Liebes Forum,
vielleicht habt ihr eine einfache Idee zu folgender Routing Umgebung. Meine Lösungsidee bisher: Tags einführen und dann auf Basis von Tags routen. Dies ist laut Internet mit Einstellungen in der Datei /usr/local/etc/pf.conf.customs und enabling von "Enable pf customs Options" möglich. Leider habe ich dies in der aktuellen Version aber nicht mehr gefunden.
Umgebung die aktuelle ist und funktioniert:
Zu der Umgebung. OPNsense hängt an eine 1&1 LanAnschluß über ppoe wird damit eine default route 0.0.0.0/0 aufgebaut.
Über eine OPNVerbindung wird eine Client Verbindung zu Portunity aufgebaut (Feste IP) für den VPN Client. Die IP des Clients wird dann über 443 an einen Webserver geleitet und port 25 an einen Mailserver. Jeglicher Traffic geht sauber zurück. Für Mails die von Innen nach aussen gesendet werden müssen, stellt eine Reply-TO Regel sicher, dann der Mail Traffic über den OpenVPN Tunnel gesendet wird und nicht über den Default Gateway. Dies ist wichtig wegen dem Reverse Lookup des Mailservers.
Lt. Info wird aber OpenVPN ab 26.1 in der GUI nicht mehr gepflegt, daher will ich die Verbindung auf einen WireGate Tunnel ändern. Portunity unterstützt aber in dem Wiregate Fall nur die Tunneloption FullTunnel (Allowed-IP 0.0.0.0/0). Dies führt nun dazu, das ich plötzlich eine weitere Default Route mit 0.0.0.0/0 im System habe. Dies lässt sich leider auch nicht ändern.
Nach Gesprächen mit dem Provider ist die Lösung wohl den Traffic zu taggen. Als was durch den Tunnel muss erhält ein Tag über eine Firewall Rule, alles andere ist nicht getaggt. Um diese jedoch umzusetzen braucht man die PF.Custom Rules.
Nun meine Frage: Weis einer wo die Einstellungen zu den Custom Rules in der aktuellen Version sind? Bzw. gibt es eine einfache Lösung die ich übersehe?. Am Rande vielleicht noch, die default Rules auf beiden Interfacen sind dynamisch.
OpenVPN wird selbstverständlich weiter gepflegt. Ist ein Kern-Bestandteil von OPNsense. Welche Info meinst du?
Was in 25.7 bereits entfallen ist, ist das Legacy UI, das durch das Instances UI abgelöst wurde.
Also bleib doch einfach bei OpenVPN. Es scheint ja für deine Anwendung gut zu funktionieren.
Vielen Dank für die schnelle Information, in der GUI gibt es einen Warnhinweis: This component is reaching the end of the line, official maintenance will end as of version 26.1.
Daher war meine Idee jetzt umzustellen und dann parallel mal die zusätzliche Änderung auf IPV6 zu machen. Auch nicht so einfach, da ich mit local IPV6 IOT Konten immer mal wieder ins Internet muss. In diesem Bereich muss ich noch einem Menge lernen um meinen Netze entsprechend zu trennen.
Ich werden mal versuchen die Custom Rules über die Floating Rules abzudecken.
Das betrifft einzig und allein das Legacy UI für OpenVPN. Instances wird weiter gepflegt! Wie ich schon schrieb!
Edit, um es noch mal zu verdeutlichen: die eingerahmten beiden Menüpunkte werden verschwinden. Sonst nichts. Über "Instances" kannst du weiterhin OpenVPN-Verbindungen konfigurieren.