Topics

I am replacing my HomeLab LAN with the latest OPNsense version on an APU4C4 and Cisco SG-200 managed switch.

In addition to the LAN (192.168.11.0/24) on igb1, I have three additional VLAN devices (User, Guest, IoT with IDs 10, 20, 30, and 192.168.{110,120,130].0/24) with igb2 as the parent. The static interface IPs are set to the .1 host in the network, and DHCP/DNSmasq is also configured for LAN and VLANS. Everything looks OK to me here.

The physical devices igb1 and igb2 go to the switch. All ports are configured as trunk ports - except for port g3, which is the access port for VLAND ID=10. My test PC is also connected to this port, but it is not receiving an IP address. When I plug the cable into port g4, I receive an IP address from the LAN network.

What is not as I expect here, and how can I narrow down the error?

All firewall rules are default.

I am trying to rebuild my network. I have an APU 4C4 with OpnSense 25.7: igb0 is LAN, igb1 is WAN, and igb{2,3} is LAGG/LACP 'lagg0_downstream'. This goes to a Cisco Switch SG200-8, where g7,8 is configured as LAG chan1 'lagg0_upstream'. All other ports on the SG200-8 are trunk or default. My dumb Openwrt Unify AP is connected to this.
In addition, I have configured VLAN 10,20,30 (User, Guest, IoT) on the OpnSense with their own networks, which are placed on lagg0. The LAN cable also goes to the SG-200.

Now to the question: I want to put the VLAN and the LAN itself untagged on the LAGG, but so far I haven't been able to do it without locking myself out. The LAN and the 3 VLANs should then go to the Unifi AP on the switch. The other ports on the SG200 would then serve as access ports. I would use the LAN igb0 port that would then be free for the DMZ. Would that make sense, or should I also put the DMZ in VLAN?

Hi,

I'm using DNS NAT to redirect DNS transfer to local unbound. This was working until yesterday. I've no idea what I've changed, suddenly DNS resultions doesn't work any more. On logs I see incoming DNS/UDP packets rejected and I have no idea why? Any hints?

Hello OPNsense Freunde,

wie werden die Regeln für egress Filtering bzgl. Reihenfolge angewandt? Die Doku (https://docs.netgate.com/pfsense/en/latest/book/firewall/ingress-and-egress-filtering.html#egress-filtering) ist nicht sehr aussagekräftig, oder ich habe nicht aufmerksam genug gelesen.

Ich habe mich diesem mal angenommen (siehe auch [Egress Filtering FAQ - SANS Institute](https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059)) und was heraus gekommen ist ist im Anhang zu sehen - ein Misch aus ingress und egress Filtering bzgl. Reihenfolge. Oder ist das bzgl. in/out egal?

Ich überlege mir, gerade den MS Kram mit in die Silent Block Category aufzunehmen - da schwirrt ja eine Menge rum. Was sagen die Praktiker dazu?

Hello OPNsense friends,

for a self written script I require qrencode. I installed the opnsense tools and ports and found:

Code Select Expand


/usr/ports/graphics/qr-code-generator


but failed to compile it:

Code Select Expand


sudo make install
===>   qr-code-generator-1.6.0 depends on package: gmake>=4.3 - found
usage: install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 file2
       install [-bCcpSsUv] [-f flags] [-g group] [-m mode] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               [-B suffix] [-l linkflags] [-N dbdir]
               file1 ... fileN directory
       install -dU [-vU] [-g group] [-m mode] [-N dbdir] [-o owner]
               [-M log] [-D dest] [-h hash] [-T tags]
               directory ...
*** Error code 64

Stop.
make: stopped in /usr/ports/graphics/qr-code-generator


Before, I compiled and build htop successfully, which was quite easy. So, what is the way to compile/install this? My first attempt was to compile py-qrencode, but it will install a lot of other and therefore unwanted tools! Hence I ^C the build ....

Finally I only want to call

Code Select Expand


echo "Foo Bar" | qrencode -t ANSIUTF8


to get my QR Code.

