Messages

Moin superwinni2,

leider hat dein Vorschlag keinen Erfolg gebracht.

Aber ich habe neue Erkenntnisse sammeln können.

Ich habe aber im Firewall Livelog gesehen, dass die ICMP Meldungen direkt auf dem WAN1 mit Direction "out" gehen und es keinerlei Direction "in" Pakete auf einem der Interfaces gibt. Da meine Rules natürlich auf allen internen Interfaces als Direction "in" eingerichtet sind, kann dann natürlich keine der Regeln greifen.

Wenn ich von meinem Laptop nun einen Ping an die IP Adressen sende, gehen die Pings über die richtigen Interfaces raus.
Sobald ich dann allerdings das WAN2 trenne, und die IP Adresse anpinge, welche über WAN2 rausgehen soll, sendet er die Daten trotzdem auf WAN1 raus.

Zusätzlich stellt sich nun die Frage, von welcher Adresse sendet der Zabbix Agent auf der OPNsense die Daten. Im Agenten habe ich als "Source IP" die IP der OPNsense hinterlegt.

Liebe Grüße
Dominic

Moin zusammen,
ich habe nun noch ein wenig getestet.Selbst wenn ich gezielt Hosts z.B. "telekom.de" und den Port 80 an das 2. Gateway binde über die Floating Rules und das Gateway sogar aktiv ist, routet er immer über das 1. Gateway.
Liebe GrüßeDominic

Das hat tatsächlich funktioniert :o
Aber damit hab ich mir ja jetzt ein Port-Basiertes VLAN gebastelt, oder?

Ja hast du, was anderes hast du in deinem Eingangsposting auch nicht hinterfragt ;)
Leider ist es bei "billigen" Switchen (ist keine Beleidigung, nutze die selbst teilweise im Heimnetz) manchmal so, dass wenn man einen Port auf untagged VLAN X setzt, er die PVID nicht anpasst, was andere wiederum tun. Deswegen ist dieses manuelle eingreifen notwendig.

An Port 4 hängt nun ein Unif-AP der zwei WLANs abstrahlt. Einmal das Gast-WiFi im 50.er VLAN und einmal mein WLAN im 147er Bereich. Die Clients bekommen pro WLAN die richtige IP-Adresse und können ins Netz.

Config in der OPNsense: unverändert zum Original-Post
Config am Switch: PVID für alle Ports auf 1;
Port 4: VLAN 1 Untagged; VLAN 50 tagged
Port 8: VLAN 1 Untagged; VLAN 50 tagged
Port 5 zurückgebaut, da nur Test

Hättest du den AP mal eher erwähnt ;) Sobald du eine SSID einrichtest und der bei Ubiquiti ein VLAN zuweist, ist dieses automatisch "tagged", dadurch musst du dann natürlich auch das VLAN am Switchport taggen.Mehrere VLANS an einem Port untaggen widerspricht für mich auch der Logik von VLANs, es ist ja bewusst zur Trennung gedacht.

Ohne es böse zu meinen, aber du solltest dich noch ein bisschen mit dem Thema VLAN beschäftigen. Dann kommt das verständnis von ganz alleine, wir haben alle mal klein angefangen :)Ich schicke dir gleich mal per PN noch einen Link zu dem Thema zu :) Will hier keinen Ärger kriegen für ewiges Links posten ;)

Bitte bitte :)

Mir ist noch was aufgefallen.

Port8 machst du vlan 50 tagged
Port 5 machst du 50 untagged und lässt vlan 1 weg.

Zusätzlich schreibst du bei der PVID 50 anstatt 1 für port 5 rein.

Ich meine das auch schonmal auf meinem zyxel switch gehabt zu haben [emoji848]


Gesendet von iPhone mit Tapatalk Pro

Port 8 ist auf VLAN 1 untagged (Default) und 50 untagged eingestellt.

Tippfehler? :)
Wieso 50 untagged? Die Firewall tagged das Paket, weswegen es auf dem Switch natürlich beim Trunk Port auch getagged werden musst.




Noch eine kleiner Ergänzung: ich habe "damals" das Them VLAN hiermit verstehen gelernt: http://www.schulnetz.info/2011/04/
Ist zwar etwas älter aber für die Basics fand ich es ausreichend :)

Moin zusammen,


ich habe hier eine OPNsense Installation mit 3 physischen WANs, jeder ein eigener Netzwerkport am Gerät.
Zusätzlich habe ich mehrere VLANs eingerichtet, jeweils 2 VLANs pro physischem Port.


Es wird kein Loadbalancing oder so eingerichtet, die unterschiedlichen VLANs kriegen einach feste WANs zugewiesen.


Jede WAN Schnittstelle hat für das interne Monitoring eine eigene Monitor IP zugewiesen.
WAN 1: 8.8.4.4
WAN 2: 1.0.0.1
WAN 3: 140.112.112.112


Für das Monitoring des Netzwerkes setze ich Zabbix ein und möchte nun, dass Zabbix für jede WAN Verbindung die entsprechende Monitoring IP anspricht.
Ich habe entsprechende Floating Rules eingerichtet, dass wenn mit der entsprechende IP Adresse ein ICMP gemacht die entsprechende WAN Verbindung genommen wird.


