense |-----| OPNSense|
      ----------- HA-1 -----------
           |     CARP        |
  x.x.x.151|  VIP x.x.x.150  | 192.168.0.152/24
           ---------------------
           |       DMZ         |
           ---------------------
           |    CARP         |
  x.x.x.161|  VIP x.x.x.160  | 192.168.0.162
     -----------          -----------
     | OPNsense |---------| OPNSense |
     -----------  HA-2    ------------
         |                   |
         |                   |
         ---------------------
         |  Interne Netze VIP |
         ----------------------