Messages

Moin,
ansonsten mal die Option "Secure Boot disable" mal checken, wenn bisher nichts geholfen hat.

Bei der Kombination 7590/OPNsense hätte man die Option "exposed host", mit welcher die Firewall dann liefe. Soweit ich das mitbekommen habe, wird dies auch bei Anderen favorisert. Das automatische Setting der Schnittstellen ergibt bei meiner Einrichtung folgende Konstellation: igb0=LAN, igb1=WAN, igb2=OPT1.

Moin,
das Erste was mir einfallen würde, wäre das Problem einkreisen und mal schauen mit welcher Konfiguration man weiter kommt. Vielleicht mal die 7590 mit der OPNSense kombinieren und versuchen, ob man mit Hilfe der Protokolle Unstimmigkeiten erkennt. Soweit ich mich erinnern kann, lief die Schnittstellenzuweisung während der Installation weitgehend automatisiert.

Hi mb,
Thanks for your respnose. This time the firewall comes with the message of not having enough memory (8GB required, I have only 4 GB). Yesterday it said something different. I'll come back to you when I can replicate the previous error.

Hello there,
Shortly I've registered on the beta program to obtain the required Downloadlink but ssh is rejecting the provided download link after I login into opnsense. The link is slithly different than in the tutorial.
Could you update the Installer-URL please. Many thanks.

Moin erstmal,
die APUs von PcEngines wären erwähnenswert. Habe selbst die APU2C4 (AMD GX-412TC, 4 cores) die mit einer Auslastung von 25% noch nie Probleme verursacht hat bisher. Außerdem sind noch 3 GigE / 2 miniPCI express / mSATA / USB onboard. Allerdings läuft kein sensei plugin bisher. Erfahrungen diesbezüglich mal posten, es gibt noch kein deutschen Thread bisher.

Tach auch,

es gibt im englischsprachigen Forum ein Tutorial mit dem ich damals erfolgreich ein Portforwarding eingerichtet habe. Zu berücksichtigen waren u.a. spezielle Einstellungen unter Firewall -> Settings -> Advanced. Das Tutorial ist unter [Tutorial] How I do port forwarding - simple and straightforward zu finden. Damit sollte auch der Port für den postfix Server ohne exposed host Einstellung einzurichten sein.

Moin,
hast Du mal versucht eine statische IP seitens der OPNsense per DHCP zu vergeben? Häufig ist es so, daß in den Einstellungen des AP ebenfalls eine statische IP zugelassen werden soll. Unter Leases siehst Du, ob und wie lange ein Lease gültig ist.

Ich hoffe ich konnte helfen.

Nachdem es mir aufgefallen war habe ich OPNsense in der Fritz Firewall als sog. "Exposed Host" markiert und auf einmal funktionierten meine Portweiterleitungen.
Wenn es noch eine bessere Möglichkeit als die "Exposed Host" Funktion gibt, so lasst es mich bitte wissen.

Ich hatte ähnlich wie Du Probleme bei der Portweiterleitung. Obwohl es auch Vorteile gibt, die Firewall als exposed host zu betreiben, wollte ich diese Einstellung erst einmal außen vor lassen. Das englische Tutorial zur Portweiterleitung brachte dann den Hinweis Aliase zu verwenden und zudem die folgenden Einstellungen zu verwenden:

- Reflection for port forwards: Enabled
- Reflection for 1:1: Disabled
- Automatic outbound NAT for Reflection: Enabled

Beste Grüße
OPNsenseN00b

Moin liebe Community,
ich habe kurzum auf die zur Verfügung gestellten Netzdiagramme bzw. Firewall Architekturen zurückgegriffen und teilweise modifiziert. Mit der vorgeschlagenen mupltiplen DMZ wäre es prinzipiell möglich, beliebig viele Instanzen in Reihe zu schalten. Die Firewallarchitektur ließe sich also je nach Bedarf an das Sicherheitsbedürfnis anpassen. Je weiter von der Providerseite in der Architektur entfernt, desto restriktiver werden die zu überwindenen Hürden. Inwieweit sich dies so sinnvoll umsetzen läßt, ist in Teilen fraglich, eben nur eine Idee.

WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'
              |
      WAN | IP or Protocol
              |
      .-----+------.      externe DMZ    .------------.
      |  OPNsense1 +-----------------+ DMZ-Server|  z.B. Webserver, DNS
      '-----+------'      OPT1                '------------'
            |
   LAN1 | 
            |
        .-----+------.  LAN1  .----------.
   ---| LAN-Switch+-------+Mailserver|  z.B. postfix
        '-----+------'            '----------`
            |
  LAN1  |
            |
       .-----+------.    interne DMZ   .-------------.
      |OPNsense2 +-----------------+ File-Server |  z.B MySQL
       '-----+------'            OPT2      '-------------'
            |
   LAN2 |
            |
      .-----+------.   LAN2  .-----------.
---| LAN-Switch+-------+LAN-Clients|
      '-----+------'             '-----------`

> Nun haben wir zumindest die Möglichkeit geschaffen ohne exposed host zu arbeiten.

Um neugierig zu sein: und was genau soll das für einen Vorteil bringen?

Nun letzendlich soll eine mehrstufige Firewall hergestellt werden über dessen exakten Aufbau noch entschieden werden soll. Als Ziell soll ein Postfix Server hinter einer zweiten Firewall laufen bzw. in einer internen DMZ. Zunächst ging es mir aber darum einfach zu beginnen.

Beste Grüße
OPNsenseN00b

Liebe Community,

unter zur Hilfename des englischsprachigen Tutorials gelang das Portforwarding ganz zügig. Zum einen sollte man einen Aliasnamen für den entsprechenden Host nutzen sowie die Besonderheiten in den erweiterten Einstellungen.

Ein Hinweis noch für die DynDNS Nutzung, die stets nur auf einem Gerät (hier Fritzbox) laufen darf, da sonst Fehlermeldungen seitens des Betreibers produziert werden.

Danke für den Hinweis, daß man an zwei Geräten herumschrauben muss, aber letztendlich ging es dann doch mit den Aliasen ziemlich fix. Nun haben wir zumindest die Möglichkeit geschaffen ohne exposed host zu arbeiten.

Grüße
OPNsenseN00b

[Internet]

Liebe Community,
mein Netzwerk Setup ist in etwa so eingerichtet wie bei meinem Vorredner:

Internet --- Fritzbox7590 -(192.168.178 subnet)- opnsense -(192.168.2 subnet)- switch --- nas

Sinn soll nun sein, die NAS über das Internet zu erreichen. Die DynDNS ist erfolgreich an der Fritzbox eingerichtet. Die Portweiterleitung harperts nun aber. Die Bogon Netzwerke werden blockiert, ansonsten RFC1918 Addressen aber nicht. Eine exposed host Einstellung wollte ich vermeiden.

NAT wurde eingerichtet und die automatisierte Regel auf der WAN Schnittstelle wurde auch erstellt. Jetzt bin ich mir nicht sicher ob die Eingaben bei NAT stimmen:

autom. Firewallregel WAN:

IPv4 TCP    *(Quelleadresse)   *(Quellport)   192.168.x.x(Ziel)    5000(Zielport)   *(Gateway)

NAT:

WAN   TCP   *(Quelladresse)   *(Quellports)   192.168.x.x(Zieladresse)   5000(Zielport) 192.168.x.x(NAT)   5000

Müssen noch eigenständig Regeln an der OPT1 eingetragen werden?
außerdem Fehlermeldung: Default deny rule bei igb1 (WAN)

Jemand Ideen? Danke!

Moin, ich benutze selber die gleiche APU mit der aktuellen Fireware und keinen Fehler dieser Art. Vielleicht mal Konfiguration sichern und einen Reset durchführen oder gleich neu auf die SSD aufspielen.
Mal ohne IPS versucht, die ist ziemlich restritiv?

Gesendet von meinem LG-H870 mit Tapatalk

Guten Abend zusammen,

Das Problem für die nicht erfolgte Vergabe der IPv6 Adressen lag wohl an der ConnectBox von Unitymedia, die keine Prefix Delegation unterstützt.

Lösung:
ConnectBox ersetzen durch FritzBox. Unter folgenden Einstellungen verlief dann auch die IPv6 Adressvergabe problemlos. Laut Fritzbox wird seitens UM ein 59er Prefix verteilt, die OPNSense läßt sich mit einer 62er Prefix Delegationsgröße betreiben. Auf den nicht WAN Interfaces ist dann Track Interface (Schnittstelle aufzeichnen) zu wählen, wie andernorts schon beschrieben.

Einstellungen:
DHCPv6 Clientkonfiguration:
Nur einen IPv6-Präfix anfordern: -
DHCPv6 Prefix Delegation Größe: 62
Sende einen IPv6-Präfixhinweis: -
Sende SOLICIT direkt: -
IPv4-Verbindung verwenden: -
Aktiviere Fehlersuche: -