Messages

X1 is really expensive. Are you sure?

I think I would try t3.xlarge (Intel Xeon) or t3a.xlarge (AMD EPYC). Both of them have 4 cores/threads and 16GB RAM.

But let's see if someone else has another idea about that.

Looks like the ARM based Graviton2 processors used in t4g instances don't support AES-NI which could be a huge performance drawback.
And 2 CPUs for 380 VPN connections seem to be a bit small dimensioned.

@Gauss23 - Grundsätzlich sollen die Niederlassungen auf die Zentrale zugreifen. Als Admin würde ich mich natürlich darüber freuen, wenn ich innerhalb der Zentrale oder einer Niederlassung überall Zugriff erhalten würde

Du musst im ersten Schritt die Netze "routebar" machen und dann über die Firewall Regeln einstellen, welcher Traffic stattfinden darf. Im Idealfall würden Niederlassungen wohl je eine VPN Verbindung in die Zentrale aufbauen und in der Zentrale haben dann bestimmte Clients das Recht auf alles in den Niederlassungen zuzugreifen (z.B. alle Clients eines bestimmten VLANs).
Den restlichen Traffic beschränkt man auf das Nötigste. Eine Liste von benötigten Diensten erstellen und sich überlegen wer auf was zugreifen darf. Dann umsetzen.

[.0]

192.168.50.0/24

Yes. This route should then be pushed out to the client on next reconnect. Try it.

Ist denn in Deiner ovpn Client Config die CA definiert? Inline (also in der Datei) oder als externe Datei referenziert? Wenn letzteres: Ist die Datei auch da?

This is a manual which I used to do what you want to achieve:
https://www.reddit.com/r/PFSENSE/comments/6edsav/how_to_proper_partial_network_vpn_with_kill_switch/

It's for pfSense but it's really easy to adopt it.

As you´re keeping the interfaces, the rules shouldn´t need updating.

Sometimes it´s a good idea to start over (you can restore a backup from your current box) with the second fresh box with a CARP setup in mind and after having all configured to switch to the new box. If everything is working like you wish, you take the currently running box and add it to the cluster.

In this way you don´t need two new boxes.

Looks like you´re not pushing the routes to your OpenVPN clients.

Post your OpenVPN server config.

It´s the same like in the docs https://docs.opnsense.org/manual/how-tos/carp.html

You´ll need to reconfigure all of your interfaces like described.

Why don´t you just set the source to the list of known IPs in your port forward rule?

You can create an alias for that list of IPs

It´s more a hardware and bandwidth problem. It depends on your CPU (it should support AES-NI) and your choice of encryption algos.

Maybe you can post your hardware specs.

The amount of users should not be a problem for an OpenVPN server. You need to keep in mind to have an IP pool which fits your needs. A /24 network is too small. At least a /23 net is needed.

Warum genau willst Du mit 4 unterschiedlichen Ports an die Fritzbox?

Warum ist bei dir irgendwie alles WAN? Ich verstehe noch nicht so richtig was du tun willst.

Für OpenVPN und WireGuard Clients, brauchst du doch keine physischen Interfaces. Die sind rein virtuell auf der sense.

Ich würde die VLANs auf dem LAN LAGG vorschlagen. Dann kannst Du entweder anhand der Quell-IP oder des Quell-Interfaces die Kommunikation über Wireguard1 oder Wireguard2 bzw den OpenVPN Client zulassen.

Ich sehe aktuell nicht wofür Du 6 Ethernet Ports brauchst.

Da man den letzten Handshake kennt, könnte man darüber ja zumindest darstellen, ob die Gegenseite sich länger nicht gemeldet hat und diese dann ggf einfärben? Z.B. Handshake innerhalb der letzten Stunde = grün, innerhalb der letzten 8 Stunden = gelb und bei länger ausbleibendem Handshake = rot.

Nur so eine Idee.

I really recommend to read the docs to understand how the packet filter in OPNsense works.

Usually you define your rules on the interface where the packet is incoming from.

So in your case:
1) on interface vlan42 a block rule for destination LAN network
2) on interface vlan42 an allow rule for destination any
3) on interface LAN an allow any (or whatever ports you want to open) rule destination vlan42 network

you even could combine 1 and 2 into one rule. You delete rule no1 and change rule no 2: You just need to set the destination to your LAN network and make that entry inverted by the checkbox above. That rule then means: everything what is NOT destined to your LAN network is allowed, in this case the WAN. You can create an alias which holds all your local networks and use that instead of "LAN network" as destination.

I have removed also any special characters and white spaces...
The configuration is the same but addresses instead of subnets...

Like mimugmail said: you´ve chosen the wrong mode in Phase2. You have tunnel-mode. You need to change to Route-based, see screenshot.