Messages

Whoua, i'm going ahead and it's become harder and complex ...  :o
So 'i got some questions ...

1: VLANs : if i create some vlans, need i to create a VHID group for each vlan ? and if it's case, need i to create each vlan before create VHID ?

2: for the CARP and the VLANs, need it to setup and outbound nat for each vlan ?

3: and finally with the multiple WAN config ... : how to manage that with outbounds etc ?

Thanks by advance for help

Whouou, really thanks for this ultra fast feedback ;)
attach a new image : did i get a good understanding of what you are talking about ?

Hi,

Just a little questions to be sure my configuration can be usefull or if it's not a good idea to work this way.
At he begining i was imaging to make a full redondant configuration with 2 separate fibers to Combin Balancing & Failover. I hope to do that with a full redondant configuration (CARP).
But bad news today, each fiber only provide 1 public IP so i can use virtual IP on the WANs side.
Is it possible to work with CARP only on the LAN side and switch ethernet cords on from one server to the other one when Master conf are not available ? ( please see images about what i can do)

Thanks by advance for your vote ;)

Hi,

Thanks for all your answers, it' working fine with only reset bios / add graphic card and disable secure boot !
After Install i can also remove the graphic card and boot directly on the onboard gpu without anymore problem.

It's look it's an asrock problem to need to have an external graphic card to disable secure boot

Thanks again for your help ! ;)

[working fine]

Hi,

It was very long ...  but it's not better  :'( still have a problem
got problem with an usb stick so i have reset all setting, format all devices to start from nowhere en crossing finder

Process of test: try booting from from usb port and back usb port for each test
(real test order)

1-Ubuntu live 22.04.03  :    front >> can't boot   //   back >> working fine

2-windows 11 :    front & back >> setup start but i got a problem specifing the configuration is not matching win 11 requirement
(... TPM)
3-enabling security boot in the bios

4-windows 11 :    front & back >> same result ;o(

5-rety OpnSense 24.1 (with reset bios) :   front & back >> stop at invalid signature, check secure boot policy... i can't boot, i can't reach again the problem i have before

6-Ventoy : same result on fron & back for all test
6.1-first start : got an security error
6.2 enrolling key from disk to ENROLL_****.cer
6.3 reboot >> got the Ventoy interface
6.4 BSD 13.2 :  same problem than previuosly than with opensense setup : Mounting from ufs:/dev/ufs/FreeBSD_Install failled with error 19 (attached file)
6.5 BSD 13.3 : same problem
6.6 TrueNas : can not got more that a little square on the top left corner just after menu selection ( attached image too)

it make me crasy, if you can an other idea ?  :-[


Thanks by advance

Hello, and thanks for the 1st feedbacks guys ;)

@Franco : bios updated to last stable version ( from April) and already tested with multiple sticks varieties and brandmark but i've another phillips that i can try... let's see

@Greg_E :  tested on each ports : usb2 / usb 3 / and also the usb for keyboard
i don't know ventoy, i'll try in the next minutes !

and about the gpu: no, i can't, if i remove card i can't not boot anymore without reseting bios or put graphic card again...

Thanks again next news incomming after tests

Hi,

It' make me crasy  :o
I'm trying to setup last 24.1 from an usb stick using this image OPNsense-24.1-vga-amd64.img and rufus to generate the stick from a windows session.
usb creation : ok
boot start fine and after some second starup hang on a loop on a strange usb problem mounting and unmounting my source drive and i got an error that could not allocate new device.

I've try :
- multiple usb device
- all usb port available on motherboard
- run set kern.cam.boot_delay="10000" @ boot screen menu prompt
... arrrrg

please see attached image for full detai lon the looping error

Configuration is :
mb: b760M PG Lightning/D4
nic: dual intel x540-t2
vc: nvidia Geforce GT710 (only to disable secure boot that can not be diseable with integrated video card)


If you have an idea it' will be great , thanks by advance

[upgrade from 21.7.8 to 22.1 is the problem]

Hello,
I was missing a lot of upgrade and today when i try to migrate my conf to last version i  got problems...

I'm starting from 21.1.9
Upgrade to 21.7 and to 21.7.8 works great
but upgrade from 21.7.8 to 22.1 is the problem : i lost all my networks and vlans confs ...  :-[

Maybe it's can come from NICS ?
- dual port 10GbE PCIE Intel X540-T2
- dual ports embeded on motherboard (ASROCK H470M-ITX/AC) : 1 X Realtek RTL8125BG  +  1 X Intel I219-V

Let me know if you have an idea or maybe if i need to upgrade directly to a newer version to avoid problem or some thing else thant can help.

