Topics

Hello,

I usually use OPNsense as the only firewall, and it always works great & fine.

I wanted to increase the security of some file servers and put them behind a second OPNsense with firewall rules access.
The file servers behind the second OPNsense are reachable on both LAN, but they can't access the Internet.


Internet <-> OPNSense-1 <-> Main LAN (192.168.64.0/18) <-> OPNsense-2 <-> Secured LAN for File Servers (10.0.200.0/24)

Everything is working fine on the main LAN.
From the main LAN I can access the Secured LAN with the correct rules on OPNsense-2, so it works fine for me.
From the Secured LAN I can access the DNS servers on the main LAN.
But the File Servers on the Secured LAN are unable to access the Internet, they could need it for software update or licensing purpose. The main OPNSense should block this traffic.

This double LAN configuration is new to me...

I set a new gateway and a route on the main OPNsense-1 so he will know how to access 10.0.200.0/24 network, but it is not enough.

I suspect the first OPNsense to reject the network traffic for 10.0.200.0/24 network as his network is  192.168.64.0/18.

Do you have any clues ?

Thanks for your help,

Frédéric

Hello,

I am migrating 2 client's physical servers on a OVH (French cloud actor) dedicated server with VMware.
I got the dedicated server, with an public IP adress and an IP Failover with a virtual MAC address.
The public IP adress will be allocated to the VMware server
The public IP Failover will be allocated to the OPNsense server.

I migrated my 2 windows servers on 2 VM, they are working.
I created a third VM and installed OPNsense (v.22.7), the goal is to use the OPNsense to protect the Windows servers and access them only trough OPNsense VPN. OPNsense is working but can't reach Internet.

On the LAN side, the Windows and OPNsense are communicating, but on the WAN side the OPNsense can't reach Internet so the Windows VM can't neither

I already managed several VMware servers and OPNsense firewalls, but this is the first time I have to use an IPFO

The network is :

The VMware server IP adresse is : 51.xxx.xxx.96
The VMware server GW IP adresse is : 51.xxx.xxx.254
The OPNsense public IP address is the IP Failover : 91.xxx.xxx.64
The OPNsense GW is the VMware server one : 51.xxx.xxx.254
The OPNsense LAN interface is : vmx0
The OPNsense WAN interface is : vmx1

As the GW IP adress and the IP Failver are NOT in the same address plan, I have to use a route trough an interface and not trough an IP address.

I allocated the virtual MAC address of the IP Failover to the WAN to the OPNsense WAN Ethernet card in VMware.

I understood I have to have on my OPNsense :
- default gateway : 51.xxx.xxx.254
- a route to this GW using the interface vmx1

by using :
- route add host 51.xxx.xxx.254 -interface vmx1
- route add default 51.xxx.xxx.254

If I ping the GW, I get "Host is down"
If I ping the Internet (1.1.1.1) I get "No route to host"

Anyone already use an IP Failover this way ?

Thanks (a lot) for your help !

Frédéric

Bonjour,

Je migre une configuration cliente vers des VM chez OVH.
J'ai pris un serveur dédié Rise 3, installé VMware depuis le manager OVH, créé 3 VMs (deux clientes et mon OPNsense), migré mes serveurs clients vers les VM et installé mon OPNsense.
J'ai pris une IP Failover pour mon OPNsense.

IP public : Serveur VMware (51.x.x.x)
Passerelle : (51.x.x.x)
IP Failover : Serveur OPNsense (91.x.x.x)


Et maintenant j'ai des PB de route que je ne parviens pas a résoudre, il faut dire que je ne comprends pas la théorie du truc mais je vois quand même que la passerelle OVH n'est pas sur le réseau (IP Failover) de mon OPNsense.

J'ai pris une MAC virtuelle sur mon IP Failover que j'ai associée à la carte Ethernet WAN de mon OPNsense.

J'ai lu des trucs sur Internet mais rien de clair, enfin pour moi.

J'ai paramétré 2 GW dans OPNsense :
- l'adresse IP public du serveur VMware en mode distant et choix principal
- La passerelle du serveur VMware en mode distant

Et un ping 1.1.1.1 depuis OPNsense ne passe pas avec un "No route to host".

Je suis pas loin, je pense, mais je tâtonne ...