Hello,

I have here a strange blocking message about SSDP Protokoll Port 1900 from host which shouldn't exist there. My network topology is as of:

Code Select Expand


Internet
   |
   |
Provider IP
   |
Cable Modem (Web API 192.168.0.1)
|       |
|       +-- 192.168.0.10 pfsense (old Setup, to be replaced)
|
+-- 192.168.0.111 (WAN)
       OPNsense (current setup)


Dst '239.255.255.250' is the multicast SSDP adress  with port 1900 (see [Simple Service Discovery Protocol](https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol)) which I want to silent block next time; but, where from comes the source IP? There should be only the two from the senses, there is no WLAN on cable modem active!

Anyway, does the pf rule attached do the job (no idea about netmask and brastcast 'IP's)?

Hello OPNsense Freunde,

irgendwie habe ich meine Config bei obigen Plugins/Pckgs vermurckst - ein Neu-Install hat nix gebracht, da die Web Konfig behalten wird und ich so nicht wieder "von vorne" anfangen kann. Daher die Frage, wie resette ich diese?

Aber nun zum Problem. Ich behaupte, ich bin vorgegangen wie in [Setup Transparent Proxy](https://docs.opnsense.org/manual/how-tos/proxytransparent.html#setup-transparent-proxy) beschrieben :)

Rufe ich dann den EICAR via http auf (http://www.rexswain.com/eicar.html) bekomme ich die Warn-Meldung. Rufe ich per https auf (https://www.eicar.org/?page_id=3950) kommt keine Meldung - ich kann ungehindert runterladen. Eine kurze Zeit bekam ich diesen auch mal zu sehen, plötzlich nicht mehr. Im FF konnte ich oben sehen "zertifiziert von HomeLAN CA" (oder so - meine self-signed interne CA). Chrome ist da zickiger. Das self-signed CA CRT habe ich system-wide auf meine Fedora Installation gebracht, was im FF auch als "System Trust" in der Zertifikatsverwaltung angezeigt wird.

Auf der Sense laufen all Prozesse (es gab auch mal lt. Logs einen Crash, daher die oben erwähnte Neuinstallation):

Code Select Expand


admin@OPNsense:~ % sudo sockstat  -l | egrep '(clamav|icap|squid)'
c_icap   c-icap     35415 5  tcp6   *:1344                *:*
c_icap   c-icap     28209 5  tcp6   *:1344                *:*
c_icap   c-icap     57726 5  tcp6   *:1344                *:*
c_icap   c-icap     3990  5  tcp6   *:1344                *:*
clamav   clamd      78715 4  tcp4   127.0.0.1:3310        *:*
clamav   clamd      78715 5  stream /var/run/clamav/clamd.sock
squid    squid      68856 11 udp46  *:25886               *:*
squid    squid      68856 20 udp4   *:58766               *:*
squid    squid      68856 47 tcp4   127.0.0.1:3128        *:*
squid    squid      68856 48 tcp6   ::1:3128              *:*
squid    squid      68856 49 tcp4   127.0.0.1:3129        *:*
squid    squid      68856 50 tcp6   ::1:3129              *:*
squid    squid      68856 51 tcp4   192.168.20.1:3128     *:*
squid    squid      68856 52 tcp4   192.168.1.1:3128      *:*
squid    squid      88504 9  dgram  (not connected)

