OPNsense Forum

Guten Morgen,

ich bin von Sophos auf OPNsense umgestiegen und bin so weit auch gut damit gestartet.
HAproxy, VPN usw. funktioniert alles und ins Internet komme ich auch ;D

Nun habe ich aber 2 WAN Verbindungen, von dem natürlich eine als Standard fungiert. Bei der Sophos habe ich aber einzelne Clients über WAN2 hinausgeschickt. Kann mir jemand sagen, wie das bei OPNsense geht?

Grüße
Dennis

Dazu findest du einige Beiträge im Forum, einfach die Forum suche nutzen


Gesendet von iPhone mit Tapatalk Pro

Hi micneu,

ja irgendwie finde ich nicht das was ich versuche, oder ich Suche einfach nicht richtig. Ich habe da was (ähnliches gefunden) über outbound nat und hab das mal versucht.

Schnittstelle   Quelle   Quellport   Ziel   Zielport   NAT Adresse   NAT Port   Statischer Port
WAN                  webserv    *              *      *               WAN2               *               NEIN

Ja dann habe ich tatsächlich die IP von WAN2 aber das Internet ist grotten langsam und ich kann kaum etwas aufrufen. ??? Vielleicht hat da ja wer einen Denkansatz für mich.

Grüße
Dennis

Du brauchst eine "allow" Firewall-Regel auf LAN, bei der du explizit den Gateway setzt.

Hi pmhausen,

ja so ein wenig vermisse ich meine Sophos gerade  ;D

FIREWALL: REGELN: LAN

eingehend

Protokoll   Quelle   Port   Ziel   Port   Gateway
   IPv4 *   webserv    *   *   *   WANTEST_PPPOE

so in etwa?
Grüße
Dennis

Lese ich das richtig:

Protokoll: IPv4
Quelle: *
Port: webserv

Das würde wahrscheinlich nicht funktionieren. Was steht denn in "webserv" für ein numerischer Wert drin? Und "Quelle: *" gilt dann natürlich für alle deine Clients in dem LAN ...

Also wenn du einen einzelnen Client über einen anderen GW schicken willst, dann:

Quelle: dieser Client
Port: *
Ziel: *
Port: *
Action: allow
Gateway: der gewünschte GW

Also ich habe gemacht,

FIREWALL: REGELN: LAN (eingehend)

Quelle: webserv (Alias Host mit IP Webserver)
Port: *
Ziel: *
Port: *
Action: allow
Gateway: WAN2

leider keine Änderung, ich verstehe das ganze ja auch so das durch die (Default allow LAN to any rule) der webserver auf WAN rausgehen will und dann vom outbound nat abgegriffen wird und über WAN2 geschickt wird.
Geht es jetzt mit der LAN Regel um den Rückweg?

Grüße Dennis

Setze das Outbound NAT zurück auf automatisch und nein, damit machst Du kein policy based routing (PBR).
Auch zwingt man einen gewöhnlichen Webserver nicht auf ein bestimmtes Gateway, der soll doch darüber antworten, worüber er angesprochen wurde...

Hi Bob.Dig,

also nochmal zum Verständnis, ich habe ja mein LAN und 2x WAN. Webserver egal den habe ich nur zum testen gerade weil ich mit VPN drauf komme. Eigentlich will ich normale PCs über WAN2 jagen.

ALSO: Webserver WAN1 ist ja standardmäßig auch so und wird über die HA angesprochen. Und meinen PC zb. sollen aus LAN über WAN2 rausgehen.

Grüße
Dennis

Ok, dafür machst Du eine Regel auf dem LAN, die als Quelle deinen PC führt und die als Ziel einen invertierten RFC1918-Alias enthält. In dieser Regel muss dann auch das besagte Gateway explizit gesetzt sein und die Regel muss über den meisten anderen Regeln stehen. Good Luck.

Hi Bob.Dig,

okok wir kommen der Sache näher ^^

Ok, dafür machst Du eine Regel auf dem LAN (OK!)
die als Quelle deinen PC führt (OK!)
und die als Ziel einen invertierten RFC1918-Alias enthält. (WTF!  :o)
In dieser Regel muss dann auch das besagte Gateway explizit gesetzt sein (OK!)
die Regel muss über den meisten anderen Regeln stehen. (OK!)

OK Aliase klar aber sowas wie RFC1918 gibt es nicht zur Auswahl und was genau muss dann im Alias drin stehen?