L'un de vous a-t-il déjà réussi ?

Merci,

Frédéric

Bonjour,

J'utilisais OPNsense 18.7.10 avec satisfaction depuis quelques temps. Mais on avait quelques soucis de déconnexion intempestive du VPN OpenVPN.
A cause du confinement actuel les utilisateurs sont amenés à travailler beaucoup plus de chez eux et donc à utiliser beaucoup plus le VPN.
Par sécurité et pour plus de fiabilité j'ai donc mis à jour mon OPNsense vers la dernière version : 20.1.2.

Effectivement, je n'ai plus de soucis de déconnexion des sessions OpenVPN.

Mais, depuis cette mise à jour, les connexions clients OpenVPN me demandent une double authentification.

J'ai d'abord, comme précédemment, l'authentification demandée par l'autorité de certification géré par OPNsense, ce qui est voulu.
Mais j'ai une seconde demande d'authentification exigée par le déchiffrement du certificat pkcs12 qui se trouve chiffré lors de l'export, si j'ai bien compris. Et ceci est apparu depuis la mise à jour OPNsense 18 -> 20.

Comment ne pas avoir cette seconde demande de mot de passe (le déchiffrement du certificat pkcs12) ?
J'ai essayé de laisser le champ vide lors de l'export, mais cela ne semble pas fonctionner.

Et sinon, je vous rassure, le premier mot de passe, géré par l"autorité de certification OPNsense est assez fort. C'est un mot de passe TOTP à usage unique : -)

Merci, de vos lumières,

Frédéric

[- IPv4 * * * ! IP_Privees * * Accès Internet]

Bonjour,

Cela devrait être une évidence, mais je viens de comprendre, en lisant d'autres articles du forum, comment autoriser l'accès à l'Internet et uniquement l'Internet.
Je partage avec vous, car ça peut surement vous aider et peut-être pourrez-vous en retour ajouter des détails intéressants.

Dans une configuration simple, il suffit de dire que l'on autorise l'accès en sortie à TOUT et ça fonctionne.
Mais dans une configuration plus complexe avec plusieurs interfaces (Wi-Fi, DMZ, autre sites, etc.) ce n'est pas suffisant.
Et comme il n'y a pas d'objet Internet, on ne peut pas spécifier facilement une règle d'autorisation pour sortir vers Internet uniquement.

Une solution est de créer un alias qui regroupe les réseaux privées (donc tout sauf Internet) et d'inverser cet objet dans la règle d'autorisation.

Création de la règle
1) Créer un Alias "IP_Privees" comportant les réseaux : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
2) Créer une règle "Accès Internet" en cochant "Destination / Inverse" qui autorise l'accès à tout sauf les adresses IP privées, donc à l'Internet :
- IPv4 *    *    *    ! IP_Privees    *    *       Accès Internet

De plus, si le serveur DNS est sur le parefeu OPNsense, il faut ajouter l'accès au DNS :
- IPv4 TCP/UDP   *  *    Ce Pare-feu    53 (DNS)    *       Accès DNS

Je ne sais pas si il est utile de spécifier le réseau alors que l'on a déjà spécifié l'interface.

Bonne journée et bonne configuration,

Frédéric

Bonjour,

Comment attribuer une adresse IP publique de sortie à un serveur spécifique situé sur notre LAN, adresse IP publique différente de celle de l'OPNsense ?

Nous avons plusieurs IP fixes sur notre accès Internet, gérées par OPNsense.

L'adresse IP publique principale sert à l'accès Internet classique des utilisateurs.
Je voudrais qu'une de nos autres adresses IP publiques soient attribuée à un autre usage, à notre serveur de messagerie en l'occurrence.
En entrée, c'est trivial. C'est un transfert de port en NAT.
En sortie, je ne sais pas le faire avec OPsense.

Savez-vous comment faire ?

Merci,

Frédéric

[IPv4 * LAN * * * * Default allow LAN to any rule]

Bonjour,

Chez un client pour une nouvelle configuration réseau je vais monter un OPNsense avec plusieurs pattes (cartes réseaux) qui géreront différents LANs.
Le but est que ces différentes interfaces accédent au WAN mais ne communiquent pas entre elles.
Par exemple l'une des interfaces gère des bornes Wi-Fi et l'on ne veut pas qu'elles accédent au LAN principal.