mit

Code Select Expand


admin@OPNsense:~ % cat /usr/local/etc/squid/squid.conf
http_port 127.0.0.1:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port [::1]:3128 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port 127.0.0.1:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
https_port [::1]:3129 intercept ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.20.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
http_port 192.168.1.1:3128  ssl-bump cert=/var/squid/ssl/ca.pem dynamic_cert_mem_cache_size=10MB generate-host-certificates=on
sslcrtd_program /usr/local/libexec/squid/security_file_certgen -s /var/squid/ssl_crtd -M 4MB
sslcrtd_children 5
tls_outgoing_options options=NO_TLSv1 cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
acl bump_step1 at_step SslBump1
acl bump_step2 at_step SslBump2
acl bump_step3 at_step SslBump3
acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
ssl_bump peek bump_step1 all
ssl_bump splice all
ssl_bump peek bump_step2 all
ssl_bump splice bump_step3 all
ssl_bump bump
sslproxy_cert_error deny all
acl ftp proto FTP
http_access allow ftp
acl localnet src 192.168.20.0/24 # Possible internal network (interfaces v4)
acl localnet src 192.168.1.0/24 # Possible internal network (interfaces v4)
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl remoteblacklist_Shallalist.de dstdomain "/usr/local/etc/squid/acl/Shallalist.de"
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icap_enable on
icap_default_options_ttl 60
adaptation_send_client_ip on
adaptation_send_username off
icap_client_username_encode off
icap_client_username_header X-Username
icap_preview_enable on
icap_preview_size 1024
icap_service response_mod respmod_precache icap://[::1]:1344/avscan
icap_service request_mod reqmod_precache icap://[::1]:1344/avscan
include /usr/local/etc/squid/pre-auth/*.conf
adaptation_access response_mod deny remoteblacklist_Shallalist.de
adaptation_access request_mod deny remoteblacklist_Shallalist.de
http_access deny remoteblacklist_Shallalist.de
adaptation_access response_mod deny !Safe_ports
adaptation_access request_mod deny !Safe_ports
http_access deny !Safe_ports
adaptation_access response_mod deny CONNECT !SSL_ports
adaptation_access request_mod deny CONNECT !SSL_ports
http_access deny CONNECT !SSL_ports
adaptation_access response_mod allow localhost manager
adaptation_access request_mod allow localhost manager
adaptation_access response_mod deny manager
adaptation_access request_mod deny manager
http_access allow localhost manager
http_access deny manager
adaptation_access response_mod deny to_localhost
adaptation_access request_mod deny to_localhost
http_access deny to_localhost
include /usr/local/etc/squid/auth/*.conf
adaptation_access response_mod allow localnet
adaptation_access request_mod allow localnet
http_access allow localnet
adaptation_access response_mod allow localhost
adaptation_access request_mod allow localhost
http_access allow localhost
adaptation_access response_mod deny all
adaptation_access request_mod deny all
http_access deny all
include /usr/local/etc/squid/post-auth/*.conf
cache_mem 256 MB
cache_dir ufs /var/squid/cache 100 16 256
coredump_dir /var/squid/cache
refresh_pattern pkg\.tar\.xz$   0       20%     4320 refresh-ims
refresh_pattern d?rpm$          0       20%     4320 refresh-ims
refresh_pattern deb$            0       20%     4320 refresh-ims
refresh_pattern udeb$           0       20%     4320 refresh-ims
refresh_pattern Packages\.bz2$  0       20%     4320 refresh-ims
refresh_pattern Sources\.bz2$   0       20%     4320 refresh-ims
refresh_pattern Release\.gpg$   0       20%     4320 refresh-ims
refresh_pattern Release$        0       20%     4320 refresh-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)     4320 80% 129600 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd) 4320 80% 129600 reload-into-ims
refresh_pattern -i windows.com/.*\.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip|esd)       4320 80% 129600 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_v4_first on
access_log stdio:/var/log/squid/access.log squid
cache_store_log stdio:/var/log/squid/store.log
httpd_suppress_version_string on
uri_whitespace strip
forwarded_for on
logfile_rotate 0
cache_mgr root@home.lan
error_directory /usr/local/etc/squid/errors/en-us

Was hier auffällt ist der fehlende SSL 3129 Port an 192.168.1.1 (LAN1 mein aktuelles non-VLAN) und 192.168.20.1 (LAN mit VLAN=20 soll LAN1 später ersetzen). Ich hoffe, ich habe alle relevanten Screenshots gemacht.

Hallo,

wo werden eigentlich die CRON jobs bei opnsense angelegt? Ich habe einen angelegt für Open-/DynDNS, der ist aber nicht in '/etc/crontab' zu finden, obwohl angelegt (und apply gedrückt). Gewollt ist das Update an jedem ersten des Monats um 6:00 Uhr. Der Termin ist vorbei und ich bekomme eine Meldung von NoIP über den Auslauf des Eintrages, wobei ich den DynDNS OpenDNS service verwende.

