Messages

1

Web Proxy Filtering and Caching / Replace host HA Proxy

« on: September 23, 2019, 04:50:57 pm »

Hello,

I am brand new on the HA Proxy configuration via GUI of OPNsense. So please describe it for a novice:

I do have a webserver listening on https://test.testdom.com. Everything works fine. Question:

How to configure HAProxy accepting https://www.extrnldom.com from the Webbrowser, rewriting the Host in the URL, so that we do have some kind of masquerading for the host-Part.

2

German - Deutsch / Re: OpenVPN Clients Meldung Namensauflösung "...query refused."

« on: September 08, 2017, 05:03:59 pm »

Hallo,

nach dem durchlesen diverser Unbound Beiträge fiel mir auf, dass trotz der Auswahl aller Netze, das OpenVPN Client Subnetz nicht in der ACL des unbound enthalten war. Für Beginner:

Services>UnboundDNS>AccessLists>dort dann eine zusätzliche ACL kreiren mit dem Subnetz der OpenVPN Clients.

3

German - Deutsch / Re: OpenVPN Clients Meldung Namensauflösung "...query refused."

« on: September 08, 2017, 04:39:30 pm »

Sep 8 16:38:37
unbound: [61670:1] info: send_udp over interface: 192.168.x.y
Sep 8 16:38:37
unbound: [61670:1] debug: refuse[27:0] FA7F0100000100000000000005667269747A036E61730000010001
Sep 8 16:38:37
unbound: [61670:1] debug: refused query from ip4 10.x.y.z port 52129 (len 16)
Sep 8 16:38:37
unbound: [61670:1] info: receive_udp on interface: 192.168.x.y

4

German - Deutsch / Plugins auch ohne Internetzugriff installieren/aktivieren?

« on: September 07, 2017, 05:25:53 pm »

Hallo,

was für Möglichkeiten bestehen, um Updates, vor allem aber Plugins auch ohne eine aktive Internetverbindung aktivieren zu können? Wer sich frägt warum: wir haben einen HA Aufbau, bei der der primäre Internetzugriff nur an der HA1 (primary) hängt. Die Gatewaygruppe schwenkt dann auf die wiederum an beiden HA hängende LTE Routerlösung. Auf dem primären Internetaccess sind keine IP-Adressen frei für beide Firewalls. Somit hängt die HA2 in der Luft, sofern das primäre Gateway funktionsfähig ist.



Gruß

Björn

5

German - Deutsch / OpenVPN Clients Meldung Namensauflösung "...query refused."

« on: September 07, 2017, 04:51:04 pm »

Hallo,

meine OpenVPN Clients dürfen irgendwie nicht über die OPNsense auflösen. Der DNS Dienst lässt aktuell das Auflösen von ANY zu..und die OpenVPN Regeln erlauben Vollzugriff auf das LAN-Segment. Beim Auflösen direkt über die LAN Adresse der OPNsense kommt die Meldung ..query refused...

Woran könnte es noch liegen?



Gruß

Björn

6

German - Deutsch / Setup Frage CARP plus HA, zwei Internetzugänge (wovon einer nur eine IP stellt)

« on: August 25, 2017, 06:24:04 pm »

Hallo,

ich bin ein neuer Nutzer der freien FW. Ich habe eine Designfrage:

-WAN: Internetanschluss mit /30 Subnetz, also nur eine IP verfügbar
-WAN2: LTE Router mit einem privaten /24 Subnetz, somit also genug IP Adressen für zwei OPNsense
-2 OPNsense Installationen, welche im HA Verbund arbeiten sollen

Wie ist hier die Vorgehensweise? Aktuell versuche ich: CARP auf dem LAN-Interface, 2 Gateways (eines weist auf das WAN Gateway, das andere weist auf das WAN2 Gateway.

Die OPNsense1 hat die IP des WAN direkt auf dem Interface, OPNsense2 hängt dort in der Luft mit irgendeiner IP, da ja nur eine statische im /30 genutzt werden kann. OPNsense1 und 2 haben ein Interface im WAN2 Bereich, da hier ja genug IP genutzt werden können.

Firewallregel mit Gateway auf die GW-Gruppe. NAT (hiding) LAN zu WAN und LAN zu WAN2. Habe einen Artikel gefunden, bei dem 3 Zustände in die FW Regelbasis aufgenommen werden:

1.W:Tier1, W2:Tier2
2. W:Tier1, W2:Ignorieren
3. W:igorieren, W2:Tier1

Die Regelbasis würde hier stark aufgebläht, wenn man aus den any Regeln dann dedizierte Regeln machen würde.

Wäre das so umsetzbar? In diversen Artikeln bleibt der Haken Default Gateway am primären gateway gesetzt. Stimmt das so? Oder darf keine Default Option gesetzt sein? Es wäre super, wenn ihr ggf. zu dem konkreten Fall die Konfigurationsschritte erläutern könntet!

7

German - Deutsch / Internet Anschluss mit nur einer festen IP in einem /30 Subnetz...it HA?

« on: August 25, 2017, 03:09:29 pm »

Hallo,

wir haben ein /30 Subnetz public vom Provider erhalten. Eine Adresse davon ist der Providerrouter, die andere wäre für unsere OPNsense. Soweit so gut.

Wir würden nun aber gerne eine HA Lösung nutzen. Die virtuelle (carp) IP (vIP) wäre ja dann die freie statische IP, Gateway dann der Provider-Router.

Nun benötigt man ja neben der vIP noch jewils eine IP für die interfaces. Gibt es da einen Trick (z.B. eine andere Subnetierung oder so), um in der Konstellation zu einer Lösung zu kommen? Oder müssen wir uns ein größeres Subnetz geben lassen, was dann monatlich zu Buche schlägt...



Gruß

bcg