Messages

Hello,

I usually use OPNsense as the only firewall, and it always works great & fine.

I wanted to increase the security of some file servers and put them behind a second OPNsense with firewall rules access.
The file servers behind the second OPNsense are reachable on both LAN, but they can't access the Internet.


Internet <-> OPNSense-1 <-> Main LAN (192.168.64.0/18) <-> OPNsense-2 <-> Secured LAN for File Servers (10.0.200.0/24)

Everything is working fine on the main LAN.
From the main LAN I can access the Secured LAN with the correct rules on OPNsense-2, so it works fine for me.
From the Secured LAN I can access the DNS servers on the main LAN.
But the File Servers on the Secured LAN are unable to access the Internet, they could need it for software update or licensing purpose. The main OPNSense should block this traffic.

This double LAN configuration is new to me...

I set a new gateway and a route on the main OPNsense-1 so he will know how to access 10.0.200.0/24 network, but it is not enough.

I suspect the first OPNsense to reject the network traffic for 10.0.200.0/24 network as his network is  192.168.64.0/18.

Do you have any clues ?

Thanks for your help,

Frédéric

Je ne vois que le fouet pour leur faire entendre raison ...

Un PB de chaleur ?

[Rediriger la passerelle]

Ça tombe bien, c'est le fonctionnement par défaut : -)

Il suffit de laisser l'option Rediriger la passerelle inactive, ce qui est le choix par défaut, lors de la création du serveur openVPN.

How stupid I am ...

Everyting is fine with miy IPFO and my network settings in OPNsense, I just wrongly assigned the Ethernet cards in VMware, I switched them and it's OK now ...

Quel imbécile, mais quel imbécile que je suis ...

Mon paramétrage IP FO, avec la passerelle et la route est bon, c'est juste que j'ai interverti les cartes réseau LAN et WAN dans mon VMware.

Hello,

I am migrating 2 client's physical servers on a OVH (French cloud actor) dedicated server with VMware.
I got the dedicated server, with an public IP adress and an IP Failover with a virtual MAC address.
The public IP adress will be allocated to the VMware server
The public IP Failover will be allocated to the OPNsense server.

I migrated my 2 windows servers on 2 VM, they are working.
I created a third VM and installed OPNsense (v.22.7), the goal is to use the OPNsense to protect the Windows servers and access them only trough OPNsense VPN. OPNsense is working but can't reach Internet.

On the LAN side, the Windows and OPNsense are communicating, but on the WAN side the OPNsense can't reach Internet so the Windows VM can't neither

I already managed several VMware servers and OPNsense firewalls, but this is the first time I have to use an IPFO

The network is :

The VMware server IP adresse is : 51.xxx.xxx.96
The VMware server GW IP adresse is : 51.xxx.xxx.254
The OPNsense public IP address is the IP Failover : 91.xxx.xxx.64
The OPNsense GW is the VMware server one : 51.xxx.xxx.254
The OPNsense LAN interface is : vmx0
The OPNsense WAN interface is : vmx1

As the GW IP adress and the IP Failver are NOT in the same address plan, I have to use a route trough an interface and not trough an IP address.

I allocated the virtual MAC address of the IP Failover to the WAN to the OPNsense WAN Ethernet card in VMware.

I understood I have to have on my OPNsense :
- default gateway : 51.xxx.xxx.254
- a route to this GW using the interface vmx1

by using :
- route add host 51.xxx.xxx.254 -interface vmx1
- route add default 51.xxx.xxx.254

If I ping the GW, I get "Host is down"
If I ping the Internet (1.1.1.1) I get "No route to host"

Anyone already use an IP Failover this way ?

Thanks (a lot) for your help !

Frédéric

Bon, j'ai un peu compris la théorie.

Il faut activer une route en mode interface et non en mode IP sur la carte WAN, genre :

• route add host 51.xxx.xxx.254 -interface vmx1

Puis définir la passerelle en mode défaut

• route add default 51.xxx.xxx.254

Mais en pratique, ça ne marche pas ...

Un netstat -R me donne bien cette configuration, mais les pings depuis OPNsense ne passent pas et même un ping vers ma passerelle me réponds "No Route to host" ...

C'est peut-être l'adresse MAC de l'IP FO qui est mal configurée ?
J'ai pris une MAC Virtuelle de type OVH, je l'ai allouée sur la carte WAN dans VMware et aussi dans OPNsense.

Bonjour,

Je migre une configuration cliente vers des VM chez OVH.
J'ai pris un serveur dédié Rise 3, installé VMware depuis le manager OVH, créé 3 VMs (deux clientes et mon OPNsense), migré mes serveurs clients vers les VM et installé mon OPNsense.
J'ai pris une IP Failover pour mon OPNsense.

IP public : Serveur VMware (51.x.x.x)
Passerelle : (51.x.x.x)
IP Failover : Serveur OPNsense (91.x.x.x)


Et maintenant j'ai des PB de route que je ne parviens pas a résoudre, il faut dire que je ne comprends pas la théorie du truc mais je vois quand même que la passerelle OVH n'est pas sur le réseau (IP Failover) de mon OPNsense.

J'ai pris une MAC virtuelle sur mon IP Failover que j'ai associée à la carte Ethernet WAN de mon OPNsense.

J'ai lu des trucs sur Internet mais rien de clair, enfin pour moi.

J'ai paramétré 2 GW dans OPNsense :
- l'adresse IP public du serveur VMware en mode distant et choix principal
- La passerelle du serveur VMware en mode distant

Et un ping 1.1.1.1 depuis OPNsense ne passe pas avec un "No route to host".

Je suis pas loin, je pense, mais je tâtonne ...

L'un de vous a-t-il déjà réussi ?

Merci,

Frédéric

Ton problème semble plus un problème DHCP spécifique à Orange qu'un problème OPNsense.
Et je ne connais absolument pas les spécificités Orange, sauf que de mémoire des VLANs sont utilisés.

Suggestion :

- Passer ta LiveBox en mode half-routerhalf-bridge. Il fut un temps où c'était possible chez Orange
- Utiliser un FAI qui permet de passer ta box en half-router half-bridge: Free le fait très bien
- Utiliser le NAT et /ou la DMZ de la LiveBox pour rediriger les flux sur ton OPNsense

Le mode half-router half-bridge permet à la box de gérer les flux du FAI et transmet l'IP et tous les flux à l'équipement situé derrière. Comme cela tu as le beurre et l'argent du beurre : -)

Bon confinement,

Frédéric

Ouvre un nouveau sujet ou indique moi celui que tu as commencé

Bonjour,

Oui, tout fonctionne parfaitement et avec tous les FAI de France, de Navarre de Burgondie et de Bretagne.

Quel est le rapport avec mon souci de mot de passe et votre DHCP ?

Bonne journée,

Frédéric

Ok, sauf que cela semble bien différent du pb initial : Créer une clef USB bootable

Tu devrais créer une nouvelle demande ...

Je ne suis pas sur de bien comprendre.
Quel est le rapport entre "Créer une clef USB bootable" et ton problème ?

Ton problème semble être un pb de réglage du périphérique de démarrage par défaut, non ?
Après l'installation d'OPNsense ?