Messages

Ich würde gerne OPNsense 25.1 als CA nutzen und hab auf einer Debian 12 VM einen CSR erstellt und auf der OPNsense importiert (Sign a Certificate...).

Danach wollte ich das Zertifikat und den Key runterladen, leider klappt es nur mit dem Zertifikat. Beim Versuch den Key herunterzuladen passiert nix.


Sollte doch funktionieren wenn es in der GUI angeboten wird?

 

Hab noch etwas gefunden, das so wie mein Problem aussieht:

https://forum.opnsense.org/index.php?topic=26152.msg126163#msg126163

Hallo,

Ich verwende Multi-WAN mit 2 GWs und einem OpenVPN... Wenn ich eine OpenVPN-Verbindung aufbauen möchte dann probiert der Client zuerst die eine öffentliche IP und danach die andere um in mein Netz zu kommen.

Die Einwahl funktioniert allerdings nur bei dem momentan aktiven GW... Kann man OPNsense vielle so konfigurieren damit beide GWs jederzeit die OpenVPN-Verbindung annehmen können?

Möchte zwei OpenVPN Zugänge einrichten die dann in unterschiedliche Netze hinter dem OPNsense gerouted werden...

Es sind zwei Internet-Gateways in einer WAN-Gruppe vorhanden, ich würde auch gerne den gesamten Traffic vom Client über die VPN-Verbindung schicken...

Kann mir bitte jemand weiterhelfen wie das gelöst werden sollte?

Is gut zu wissen das man es mit OPNsense schaffen kann  ;D... Hab hier zweit Stk. Cisco 2960, wenn ich mal viel Zeit hab werd ich das testen... Zuvor brauch ich aber noch mehr Erfahrung mit OPNsense...

Habe hier eine mögliche Lösung gefunden:

...Die von FreeBSD unterstützte lagg-Schnittstelle erlaubt die Gruppierung von mehreren Netzwerkadaptern als eine virtuelle Schnittstelle, mit dem Ziel, Ausfallsicherheit (Failover) und Link Aggregation bereitzustellen. Bei Failover kann der Verkehr auch dann weiter fließen, wenn nur eine Schnittstelle verfügbar ist. Link Aggregation funktioniert am besten mit Switches, die LCAP unterstützen, da dieses Protokoll den Datenverkehr bidirektional verteilt, während es auch auf den Ausfall einzelner Verbindungen reagiert....

https://docs.freebsd.org/de_DE.ISO8859-1/books/handbook/network-aggregation.html

https://techexpert.tips/de/opnsense-de/opnsense-link-aggregationskonfiguration/

@Du meinst mit zwei Interfaces auf der gleichen opnsense box?
Ja ich meine zwei Interfaces auf einer OPNsense.

Es sollte so ähnlich wie Multiwan funktionieren, nur eben nicht WAN sonder LAN...

Wenn eine LAN-Netzwerkkarte oder ein Netzwerkkabel oder ein Switch defekt wird sollte eine zweite LAN-Netzwerkkarte automatisch übernehmen (Failover)...

Ist es möglich Failover für ein Interface einzurichten damit eine andere bei Ausfall automatisch übernimmt?
So ähnlich wie bei Multiwan, nur eben für das LAN oder DMZ?

Habs weiter oben schon mal erwähnt das ich den IPFire jetzt noch nicht ablösen kann...

Leider hast du noch nicht beschrieben warum du die NICHT abschalten kannst.


Gesendet von iPad mit Tapatalk Pro

@fpausp du hast meine frage noch nicht beantwortet

Es gibt Abhängigkeiten die ich mit OPNsense nicht ersetzen kann. GeoIP, Mac-Filter, usw. Das muss ich erst lernen...

Bin ein Stück weiter gekommen...

Es ist möglich mit drei GW zu arbeiten. Momentan im Failover (Muss ich noch ordentlich testen)...

Wenn ich bei der GW-Gruppe (WANGWGROUP) alle GW auf Tier 1 setze um ein Loadbalancing zu bekommen dann funktioniert das Routing zu den einzelnen GW-Subnetzen nicht mehr. Siehe Screenshot...

Würde gerne wissen wie es dazu kommt. Sind vielleicht zus. Firewallregeln nötig?

Hab die OPNsense nochmal zurückgesetzt und von vorne begonnen...

@ Naja das wird auch schlicht daran liegen, dass die OPNsense KEINE Ahnung vom 25er Netz hat. Darum fragte ich schon, warum die guffelige IPfire da noch zwischenrum hängt.

Habs weiter oben schon mal erwähnt das ich den IPFire jetzt noch nicht ablösen kann...

Meine Erkenntnis von heute:
Solange ich kein Multiwan (Policy based Routing) aktiviere funktioniert das Routing! Erst ab dem Zeitpunkt wo ich die Gatewaygruppe als Gateway verwende greift das Policy based Routing und ich kann danach die Geräte (RiFu)  nicht mehr erreichen...

