Hi!
Ich habe eine Firewall mit OPNsense und diese auch auch für alle Geräte Default-GW.
Ich habe eine Failover-Gruppe angelegt, weil ich 2 DSL-Leitungen habe, es gibt aber auch noch weitere interne Netz.
Die Firewall ist sehr streng, lässt nur bestimte Host und Dienste zu, ins Internet und auch in die internen Netze.
Bisher waren alle Regeln nur mit den Eigenschaften Quelle, Ziel und Port konfiguriert. Für Failover scheint das nicht zu reichen, da muss ich auch ein Failover-Gateway angeben.
Damit setze ich aber die Funktion für andere Netze ausser Kraft.
Wie kann man das elegant lösen?
Ich möchte ungerne viele weitere Regeln anlegen.
Verstehe ich nicht ganz,
die "roten" Failover haben doch nichts mit den Regeln zu tun?
Von internesNetz1 in internesNetz2 geht doch komplett an den Gateways (ROT) vorbei!
Und für den Internetzugang muss das doch auch nicht sein- gibst einfach kein Gateway an (ist ja bei DSL sowieso dynamisch). Dann entscheided die Sense, welches Gateway sie nimmt. Die bisherigen WErte Quelle, Zile und Port sind doch unverändert gültig, braucht man doch keine neuen Regeln...
https://docs.opnsense.org/manual/how-tos/multiwan.html
Punkt 4: Default allow auf die Failover-Gruppe setzen.
Da ich kein Default Allow habe, könnte nur nur die bisheringen Regeln auf die Failovergruppe setzen.
Kann jemand anderes Licht in die Sache bringen?
Ich verstehe nicht ganz, was du tust, aber du schriebst doch:
Quote from: Egon4 on July 08, 2025, 01:09:11 PMDa ich kein Default Allow habe, könnte nur nur die bisheringen Regeln auf die Failovergruppe setzen.
Dann mach das doch? Wo genau ist das Problem?
Setze ich diese eine Regel auf den Failover, kann der Host in keine anderen internen Netze mehr.
Ändere die Regel, so dass das Ziel nicht "any" ist sondern "! local_networks" mit einem passenden Alias, der deine lokalen Netze enthält.
Quote from: Patrick M. Hausen on July 24, 2025, 12:18:07 PMÄndere die Regel, so dass das Ziel nicht "any" ist sondern "! local_networks" mit einem passenden Alias, der deine lokalen Netze enthält.
Was also bedeuten würde, ich brauchte doch zwei Regeln, denn ohne allow-Regek kommt man aus keinem Netz raus.
Ja, denn entweder du brauchst dann eine für DNS, wenn die generelle "allow" nur für "! local_networks" gilt, oder du legst eine mit Ziel "local_networks" ohne Invert an und lässt da die Gateway-Gruppe weg.
Ist halt so ...
EDIT: du könntest wie gesagt alle "any" in "! local_networks" ändern und dann eine einzige Floating Rule hinzufügen, die auf allen Interfaces "from local_networks" "to this firewall" DNS erlaubt. Ist eine Regel für alle. Und dann evtl. noch eine solche für NTP - hält sich aber alles im Rahmen.
Irgendwie bin ich noch nicht überzeugt, überhaupt eine Failover-Gruppe zu brauchen.
Ich habe einen Test gemacht und für ein Subnetz die Failovergruppe als Gateway eingetragen.
Für ein anderes Netz habe ich als Gateway * eingetragen.
Nach dem ich das Modem von 1. DSL vom Telefonnetz getrennt hatte, konnten beide Netze dennoch surfen.... seltsam.
Wenn du default gateway switching aktiviert hast geht es auch.
Sind halt zwei konzepte, ob man Policy Based Routing (Gateway Groups) oder den Kernel Routing Table (Default Gateway) nutzt.
Quote from: Monviech (Cedrik) on July 27, 2025, 05:37:19 PMWenn du default gateway switching aktiviert hast geht es auch.
Sind halt zwei konzepte, ob man Policy Based Routing (Gateway Groups) oder den Kernel Routing Table (Default Gateway) nutzt.
Interessanterweise ist gateway switching nicht aktiv gewesen, sondern nur eine Metrik für die 2 Interfaces.
Ich habe gateway switching jetzt mal angeschaltet.
Policy Based Routing brauche ich eigentlich nur für Voip, da leider meine Provider SIP nur auf ihrem Netz zulassen.