Thanks by advance

Bonsoir,

bon, on avance, mais les chose ne fonctionne pas bien bien ....
Je peux passer mon firewall, mais pas pour tout les ip de la plage (???) et encore moins avec les noms netBios.

le réseau que je tente d'accéder est le 192.168.192.0/20  (192.168.192.0 / 255.255.240.0),
config : ipv4 tunnel 10.1.22.0/24 et  IPv4 Local Network 192.168.192.0/20 ...

rien d'étrange...mais

je ping : ( et tout les test marche en testant sur la gateway)
192.168.200.5 => ok (nas)
192.168.193.45 => ok (ordi)
192.168.200.245 => ok (imprimante)
192.168.200.199 => ok (ordi)
192.168.203.16 => ok (ordi)
backburner => pas de ping ( et pourtant c'est l'ordi derrière 192.196.200.199 qui marche ) ... problem netbios ?
192.168.201.8 => passe pas du tout ;o(  ????
192.168.204.25 => passe pas du tout

une idée ??

Bonsoir et merci pour cette réponse.

Ce n'est pas ce que fait la seconde règle ?
interface : OpenVPN
direction :in
ipv4
protocol any
source any
destination any

Normalement je ne devrait avoir qu'a aire des règles bloquant les accès au autres vlan ??

Bonjour à Tous,

j'ai configurer un server openVPN ( en suivant le tuto) pas de soucis, cela fonctionne très bien ... seul soucis, j'arrive à accéder à mon OPNSense de l'extérieur via le VPN, mais absolument pas au ordi de mon réseau.
pour résumé, j'ai une config plutôt simple  un wan, un lan (utiliser uniquement pour admin en branchement direct sur firewall), et 4 vlans sur une interface spécifique. chaque vlan est isolé sans le vlan admin qui à le droit d'acces total, y compris au autre vlan qui est restreint par des adress mac.

le vlan que je voudrais accéder de l'extérieur est le 200 sur la plage 192.168.200.0 /20.

le vpn est en config comme le tuto avec interface wan / port 1194 / IPv4 Tunnel Network 10.1.22.0/24 / IPv4 Local Network 192.168.192.0/20 avec les regles de firewall suivantes :
allow  interface wan/in/ipv4/udp/destination wan address /port range openvpn et
allow interface openvpn / in / ipv4 / any protocol  & any destination ( any devant être remplacé à l'avenir par vlan 200 net, mais comme ça passe deja pas comme cela, je laisse ouvert pour le moment...)

Par avance merci pour vos idées


Bonne soirée

Bonsoir à tous,

J'aurais besoin de votre aide pour le shaping, car pas bien clair dans mon esprit pour réussir à définir une stratégie (on en est même pas encore à la mettre en place)  ::)

Je vous explique la situation la limite de la ligne est garantie à mini 100 Mb/s avec une limite potentiel à 1 Gbs selon dispo du réseau. Nous sommes plusieurs utilisateurs et je voudrais éviter que lorsqu'un utilisateur télécharge un gros truc à fond, tout le monde se partage les miettes restantes et voir moins .... et encore plus de couper la voip...

Je souhaiterais réservé un bande passante de 10mbs pour la voix et le reste pour la data , mais que lorsque c'est 10 mbps ne sont pas exploité, la data puisse en profiter ... De même, je voudrais que l'ensemble des utilisateurs se partage une bande passante équitables mais puissent en exploiter la totalité si la ligne est libre ...

Est-ce la bonne façon d'envisager le shaping ? est-ce paramétrables en ce sens ?

Par avance merci de vos éclaircicements !

Très bonne soirée

Bonsoir,

C'est très étrange, j'ai testé ta config en suivant le tuto et une fois le proxy opérationnel, j'ai carrément plus rien qui arrive au portail, donc le proxy prends tout et le portail captif inopérant, plus de demande d'autorisation, tout passe de façon transparente...
peut-être un problème avec les vlans ...

Bonjour,

Avant tout merci de ce retour et de ce lien , très bien documenté !

Pas de soucis de changement d'interface, pour info, à chaque fois que je fais un test non concluant, je re-Install et restaure une sauvegarde pour repartir sur la dernière bonne base connue...on est jamais trop sure ...

De mon côté, je n'ai pas de proxy, mais le proxy n'a pas de rôle à jouer par rapport au portail ?
J'ai bien la règle coché dans le firewall, mais lorsque je cherche, je ne trouve aucune règle générée automatiquement pouvant s'y référer...

Par avance merci

Excellente journée

Hi,

So, problem partialy solved ! Not the guest catching that is totaly unstable...
but know i give a simple url to the guest :  "http://wifi" on which one he can connect really easy to arrive directly on portal without the need to enter an ip address with strange port (most of the people are really strangers with ip/port)

Here is my process if someone is interresting to do the same :
(i'm working on a guest vlan but you can do the same with lan or any other interface)
- service / DHCP / vlan guest : force DNS server on firewall IP ( = interna lresolution for the host)
- service unbound dns / overrides : create a host (A) named "wifi" pointing to firewall ip
- firewall / NAT / port forwarding  : add a rule on vlan guest interface
(this rule will force http incomming to be nat to captive portal port)

• tcp
• dest single host : ip firewall/32
• port dest: http
• redirection single host:ip du firewall
• port redirection 8000

- firewall / rules / vlan guest : duplicate captive portal rule (8000-1000) and edit port to 80-80

it's work


Hope it can help someone