Messages

Wobei ich nicht ganz verstehe, warum du das als Grundconfig für andere Firewall möchtest. Dann hättest du auf anderen Firewalls die gleichen Keys, was vermutlich nicht so clever ist.

Hab hier einen ähnlichen Beitrag gefunden. Automatische Provisionierung...

Hallo Forum,

ich würde gerne eine bestehende Konfiguration von einem Backup einer OPNsense auf andere (gleiche) Hardware übertragen.

Am liebsten wäre es mir wenn ich aus dem Backup soetwas wie ein Template machen könnte um diese dann als Grundkonfiguration für andere Firewalls verwenden zu können...

Gibt es soetwas vielleicht schon?

Danke!

Hallo viragomann, danke für deine Erklärung! Ich denke ich habs jetzt mit der Variante der OpenVPN-Interface hinbekommen.
Die Zielnetze müssen alle als Lokale Netze in der jeweiligen OpenVPN-Instanz eingetragen sein damit das Routing funktioniert.

Werde morgen noch den Rest testen...

Hallo Forum, ich würde gerne eine OpenVPN Instanz für meine User nutzen um Ihnen Remote-Zugriff auf bestimmte Server-Ports zu ermöglichen.

Ich habe zwei OpenVPN-Instanzen erstellt.
Die 1. läuft auf Port 1194 UDP und ist für Admins vorgesehen um auf alle Netze / Vlans zuzugreifen.
Die 2. Instanz läuft auf 1195 UDP und ist für Clients vorgesehen, sie sollen nur auf bestimmte Ports der Server zugreifen können.

Meine Subnetze: 192.168.70.0/24 (MGMT und SERVER), 192.168.71.0/24 (CLIENTS).

Kann mir bitte jemand ein Beispiel für eine Firewall-Regel nennen um einem VPN-Client den Zugriff auf einen Fileserver zu gestatten ohne ihn gleich ins komplette Subnetz (192.168.70.0/24) zu lassen?

Ich würde gerne OPNsense 25.1 als CA nutzen und hab auf einer Debian 12 VM einen CSR erstellt und auf der OPNsense importiert (Sign a Certificate...).

Danach wollte ich das Zertifikat und den Key runterladen, leider klappt es nur mit dem Zertifikat. Beim Versuch den Key herunterzuladen passiert nix.


Sollte doch funktionieren wenn es in der GUI angeboten wird?

 

Hab noch etwas gefunden, das so wie mein Problem aussieht:

https://forum.opnsense.org/index.php?topic=26152.msg126163#msg126163

Hallo,

Ich verwende Multi-WAN mit 2 GWs und einem OpenVPN... Wenn ich eine OpenVPN-Verbindung aufbauen möchte dann probiert der Client zuerst die eine öffentliche IP und danach die andere um in mein Netz zu kommen.

Die Einwahl funktioniert allerdings nur bei dem momentan aktiven GW... Kann man OPNsense vielle so konfigurieren damit beide GWs jederzeit die OpenVPN-Verbindung annehmen können?

Möchte zwei OpenVPN Zugänge einrichten die dann in unterschiedliche Netze hinter dem OPNsense gerouted werden...

Es sind zwei Internet-Gateways in einer WAN-Gruppe vorhanden, ich würde auch gerne den gesamten Traffic vom Client über die VPN-Verbindung schicken...

Kann mir bitte jemand weiterhelfen wie das gelöst werden sollte?

Is gut zu wissen das man es mit OPNsense schaffen kann  ;D... Hab hier zweit Stk. Cisco 2960, wenn ich mal viel Zeit hab werd ich das testen... Zuvor brauch ich aber noch mehr Erfahrung mit OPNsense...

Habe hier eine mögliche Lösung gefunden:

...Die von FreeBSD unterstützte lagg-Schnittstelle erlaubt die Gruppierung von mehreren Netzwerkadaptern als eine virtuelle Schnittstelle, mit dem Ziel, Ausfallsicherheit (Failover) und Link Aggregation bereitzustellen. Bei Failover kann der Verkehr auch dann weiter fließen, wenn nur eine Schnittstelle verfügbar ist. Link Aggregation funktioniert am besten mit Switches, die LCAP unterstützen, da dieses Protokoll den Datenverkehr bidirektional verteilt, während es auch auf den Ausfall einzelner Verbindungen reagiert....

https://docs.freebsd.org/de_DE.ISO8859-1/books/handbook/network-aggregation.html

https://techexpert.tips/de/opnsense-de/opnsense-link-aggregationskonfiguration/

@Du meinst mit zwei Interfaces auf der gleichen opnsense box?
Ja ich meine zwei Interfaces auf einer OPNsense.

Es sollte so ähnlich wie Multiwan funktionieren, nur eben nicht WAN sonder LAN...

Wenn eine LAN-Netzwerkkarte oder ein Netzwerkkabel oder ein Switch defekt wird sollte eine zweite LAN-Netzwerkkarte automatisch übernehmen (Failover)...

Ist es möglich Failover für ein Interface einzurichten damit eine andere bei Ausfall automatisch übernimmt?
So ähnlich wie bei Multiwan, nur eben für das LAN oder DMZ?

Habs weiter oben schon mal erwähnt das ich den IPFire jetzt noch nicht ablösen kann...

Leider hast du noch nicht beschrieben warum du die NICHT abschalten kannst.


Gesendet von iPad mit Tapatalk Pro

@fpausp du hast meine frage noch nicht beantwortet

Es gibt Abhängigkeiten die ich mit OPNsense nicht ersetzen kann. GeoIP, Mac-Filter, usw. Das muss ich erst lernen...

Bin ein Stück weiter gekommen...

Es ist möglich mit drei GW zu arbeiten. Momentan im Failover (Muss ich noch ordentlich testen)...

Wenn ich bei der GW-Gruppe (WANGWGROUP) alle GW auf Tier 1 setze um ein Loadbalancing zu bekommen dann funktioniert das Routing zu den einzelnen GW-Subnetzen nicht mehr. Siehe Screenshot...

Würde gerne wissen wie es dazu kommt. Sind vielleicht zus. Firewallregeln nötig?