La règle de base créée par OPNSense est :
IPv4 *    LAN    *    *    *    *       Default allow LAN to any rule

Les postes sur cette interface communiquent bien avec le WAN. C'est OK.

J'ai voulu restreindre la règle en lui disant que le LAN ne peut communiquer qu'avec le WAN, mais ça ne marche pas ou pas bien, je perds la connection avec le WAN.
IPv4 *    LAN    *    WAN    *    *       Allow LAN to WAN only

Mon OPNsense est également serveur DHCP et passerelle, est-ce que cela joue ?
Qu'ai-je oublié ?

Et sinon, ais-je besoin de vouloir restreindre la communication entre les interfaces ou est-ce là règle de base ?

Merci de votre aide ...

Frédéric

Bonjour,

J'avais une connexion ADSL Free (poussive) avec une Freebox en mode bridge et un OPENsense derrière. C'était lent, je suis à plus de 3 Km du NRA, mais ça marchait.

J'ai reçu la fibre et j'ai décidé de moderniser tout ça en virtualisant mon OPNsense sous VMware.
Je ne pense pas que VMware soit la cause de mon problème, mais j'expose la configuration.

Un point également, maintenant pour économiser les adresses IP, Free partage une adresse IP pour 4 installations en ne fournissant qu'un quart des ports à chacun. Par exemple, je n'ai que les ports 32768-49151. 3 de mes voisins se partagent les autres ports Ce ne devrait pas me déranger, je n'ai pas de site Web chez moi et je piocherais dans un de ces ports pour mon OpenVPN.

Le problème est que si je laisse ma Freebox en mode bridge, devant mon OPNsense, j'ai des débits absolument ridicules. Aller sur Internet est totalement impossible mais pourtant la connectivité est là car les traceroute aboutissent.

Par contre si je mets la Freebox en mode routeur, devant mon OPNsense donc en double NAT, le débit est plus que parfait. J'obtiens du 800 Mb/s en download et du 200 Mb/s en upload.
Je pourrais laisser comme cela, mais premièrement j'aime bien comprendre le fonctionnement de mes accès et également les VPN sont tatillons sur les double-NAT.

Quelqu'un à une idée du pourquoi ?

Merci,

Frédéric

Bonjour,

Mon réseau local comporte 2 réseaux (109
J'ai donc besoin que le LAN de mon OPNsense puisse communiquer et gérer ces 2 réseaux.
Pour le premier c'est facile, c'est la configuration de base.
Pour le second, je ne suis pas sur de moi. Est-ce que je dois ajouter des Virtual IPs dans Firewall? Si oui de quel type ? (Firewall -> Virtual IPs -> Settings -> + )
Autrement ?

Merci de vos conseils.

Frédéric

Bonjour,

Je me fais l'impression d'être un neuneu, je ne parviens pas a créer de média d'installation.

J'ai téléchargé les images depuis le site de OPNsense et j'utilise Rufus pour transférer les images.
Si je transfère l'image NANO sur une clef USB, c'est OK, je peux booter sur la clef mais pas installer depuis cette clef. Je comprends que c'est le fonctionnement voulu, mais ça prouve au moins que je parviens à créer une clef USB bootable.
Si je transfère l'image VGA sur une clef USB, je ne parviens pas à booter sur cette clef. Lors du boot, j'obtiens les messages d'erreurs : "primary GPT table checksum mismatch, backup GPT table checksum mismatch, unable to load GPT".
Et je ne parviens pas à graver l'image ISO sur un CD car elle est trop grosse. J'ai bien vu que que l'image ISO était destinée à une install VMware, mais j'ai quand même essayé.

J'ai essayé des dizaines de fois, mais non. Pas moyen de créer une clef USB d'installation.

J'ai des clefs USB neuves ou, par la suite, nettoyées par "USB Image Tool".
J'ai vérifié l'intégrité des images par leur CRC.
Dans Rufus, je sélectionne "image DD" ensuite je choisi l'image de type VGA et je crée la clef.

Vous avez des pistes ?

C'est quand même rageant de rester bloqué sur ce point qui devrait être trivial :(

Merci

Frédéric