Sorry das alles noch verwirrend für mich.
Grüße Dennis

Quote from: Sabo on July 04, 2023, 12:43:53 PM

OK Aliase klar aber sowas wie RFC1918 gibt es nicht zur Auswahl und was genau muss dann im Alias drin stehen?

Hier https://docs.netgate.com/pfsense/en/latest/recipes/rfc1918-egress.html#steps-to-block-rfc-1918-traffic-from-leaving-the-wan-interface wird so ein Alias z.B. erwähnt, der Rest dort ist nicht von Interesse. Nachdem Du den Alias erstellt hast, musst Du diesen in der besagten Regel verwenden und invertieren.

Hi,
also ich habe den Alias so wie in deinem Link eingerichtet.


FIREWALL: REGELN: LAN In angelegt

Schnittstelle: LAN
Richtung: IN
TCP/IP Version: IPv4
Protokoll: any
Quelle: Der Rechner
Ziel / Umkehren: X (Hacken drin!)
Ziel: rfc1918 (Alias wie angelegt)
Gateway: WAN2 ausgewählt!

auf dem Server ist bei der Abfrage root@webserv:~# wget -O - -q icanhazip.com auch einmal die richtige  IP von WAN2 aufgetaucht.

Ping auf google sieht so aus!

--- google.de ping statistics ---
40 packets transmitted, 1 received, 97.5% packet loss, time 39883ms
rtt min/avg/max/mdev = 4.396/4.396/4.396/0.000 ms

root@webserv:~# nslookup google.de
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   google.de
Address: 142.250.185.227
Name:   google.de
Address: 2a00:1450:4001:808::2003

Irgendwas ist noch nicht richtig  :-[

Grüße Dennis

Hast Du denn das Outbound NAT auch zurückgesetzt? Zeige mal einen Screenshot deiner Regeln. Was gibt es noch für Variablen, irgendwas mit HA und eventuell mehr...
Was soll die DNS-Anfrage belegen?

Du hast eine PM

Was soll die DNS-Anfrage belegen?
Gute Frage da eher nix  :D

Also die eine Regel ist schon mal deaktiviert.

Ja sonst hätte der Link zu den Bildern nicht funktioniert  ;D

Das sollte null damit zu tun haben.

Warum hast Du hybrid outbound NAT, mach auf automatisch und sorge dafür, dass dein zweites Gateway dort ebenfalls auftaucht, sehe dort nämlich nur eines.

Hi Bob.Dig,

Warum hast Du hybrid outbound NAT, mach auf automatisch?
Weil ich das brauche wegen dem 3CX Server.

und sorge dafür, dass dein zweites Gateway dort ebenfalls auftaucht, sehe dort nämlich nur eines.

ich hab dir nochmal ein Screenshot in den Share gelegt, da waren beim ersten die Auto Regeln nicht mit drin.

Grüße
Dennis

Also daran sollte es dann nicht liegen.
Soweit sieht es jetzt korrekt aus, ausgehend von dem, was ich sehen konnte.
Du musst natürlich die Regel auch aktivieren. Wenn ich raten soll, dann funktioniert dein zweites WAN nicht korrekt? Das kann man aber einfach mit Ping ausgehend vom jeweiligen Interface auf der Sense testen.

Ach so ja hmm,

also ich habe jetzt kreuz und quer getestet, so wohl das eine als auch das andere Interface tut super. Dann habe ich mal aus Verzweiflung die gateway Priorität eingestellt und bei WAN 2 das Häkchen für Upstream Gateway eingeschaltet.

Und was soll ich sagen es tut wie geschmiert + deine Regel mit dem ! rfc1918! ::) scheiß Technik, wobei die natürlich nix für meine Unwissenheit kann. Aber naja diese Momente kennen wir denke ich alle!  ;)

Ich beobachte das jetzt mal weiter aber es schaut super gut aus jetzt!

Ich danke dir für deine Hilfe Bob.Dig!
Grüße Dennis

Quote from: Sabo on July 04, 2023, 09:38:55 PM
und bei WAN 2 das Häkchen für Upstream Gateway eingeschaltet.

Das könnte es gewesen sein.  ;)

Wobei ich das wieder sehr verwirrend finde das es ohne halt so ein bisschen geht und nicht einfach gar nicht!  >:( ::)