Hi@All,
bin gerade am konfigurieren der OPNsense bzgl. Dual WAN
folgende Konstellation - nur mit einem WAN Interface, weil wenns mit einem nicht funktioniert, funktionierts auch mit zwei WAN Interfaces nicht - schon probiert ...
WAN Interface bekommt eine öffentliche IP von einem Magenta-Router im Bridge-Modus
OPNsense 192.168.0.1
unRAID 192.168.0.8
nginx reverse proxy - npm - läuft auf unRAID mit IP 192.168.0.25
obiges funktioniert ohne Probleme, d.h. Internet ok, Zugriff im LAN auf diverse subdomains per npm ok
sobald ich in den LAN-Firewall Regeln - allow any to any - Gateway default,
den Gateway auf WAN_DHCP - x.x.x.x setze:
Internet ok, Zugriff im LAN auf diverse subdomains nicht mehr möglich, aber von extern ok !
Habe diverse Anleitungen auf youtube bzw. von OPNsense - sind nahezu ident - probiert, aber finde nichts konkretes in Verbindung mit npm im lokalen Netz
Das zweite WAN soll von einem LTE-Router, auch im Bridge Modus, mit öffentlicher IP (!) kommen, was ja auch schon funktioniert
Nur hab ich das Problem wegen dem Gateway bzw. in weiterer Folge der Gateway-Gruppe
Irgendwie weiss ich nicht, wo ich den Hebel ansetzen soll
Danke für jede Unterstützung
LG aus Kärnten
Du brauchst mehr als eine Firewall Regel im LAN dafür.
Du brauchst Regeln die als erstes matchen und lokalen Traffic erlauben. Pass auf dass diese Regel selektiver als die Internet Allow Regel sind. Also keine Destination Any.
Als letztes brauchst du eine WAN allow Regel die als invertierte Destination IP einen Alias aus den RFC 1918 Netzen hat. Auf die wendest du den speziellen Gateway an.
Wenn du nur eine any any regel hast und auf die einen Gateway setzt wird jeder Traffic dort hingeschickt.
Create the following aliases:
Name: InternetIPv4
Type: Network(s)
Content: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
Description: Internet IPv4 - use inverted
Firewall Regel für Internet:
Action Pass
Interface LAN
Direction In
TCP/IP Version IPv4
Protocol Any
Source LAN net
Source port Any
Destination / Invert X
Destination InternetIPv4
Destination port Any
Gateway Dein Gateway
Description Allow Internet Access IPv4
Danke für Deine Info,
bin heute nicht mehr ganz so aufnahmefähig, wegen so einem Haupt-Domain-Zeritfikat (ich glaub es heisst so), welches in der Firma abgelaufen ist und einige angerufen haben, wegen unsicherer Seite, aber unser admin hat's im Urlaub geregelt bzw. ist vor zwei Stunde in der Firma erschienen ...
Habe jetzt folgende Regel erstellt:
Sieht gut aus, bis auf das LAN Allow. Da darf die Destination nicht any sein, sonst matched die Regel für alle Destination IPs, auch das Internet.
Du musst bei allen Regeln vor der Internet Allow Regel bei Destination explizite Zielnetzwerke angeben. Also z.B. den gleichen RFC1918 alias aber nicht invertiert. Oder das LAN net.
Super,
danke vielmals, bin echt nimmer ganz Aufnahmefähig ...
werde morgen mit dual-WAN weiter machen, d.h. statt WAN_DHCP die WAN-Gruppe eintragen
externe Erreichbarkeit über WAN2 ist nicht so relevant, es geht mir nur ums "Failover" falls WAN1 ausfallen sollte, dass ich bzw. meine Kids ins Internet kommen
LG
Christian
im Vergleich zur OPNsense ist die Unifi bzw. Synology-Router Firewall eine "mickey mouse" Geschichte,
hatte Beides im Einsatz, Danke nochmals
Bitte schön. Und ja die Opnsense ist sehr mächtig, man kann da sehr viel machen. Wenn du nochmal Hilfe brauchst einfach posten. Schönen Abend :)
:) :) :)