Topics

I am looking for instructions on how to set up HA with PPPoE. Everything I have found does not work. Most of the instructions only refer to the HA function without PPPoE.

I try to enter a Local IP (192.168.5.15/24) under Interfaces -> Point-to-Point -> Devices. According to the instructions, this is necessary to make the Opnsense highly available. After saving, the set IP disappears again. Any ideas? Is this a BUG?

[Interfaces:]

Hello everyone,

I have two WAN interfaces.

Interfaces:
WAN1 -> PPPoE
WAN2 -> LTE
WAN_VPN -> Wireguard Gateway to external Endpoint for special clients

WAN1 and WAN2 are in a gateway group with failover.

Attached is a network diagram of what this should look like.

Is it possible to configure that WAN_VPN only runs over the WAN1 (PPPoE) line? If the PPPoE connection drops, WAN_VPN should also stop working. WAN2 should then only maintain the Internet but not the connection to the WAN_VPN endpoint.

I installed a VPN Gateway with this manual https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html.

A few clients use the VPN gateway from LAN to WAN.

How can I ensure that the vpn gateway does not allow connections to my lan?

Hi Guys,

I have the Adguard plugin running on opnsense. since the installation i get no more dns resolution. in the adguard the requests arrive and are also answered. Nothing seems to come back on the client (iPhone). as soon as I deactivate adguard and activate unbound again, it works.

I've tried everything and can't get any further.

Anyone an idea?

Hallo Leute,

ich bekomme es nicht hin das mein VLAN 20 auf ein entferntes ipSEC Netz welches dauerhaft zwischen der opnsense der Fritzbox steht zugreifen kann. An den Firewall Rules liegt es nicht, die sind auf any.

Muss ich hier separat Routen oder ein Outbound eintragen?

Hello,

i'm trying desperately to get Adguard to work in combination with Unbound. Basically, only the autostart with AdGuard does not work. As soon as Adguard should be loaded via autostart. 50% of the services no longer start. Adguard doesn't start automatically either. I used this guide for Adguard https://hoerli.net/opnsense-adguardhome-werbefrei-trackerfrei-und-behind-a-good-firewall/

Had someone a idea?

Hallo,

ich bekomme es nicht hin lokale Domain Names wie truenas.local bei bestehender Wireguard oder IPSEC aufzulösen. Bei openvpn funktioniert die Namensauflösung.

In die Unbound Access List ist sind die Netze eingetragen. Die Firewallregel ist bei Wireguard oder IPSEC alles auf erlauben.

Jemand einen Tipp was oder eine funktionierende Konfig?

Hi Leute,

welche IDS Rules würdet Ihr für einen Webserver empfehlen auf dem ein Seafile Server läuft?

Ich habe schon so viel gelesen werde aber nicht schlauer :D

Hallo,

ich meine ich habe ein Problem mit der opnSense in Verbindung mit Proxmox und VPN.
Ich bekomme egal ob bei ipsec, openvpn oder wiregard mehr Durchsatz als 18 Mbps im Download bei Client.
Getestet mit Windows 10 und iPhone 12 Pro.
Sensei und IDS wurde bereits deaktiviert.

Der Unterbau sollte aber deutlich mehr Download Speed liefern.
Normalerweise müsste der Upload der VDSL Verbindung voll ausgeschöpft sein.

Code Select Expand


Hardware Proxmox Host:
CPU: Ryzen 3700x
Ram: 64 GB ECC
Mainboard: x570d4u
Festplatte: Nvme SSD 1TB
Netzwerkkarte: I350-T4


Code Select Expand


opnsense VM:
CPU: 4 Kerne
Ram: 16 GB
Netzwerk: 2x I350-T4 pass through (also keine Bridge)


Das Modem ist ein Vigor 165 welches mit 300/50 an Telekom VDSL angebunden ist.
Die Einwahl erfolgt per pppoe über die opnsense.

Hat jemand einen Tipp für mich was ich prüfen kann?

Hello,

after a long try I finally managed to configure the Haproxy so that openvpn and my Seafile server run on port 443. But now I have the problem that the Certbot, which regularly renews the SSL certificate on my SeafileServer, no longer gets access to the server via port 80.

As far as I understand I have to create a rewrite rule from http to https. Unfortunately I can't get any further here. Could someone help me?