Zur Zeit ist die Firewall noch bei mir in der Grundeinrichtung und ich nutze nur eine WAN Verbindung, so dass im Monitoring die 2. und 3. WAN Verbindung als Offline gekennzeichnet werden sollte, da ja kein Ping raus geht.


Leider musste ich feststellen, dass sobald die 2. und 3. WAN Verbindung Offline sind automatisch die 1. benutzt wird.


Gibt es irgendwo versteckt noch Einstellungen? Auch bei einem Ping von der Firewall selbst kriege ich für egal welche Source Adresse keine Ping aussetzer.


Bei den Floating Rules habe ich bei den Interfaces alle inkl. Loopback bis auf die WANs ausgewählt.
Screenshots von den Floating Rules, Gateways und ein Auszug aus der Zabbix Map anbei.


Liebe Grüße
Dominic

Ich vermute das Problem an der Online Hilfe ist, dass es noch auf dem alten Verhalten aufsetzt, dass bei Umschalten auf "Manuell" die aktuellen Regeln "rausgeschrieben" wurden und man dann einfach die Regeln editieren/ersetzen/ausmisten konnte. Das ist aktuell nicht (mehr) der Fall. Finde ich auch schade, dass es so ist (oder es ist verbuggt).

Ich habe das HA damals mit 19.7 in Betrieb genommen und die Probleme traten erst nach dem Update auf 21.1 auf. Was auch deine beschriebene Änderung im Verhalten erklären würde.

Aber bei mir funktioniert es nun und es ist auch logisch. :)

Wofür die NAT Regeln sind, auch mit der VIP ist mir bewusst und es funktioniert ja auch. Mir ist ja auch bewusst dass die VIP solange sie vom Master "geblockt" wird für den slave nicht greift, etc.

In der Online Hilfe steht halt explizit

Go to Firewall ‣ NAT ‣ Outbound. Choose manual outbound nat rule generation. On this page create the a rule originating from the 192.168.1.0/24 network to use the CARP virtual interface (172.18.0.100). The rule should contain the following:

Das habe ich auch äquivalent zu meinem Netzwerk gemacht.
Vielleicht sollte die Anleitung noch entsprechend um die Regeln

127.0.0.0/8 Port any nach any Port 500 via WANaddress static-port
127.0.0.0/8 Port any nach any Port any via WANaddress (ohne static port)

ergänzt werden.

Das habe ich in der Zwischenzeit nur mal zum testen eingefügt. Eigentlich ist die Regel nicht drin. und muss ja anscheinend auch nicht?!

Hatte auch testweise mal ,,any" als Source eingetragen, das hat nicht funktioniert. Also bei den Regeln vom screenshot.

Was verbirgt sich denn hinter dem "this Firewall" alias?

Auf dem Master ja, auf dem Slave nein.Wenn ich jedoch Master und Slave einzeln via NSLookup anspreche von einem PC aus dem LAN und eine interne Adresse abfrage klappt es. Es scheitert also wirklich an jeglicher Kommunikation nach Extern.
In Beiden Firewalls ist als DNS jeweils 127.0.0.1 hinterlegt, da auf beiden der Unbound läuft.


Mir ist aber aufgefallen, wenn ich eine Outbound NAT einrichte mit:

   
• Interface: WAN
• Source: "This Firewall"
• Target IP: "WAN Address"

alles funktioniert.

Also für mich sieht es so aus, dass auch der Slave sich als VIP dem Gateway zeigt und dadurch die Rückpakete nicht kommen. Kann das auch gerne via Wireshark mal verifzieren.

Moin zusammen,


ich muss den Thread noch mal aus der Versenkung holen.


Ich habe ein funktionierendes HA Setup, jedoch genau wie der Threadopener, das Problem, dass mein Slave keine Verbindung zum Internet kriegt, solange der Master die VIP owned.

Eingerichtet ist es meiner Meinung nach, wie nach der Anleitung vorgegeben.


Im Anhang ein Netzwerkdiagramm und die Outbound NAT Regeln.


Ich meine auch, dass das Ganze mal funktioniert hat und erst nach dem Update auf 21.1 nicht mehr funktionierte.


Liebe Grüße
Dominic

Das kannst du selber als Commit in den Src-code auf github pushen. Ist die Frage ob es angenommen wird

Stehen tun die Werte in der Datei:

https://github.com/opnsense/core/blob/master/src/www/widgets/widgets/interface_list.widget.php


Gesendet von iPhone mit Tapatalk Pro

Also ich nutze es schon immer mit DynDNS via all-inkl.
im Anhang mal meine Konfig, natürlich ein wenig gerötet ;)

Ich schließe mich liceo "Fragestellung" an.
Zumal in der Dokumentation da Szenario genau so beschrieben ist, es aber praktisch nicht funktioniert.
https://wiki.opnsense.org/manual/how-tos/carp.html#example-updating-a-carp-ha-cluster

Ftp nutzt die Ports 20 und 21.

Vllt war das dein Fehler, weil du nur 21 genommen hast


Gesendet von iPhone mit Tapatalk Pro