Messages

Moin,

Stichwort asyncrones Routing.
Das Gateway sieht das erste Datenpaket und schickt es zum TI Router und der zum Ziel.
Antwort vom Ziel kommt über den TI Router und geht dann direkt ins LAN, ohne das die OPNSense das Datenpaket sieht.
Somit ist die Stateful Inspektion auf der OPNSense gestört und das dritte Datenpaket zum Ziel wird nicht mehr zum TI Router geschickt, sondern geblockt.

Die saubere Lösung ist ein eigenes Interface an der OPNSense, an dem der TI Router hängt mit einem Transfer Netz.
Somit gehen alle Daten Pakete über die OPNSense, Stateful Inspektion passt dann.

Die unsaubere Lösung ist eine Firewall Regel auf der OPNSense mit der Quelle LAN und Ziel die TI Routen und dem Sloppy Status.
Ist aber unschön, die Stateful Inspektion so auszuschalten.


LG,
Ralf

Hi,
just a thought:
Is there a NAT rule on the second machine that converts outgoing traffic to the virtual CARP address, which is not active on the second machine?

Hi,
you have to specify the source IP, which the ping command uses.
On cli use the "-S SRCIP" option on the ping command.
In your case you must set the LAN IP from your source opnsense gateway.

regards,
Ralf

Moin Moin,
wir betreuen eine Anzahl an Opnsense Gateways bei den Kunden.
Jetzt würden wir gerne bei den älteren Installationen anfangen, die OpenVPN und IPSEC Verbindungen
von legacy auf die neuen Instanzen und Verbindungen zu migrieren, um damit zukunftssicher zu bleiben.
Gibt es Scripte oder Projekte, die eine automatische oder halb automatische Migration der Settings ermöglichen?
Desweiteren sollen auch die Firewall und NAT Einstellungen auf die API Variante migriert werden.
Gibt es dafür auch etwas?

Liebe Grüße,
Ralf Kirmis

Moin,
bei mir war der Wazuh Server zu alt für den Agent.
Bitte mal Agent Version und die Server Version vergleichen.
LG,
Ralf

Hi,
i whish i can get also one code. :)

+1  :)

Is the box based on the libressl flavour?
If, you have to change to openssl flavour.

Hi Michael,

we have had a similar issue.
In our chase, changing,saving and applying a firewall rule solved it.
Which firewall rule was irrelevant at that point.
HTH

regards,
Ralf

Hi,

do you use your opnsense with the flavour libressl?
Then that's the cause, because libressl seems broken after that update.
Rollback libressl to version 20.7.7 of OPNSense, and i should work again.

regards,
Ralf

Hi,
you have to edit the Makefile in the /usr/tools dir
Please append in the section ADDITIONS?=
the line os-frr${SUFFIX} and build your iso.
Then the plugin should be installed by default.

regards,
Ralf

Moin,

wenn man die Alias Liste in die original redirekt Regeln einsetzt (als Ziel) und dann bei Ziel umkehren den Haken setzt?

Ändert sich dann das Verhalten?

LG,
Ralf

Hi,

did you exchange the ip numbers in the log?
Customer side uses 169.254.72.200?
That range use DHCP Clients, wenn there is a problem with the dhcp server.

regards,
Ralf

Moin,

da ist der hoffentlich richtige Request.

https://github.com/opnsense/core/issues/3733

LG,
Ralf

Moin,

das geht auch:

Man muss das leider in die /usr/local/etc/monitrc manuell eintragen und wenn man die Einstellungen
in der GUI speichert ist das wieder weg: (Hatte leider noch keine Zeit das mal in einen Feature Request zu packen)

check host Ping_VPN_1 address [DEST IP]
   if failed Ping ADDRESS [LAN IP] then alert

Aber dann geht der Ping auch mit der LAN IP raus.

LG,
Ralf