Code Select Expand


$ cat /etc/crontab | egrep -v '^#'
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
*/5 * * * * root /usr/libexec/atrun
*/11 * * * * operator /usr/libexec/save-entropy
0 * * * * root newsyslog
1 3 * * * root periodic daily
15 4 * * 6 root periodic weekly
30 5 1 * * root periodic monthly
1,31 0-5 * * * root adjkerntz -a

$ ll /etc/cron.d/
total 0


Hallo OPNsense Freunde,

aktuell versuche ich für mein Gäste WLAN den DSNMasq Forwarder per NAT auf das Interface los zu lassen - und bin gescheitert :(

Unter Services/Dnsmasq habe ich diesen enabled und den Port auf 5335 mit strict Binding gesetzt, da ich Unbound für die anderen Interfaces verwende. Für den 5335 ein Alias eingerichtet und NAT Regeln erzeugt, die NAT Rule als ersten Match plaziert. Dennoch zeigt mir das Log, dass die Clients auf Port 53 zugreifen und entsprechend abgewiesen werden. Wie bekomme ich das hin? IMO habe ich mich an die OPNsense Doku gehalten ...

Hello OPNsense friends,

to allow my guest WLAN access, I added a captive portal (CP) - no problem so far. I'm using an Unifi WLAN AP Lite and OPNsense captive portal. At this time, the guest WLAN has an own SSID with PSK managed by Unifi - than the guest is landing on CP/OPNsense ...

I was able to generate the CSV file for amount of time limited user/passwords. The generated user/passwd pairs looks strong (special chars). So, the idea was to generate QR Codes to avoid misspellings. So, here I am. A lot of WEB resources can generate QR Codes for SSID/PSK/WPA combos etc. How to handle concrete the CP login page here?


I would assume, the QR has to encode the CP URL with this embedded in, isn't? It did not found the URI format for this. The URI must be (in my case) http://192.168.40.1:8000 ?
How to handle the SSID? A further QR code here?

Thanks

Hallo OPNsense Freunde,

aktuell beschäftige ich mich mit VLANS ect. Dabei bin ich zB. auch nach https://nguvu.org/pfsense/pfsense-baseline-setup/ vorgangen. Klingt alles soweit plausibel . Allerdings ist mir generell aufgefallen, dass einige als Source das jeweilige Netz angeben (ingress filtering?), andere als Source nur '*'/any angeben (sollte imo auch ingress filtering sein). Welche Auswirkungen haben diese beiden Ansätze bzw. welche Idee steckt dahinter?

Ich könnte mir 'böse Buben/Mädels' vorstellen, die zB. in das LAN einen ungewollten WiFi AP einbringen, womit auch andere Netzte als gewollt plötzlich 'drinnen' wären. Erster Ansatz würde dieses bei der WLAN Regel (siehe https://nguvu.org/images/170127-080-vl40_guest-rules.png) unterbinden, bei Source=any/'*' dieses dennoch ungewollt erlauben, oder etwa doch nciht? Liege ich mit den Überlegungen richtig?

Hi,

can I use (or even is it supported) an external Security token like the Nitrokey Start with PGP keys with the Trust/Authorities? I would assume I have to use 'Import an exsisting Certificate Authority' but the question rise how to enter the pass phrase for the private key than. The Nitro Key must be probably placed on the OPNsense box I would assume.

Thanks in advance

Hallo Opnsense Freunde,

offenbar habe ich ein echtes Problem mit dem Verstehen der Firewall rules (oder/und mir fehlt der Background).

Ich habe per VLAN ein Mgmt Netz aufgebaut und bekomme nach kurzer Zeit Verbindungsabbrüche, die sich mit den Tips aus dem INet (KeepAlive... etc.) nicht lösen lassen. Inzwischen kam ich auf die Idee, die FW Regeln mal loggen zu lassen. Für mich sehen die Regeln ok aus, das Log sagt aber etwas anderes, siehe mgmt_RULES.png

Aktive Rules sind #1 und #2

Pass: IPv{4,6} Source Mgmt Network any Port -> Opnsense Mgmt Network IP any port
Pass: IPv{4,6} Source Mgmt Network any Port -> any IP im Mgmt Network any port

ursprünglich sollte der Verkehr aus dem Mgmt Net in andere Netze zudem geblockt werden - was die default block Rule auch macht, wie ich inzwischen im Log gesehen habe.

Das Log sieht dann so aus mgmt_LOG.png.

Die Verbindung von meinem Host 192.168.10.100 nach 192.168.10.11:22 wird aufgebaut und eine Weile gehalten, dann wird geblockt was das Zeug hält. Das war nicht so beabsichtigt und erklärt meine Abbrüche mit der SSH Verbindung.