My HAProxy Config:

Code Select Expand

#
# Automatically generated configuration.
# Do not edit this file manually.
#

global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin
    nbproc                      1
    nbthread                    1
    tune.ssl.default-dh-param   2048
    spread-checks               2
    tune.chksize                16384
    tune.bufsize                16384
    tune.lua.maxmem             0
    log /var/run/log local0 info

defaults
    log     global
    option redispatch -1
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats




# Frontend: https_passthrough ()
frontend https_passthrough
    bind 0.0.0.0:443 name 0.0.0.0:443
    mode tcp
    default_backend OpenVPNBackend
    # tuning options
    timeout client 30s

    # logging options
    # ACL: traffic_ssl
    acl acl_6065828520f318.80916105 req_ssl_hello_type 1
    # ACL: myservice_sni_seafile
    acl acl_606582cba59604.58079977 req.ssl_sni -i cloud.xyzdomain.com

    # ACTION: request_inspect_delay
    # NOTE: actions with no ACLs/conditions will always match
    tcp-request inspect-delay 5s
    # ACTION: request_content_accept_ssl
    tcp-request content accept if acl_6065828520f318.80916105
    # ACTION: myservice_sni_seafile
    use_backend seafile_backend if acl_606582cba59604.58079977

# Backend: seafile_backend ()
backend seafile_backend
    # health checking is DISABLED
    mode tcp
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    server seafile 192.168.30.15:443

# Backend: OpenVPNBackend ()
backend OpenVPNBackend
    # health checking is DISABLED
    mode tcp
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30000
    timeout server 30000
    retries 3
    server opnvpnserver 127.0.0.1:1194

Hallo Leute,

ich hoffe mir kann jemand mit meinem Problem bei HAProxy helfen. Ich habe nur rudimentäre Kenntnisse und befolge am liebsten Anleitungen mit Screenshots. Leider habe ich nichts passendes gefunden.

Ich möchte nur zwei Dinge hinbekommen...
Der HAProxy soll alle Anfrage die über https://xyz.domain.com kommen intern zu meinen Seafile-Server übergeben der reversproxy mit Nginx macht. Auch das lets encrypt SSL Zertifikat wird von Seafile selbst erstellt.

Sollte aber eine anfrage über Port 443 zyx.domain.com kommen soll er HAProxy an meinen openVPN Server vermitteln.

Das sollte doch möglich sein oder? Aber nur wie  :'(?

Hallo Leute,

ich habe ein Problem mit meiner Host zu Host Verbindung. Ich schaffe es durch die bekannten Anleitungen die Verbindung zur Fritzbox herzustellen. Jedoch bekomme ich kein Zugriff ins Fritzbox Netz.

Im Status Overview kann ich nachvollziehen das Bytes raus gehen aber keine eingehen. Weis jemand auf anhieb was ich einstellen muss damit das klappt? Ich habe noch eine zweite Phase 1 für mobile IPsec damit ich mit meinen iOS Geräten auf die opnsense komme. Das klappt ohne Probleme.

Für IPSec wurde eine Firewall Rule angelegt:
IPv4 *   *   *   *   *   *   *

Und eine Outbound Rule für das Mobile IPSEC:
WAN   192.168.3.0/24    *   *   *   Interface address   *   NO


IPSec Übersicht:


Fritzbox
Phase:1


Fritzbox
Phase2:


iOS Phase 1:


iOS Phase 2:


Mobile Config:

Hi Leute,

habe folgenden Aufbau.

Vigor 165 in Full Bridge Mode mit NIC von OPNsense verbunden. OPNsense macht die Einwahl bei der Telekom über PPPoE.

Wenn ich IDPS auf der WAN Schnittstelle kommt nicht ein einziger Alert. Sprich es funktioniert nicht.
Da ich VLAN's habe kann ich die IDPS nicht auf die LAN Schnittstelle legen weil sonst die VLAN's nicht mehr funktionieren.

Jemand ne Idee was ich tun kann?

Hi Leute,

kann mir jemand Screenshots von einer funktionierenden IPSec Config hier posten?

Die Einstellungen im Wiki funktionieren nicht mehr bzw. sind veraltet.

DANKE!!

Hi Leute,

ich hoffe Ihr könnt mir Helfen.

Ich komme von der Unifi USG und hier war es möglich den Zugriff vom VLAN bzw. die DMZ zum normalen LAN per Regel zu blockieren.

Ganz einfach gesagt wurde hier Block DMZ zu LAN. Mehr musste mach nicht machen.
Bei der OPNsense bekomme ich das einfach nicht hin.

Ich bin echt am verzweifeln...