Mit nur einem Gateway funktioniert alles wie es soll. Werde mir jetzt mal das Thema Policy based Routing ansehen...

Zu micneu:

@dein LAN hat den Adressberecih: 192.168.2.0/24?
Nein, mein LAN hat die 192.168.25.0/24

@ hat es einen Grund warum deine OPNsense die 192.168.2.138/24 (meist ist das Gateway entweder die erste oder letze ip)?
Hat sich so ergeben weil es der geringste Aufwand war. Sollte aber egal sein...

@ ist die OPNsense dein Standard Gateway?
Der hängt jetzt in der Mitte... Meine PC im LAN mit dem IPFire als GW, danach der OPNsense als MultiWAN Router/GW usw...

@ Du meinst es ist noch nichts Konfiguriert, nur woher willst du dann wissen das es nicht geht...
Ich möchte für das Management der RiFu-Strecke den 192.168.0.254 von meinen PCs (192.168.25.0/24) erreichen können. Das funktioniert aber nicht...

Wie schon oben gesagt mache ich mal die RiFu-Strecke fertig und melde mich dann wieder...

Zu JeGr

@ Wenn ich das richtig sehe, kommt WAN1 über den Teltonika (entweder über LTE oder WiFi/Richtfunk?) und WAN2 kommt über eine WiFi Richtfunkstrecke wenn die Symbole richtig sind ;) Korrekt so?

Ja das ist korrekt, der Teltonika macht MultiWAN mit LTE und RiFu und hängt am OPNsense am WAN.
Am WAN2 Interface hängt eine ubiquiti litebeam ac gen2 Antenne (192.168.0.254). Die andere Seite wird erst in den nächsten Tagen montiert...

Es ist zwar möglich 192.168.0.254 über die CLI vom OPNsense zu pingen, vom LAN (192.168.25.0/24) über den IPFire kommt aber nix zurück...

Wenn ich im LAN ein traceroute 192.168.0.254 mache dan versucht der OPNsense die 192.168.0.254 über das WAN Interface zu erreichen und findet natürlich nix... Das verstehe ich nicht warum er nicht über WAN2 geht?

@ Allerdings bin ich auf der Richtfunkstrecke irritiert. Entweder bridgen die beiden Richtfunkantennen (.254 und .253) oder sie routen. So wie du es eingetragen hast, müssten sie aber bridgen, weil sie alle die gleiche IP Range haben. Ich denke die IP ist dann eher fürs Management gedacht und wie bei normalem WiFi wird die Verbindung einfach gebridget vom LAN aufs WiFi und zurück.

Ja die RiFu-Antennen/Router machen eine Bridge...

@ Somit ist dein Gateway aber nicht die .254 (also die Antenne bei dir), sondern die .1 nämlich das Gateway auf der anderen Seite.

Ja, wollte ich so einstellen wenn alles fertig gebaut ist...

Also mal danke für die Antworten, werde vermutlich am Sa. die RiFu-Strecke machen und danach weiter testen. Ich melde mich dann wieder...

@ ok, was macht die IPFirer, warum ist die in deinem netz?
Der IPFire war bis jetzt meine Firewall/VPN-Server Lösung und muss es auch noch einige Zeit bleiben.
Der kann aber leider kein MultiWAN deshalb möchte ich auch die OPNsense einsetzen...

Mit dem Teltonika RUT955 funktioniert zwar das MultiWAN, der kann aber leider nur ~80Mbit/s, brauche aber mind. 180Mbit/s damit ich die ISP-Verbindungen voll ausnutzen kann...

@ dein Internet-2 kommt per WLAN (habe ich so aus dem bild gedeutet)?
@ leider sehe ich die beiden netze (.254 .253) nicht in deiner zeichnung
Bitte den Anhang (Bild) runterladen damit du alles sehen kannst...

@ Bitte mal die Konfig deiner WANs (als bild)
Bis jetzt existiert nur der .254 (ubiquiti litebeam ac gen2) der Rest wird erst errichtet...

Hallo Forum,

Möchte mein erstes anständiges Projekt mit OPNsense umsetzen und dabei Multiwan mit Loadbalancing realisieren...

In den Anhängen findet Ihr die Netzübersicht und die Routingtabellen von IPFire, OPNsense und Teltonika RUT955.

Leider komme ich vom IPFire (LAN) nicht nach OPNsense (WAN2) Bzw. weiter zu .254 .253 .1 ...


Vom Windows 10 PC sieht das dann so aus:

Code Select Expand

PS C:\Users\admin> tracert 192.168.0.254

Routenverfolgung zu 192.168.0.254 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  ipf.xxxxxxx.lan [192.168.25.254]
  2     1 ms    <1 ms     1 ms  192.168.2.138
  3     1 ms     1 ms     1 ms  192.168.1.254
  4     1 ms     1 ms     1 ms  172.17.0.254