Wo ist meine Wissenslücke/Denkfehler und wie bekomme ich meine SSH Verbindung wieder hin ohne alles "offen" zu haben? Ich gehe davon aus, das Mgmt Traffic auch in diesem Netzt bleiben soll ...

Vielen Dank

Hi,

just I revised the logs and saw a default deny rule active, details see attachement. The private IP from SRC it's me, the Dst adress is Dropbox (https://whois.domaintools.com/162.125.35.135) which I use. So what triggers these, since I don't expected it (and even dropbox seems still to work as expected).

Hello,

I've read something about DMZ and try to realize them for my home lan now, but want to have a plan before :)

Locally, I've opnsense on APU4C4 with LAN+WAN and a VLAN aware switch (zyxel GS1900).
The LAN is 192.168.1.0/24. Hence 2 (with WAN) of the 4 ports are gone. I like to add the DMZ with 2 clients at igb2 to spreat the bandwith. Further I want to add a Mgmt VLAN and the 'CableVLAN'.

The DMZ shall have the net 192.168.90.0/24 and the Mgmt 192.168.10.0/24, CableVLAN 192.168.20.0/24. In my case probably obvious is the use of VLAN Tag=10 for Mgmt, VLAN Tag=20 for CableVLAN. But how to realize the DMZ? As 'physical' net 192.168.90.0/24 or as VLAN Tag=90 as 192.168.90.0/24 with e.g. 192.168.2.0/24 as underlaying LAN segment??

One of the Server is  Docker Host, running UNIFI Controller Software. As far I've understood the simplest solution is to allow the LAN segment PVID=1 rule to the inform URI from Unifi AP / WLAN network (e.g. VLANs 192.168.{30,40}.0/24 for WiFi and Guests). Setting the inform network to Mgmt network is possible, but for an home lan overkill and may result into cutting of the access risk to the AP (I've read).

Can I wire both LAN(igb0) and DMZ(igb2) from opnsense box to the switch (ports tagged according of course) and plug in both servers to the same switch too? The switch has strong backplate to allow parallel traffics.

Maybe have the option to create DMZ#2 with VLAN=91 later on?

Are my considerations usefull/clear?

Thanks in advance

Hello,

Im just starting to migrate from pfsense to opnsense. So, only LAN and default rules are here. I created an admin account with SSH keys, root isn't allowed to login, also no password login.

If I login using FQDN of my opnsense it takes really time (~5min):

Code Select Expand


        date && ssh admin@opnsense.home.lan
        Fr 22. Mai 15:45:21 CEST 2020
        Last login: Fri May 22 15:41:09 2020 from 192.168.1.100
        ----------------------------------------------
        |      Hello, this is OPNsense 20.1          |         @@@@@@@@@@@@@@@
        |                                            |        @@@@         @@@@
        | Website: https://opnsense.org/        |         @@@\\\   ///@@@
        | Handbook: https://docs.opnsense.org/   |       ))))))))   ((((((((
        | Forums: https://forum.opnsense.org/  |         @@@///   \\\@@@
        | Lists: https://lists.opnsense.org/  |        @@@@         @@@@
        | Code: https://github.com/opnsense  |         @@@@@@@@@@@@@@@
        ----------------------------------------------
        admin@OPNsense:~ % date
        Fri May 22 15:49:51 CEST 2020


Using the IP I'm immediately on the opnsense box. Even changes of the unbound override doesn't change it. Using the web UI is also fast.

Attached my unbound changes. So, what is the reason and how to fix it?

EDIT:

nslookup is quite fast ...

Code Select Expand


        $ nslookup opnsense.home.lan
        Server: 192.168.1.1
        Address: 192.168.1.1#53

        Name: opnsense.home.lan
        Address: 192.168.0.66
        Name: opnsense.home.lan
        Address: 192.168.1.1
        Name: opnsense.home.lan
        Address: 2a0c:d242:3805:3bf0:20d:b9ff:fe52:f724
        Name: opnsense.home.lan
        Address: fe80::20d:b9ff:fe52:f724
        Name: opnsense.home.lan
        Address: 2a0c:d242:3805:3b00:20d:b9ff:fe52:f725
        Name: opnsense.home.lan
        Address: fe80::20d:b9ff:fe52:f725


Thanks

Hallo opnsense Freunde,

der Titel ist evtl. etwas irreführend, daher meine Idee am Anhang. Ich habe eine APU4, bei der ich den gesamten WLAN Kram auf eine von den 4 Dosen legen wollte um ggf. alles mit einmal sperren/ziehen zu können.
Aktuell gibt es bei mir keine DMZ und das Unifi UFO hängt bei mir im LAN, konfiguriert via Unifi Controller auf einem Mini PC als Docker Image. Das geht soweit gut, obwohl mir da schon als Freizeit Admin unwohl ist. Daher alles auf die igb2.

Die Tutorials, welche ich gefunden habe, haben alle? mit VLAN und vom Unifi-Controller aus gearbeitet. Mir ist aber nicht klar, wie ich einen dummen AP aus dem AC Lite machen soll - um alles auf der opnsense zu machen - Vaucher etc. Auch läuft der Uni Controller ja im LAN und weiß erst'mal nichts vom VLAN .... Wie geht man da am besten vor - mit Für und Wider - ich finde den Unifi Controller einfach überfrachtet ...

Auch sollte der Unifi Controller, dem Rat aus diesem Forum folgend, nicht unbedingt auf opnsense laufen. Srv1 hat noch andere Aufgaben und IIR muss der Unifi Controller nicht ständig laufen (wir nur zur Konfig. benötigt).

Hello,

as the subjects says, I did run into the bug?/problem. On a fresh installed opnsense v20.1 on APU4 the setup justified all fine for WAN as DHCP client. I'm behind a cable Modem (yes, not in bridge for some reasons) on the DMZ port of them. Hence a static WAN IP was intended to be used.
Anyway, I set up the static IP for interface WAN and "recreated" the WAN gateway (simply rename doesn't work). The common firewall rules where created, but still no access to Internet. After investigating, I had to manually create the outbound NAT rule:

even the automatic rule generation was active. So, is it bug, feature, or did I unintentionally forgot something?

Hallo OPNsense Freunde,

bevor ich den Text schreibe, hier mein Setup/Wunsch:

Code Select Expand


      WAN / Internet
            :
            : Cable
            :
      .-----+-----. CableModem TC7200              .---
      |  Gateway  +--------------------------------+ old pfsense
      '-----+-----' WAN | 192.168.0.0/24 (DHCP)    '----
            |
        WAN | 192.168.0.1/24
        DMZ |
            |
            | static IP 192.168.0.11
      .-----+------.
      |  OPNsense  | v20.1 (APU4)
      '-----+------'
            |
        LAN | 192.168.11.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)



Ich hänge hier am Cable Modem (Technicolor TC7200) an der alten ALIX pfsense Box, die ich durch eine neue APU4 mit OPNsense ersetzten möchte - und kläglich scheitere in der praktischen Umsetzung meiner Ideen.
Ich möchte mir die Möglichkeit offenhalten, das alte Setup eine Weile weiter oder anderweitig betreiben zu können; auch weil dort ein ein mir unabhängiges WLAN vom TC7200 kommt.

Um Doppel-NAT zu vermeiden, wollte ich den OPNsense and die DMZ vom Cable-Modem hängen - dieser legt alles auf die 172.168.0.11 (ist so von mir konfiguriert). Damit gehen die Probleme los: Ist alles per DHCP konfiguriert, klappt es - habe aber Doppel-NAT und andere Probleme mit der Port-Mapping für LetsEncrypt etc., das ich auf einem dedizierten Docker  Host machen möchte.
Die Vergabe der statischen IP 192.168.11.1 am WAN des OPNsense klappt, das habe ich am Cable Modem kontrolliert. Das WAN Gateway bleibt das Selbe. Dennoch habe habe ich vom LAN keinen Zugang mehr zum INet. Auch die statische Route, DNS 1.1.1.1 Einträge haben nicht geholfen.

Laut einem engl. youtube Video (ja, nicht die beste Quelle, aber dafür 100% Treffer) reicht die IP zu ändern aus ... Wie ist der Weg zum Erfolg für meinen Fall?

Viele Dank!