Messages

Ahh ok, Virtual IP Mode Other ist gemeint.
Bei other habe ich sofort an Interfaces -> Other gedacht und dort nichts gefunden. Aber Danke für die Erklärung, dann sollte alles passen. Ich teste das nachher mal.

Hi zusammen,

leider finde ich den Punkt "Other" Virtual IP nicht.
Gibt's nen Trick um den zu aktiveiren?

Alternativ, gibt es schon bessere Lösungen mit einem fixen ULA Prefix?

Die beiden Issues dazu:
- https://github.com/opnsense/core/issues/2821
- https://github.com/opnsense/core/issues/2189
Sind ja geschlossen aber bei mir klappt es nicht mit 2 ipv6 prefixen (dynamisch per Track Interface vom WAN als auch ULA über Firewall Virtual IP).


Danke und Grüße

Christian

Hi,
nö, ist alles richtig. Immer aus Sicht der sense.

WAN eingehend auf die Sense, leitet weiter an Ziel also ausgehend :)

LG Christian

Cool, vielen Dank für die Info.
Hat geklappt :)

Hallo zusammen,

ich hoffe hier kann mir jemand weiterhelfen, vermutlich fehlt bei mir noch ein bisschen wissen zwecks Routing und Firewall Regeln.

Ausgangslage:
Ich möchte bei Hetzner einen cloud Server (https://www.hetzner.de/cloud) nutzen um folgendes zu erreichen:

• VPN Kopf Router um Netze miteinander zu verbinden
• Dienst aus meinem Lokalen Netz unter einer festen IP Verfügbar zu machen

Der Teil VPN Kopfrouter scheint soweit zu klappen, Einwahl geht und Daten werden ausgetauscht.

Zum anderen möchte ich mit einer zweiten IP Adresse bestimmte Dienste in meinem lokalen Netz nach außen über eine Feste IP Adresse Verfügbar machen.

Dazu habe ich eine zweite IPv4 beantragt und diese unter Firewall als Virtual IP Eingetragen.

Dann zwei Aliase eingerichtet, einen für die WAN IP (IP_vserver) und einen zweiten mit der anderen IP (IP_DMZ).
Dann folgende Regeln für das WAN Interface hinterlegt:
Bild: Firewall_Rules_WAN.PNG


Unter NAT Port-Forward dann folgendes:
Bild:Firewall_NAT_Port_Forward.PNG


Von dem OPNsense System komme ich per custom SSH (Port 222) und HTTP (Port 80) auf den Zielrechner, das OpenVPN scheint also zu funktionieren. Wenn ich jetzt aber über die Zusätzliche Virtuelle IP von außerhalb per SSH auf diese IP Connecten möchte kommt kein Verbindungsaufbau zustande. Ich sehe in beiden Firewall Logs (Sowohl auf dem Cloud Server als auch hier bei mir Lokal), dass es auf dem jeweiligen Interface eine eingehende Verbindung gibt, die auch korrekt weitergeleitet wird, aber es klappt leider nicht.
Auch Fehler sehe ich nicht :(
Bild: Firewall_Log Files_cloud_server.PNG

Bild: Firewall_Log Files_local_server.PNG


Hat jemand einen Hinweis für mich, was ich da falsch mache?


Danke und Grüße

Christian

Hallo BMG,

vielen Dank nochmal für deine Hilfe. Auch ich kenne mich ein bisschen mit Netzwerken aus aber halt nur sehr wenig mit OPNsense. Das es kein NAT sein soll, steht schon in meinem Eingangspost.

Da ich mir aber sicher war, das hier ein anderes Problem vorliegt, habe ich mir noch eine zweite OPNsense installation ganz jungfräulich hingestellt. Siehe da, es klappt wie von mir geschrieben ohne Gateway und statische Route und ganz ohne Firewall Regel (nur die Standard, alles darf je Interface raus).

Dann musste es also an was anderem liegen, als ich dann die Multi-WAN Einstellungen entfernt habe, hat alles funktioniert.

Daher muss ich mich wohl erst mal in das Thema Multi-WAN und OPNsense einarbeiten.

Fazit:
- Routing geht ohne Gateway und static Route wie ich es auch mit meinen Basis Netzwerkkentnissen erwarte.
- Komplexe Dinge im OPNsense Umfeld muss man sich langsam näher (eine Erkentniss, die ich leider immer wieder mache :( )


Danke und Grüße

Christian

Hallo BMG,

ja habe ich, hat aber erstmal nichts mit dem Problem zu tun, dass die OPNsense Kist, die als Router zwischen den Privaten netzen fungieren soll, die Pakete anscheinend an das WAN interface sendet, wie man weiter oben sehen kann.

Ich hoffe hier kann mal jemand helfen, der sich ein wenig mit dem Thema NAT auskennt im Zusammenhang mit OPNsense.


Grüße

Christian

Hallo BMG,

danke für deinen Input.

Zuerst mal eine Frage: Warum brauche ich ein Gateway und eine statische Route?
Die OPNsense Kiste hat doch eine IP im Zieladressbereich und ist damit schon im anderen Netz.
Der Ping (und auch per telnet Port 80 ein get liefert ein Ergebnis) geht ja auch zur Fritzbox.
Damit ist das Zielnetz für die OPNsense erreichbar ohne ein weiteres Gateway, ein weiteres Gateway braucht man ja nur, wenn man noch nicht selber im Zielnetz sitzt.

Die Routing Tabellen (netstat -r) sehen auch ohne Gateway und statischer Route gleich aus.

Dennoch habe ich deine Hinweise umgesetzt, aber es ist das selbe Phänomen.
Wenn ein Client im LAN (192.168.126.0/24 als Gateway hat es die OPNsense IP 192.168.126.9) ein Traceroute startet kommt das bekannt Ergebnis wie im ersten Post, die IP des WAN Gateway liefert eine Timeout, klar, weil der Adressbereich nicht über das WAN Gateway geroutet wird, soll er ja auch nicht.

Ich verstehe nicht, warum die OPNsense hier nicht wie erwartet als Router zwischen den Subnetzen arbeitet.
Meine Vermutung ist immer noch, das es etwas mit dem Outbound NAT zu tun hat.

Vielleicht hat noch mal jemand anderes einen Hinweis oder ggf. eine Lösung für mich?


Danke und Grüße

Christian

[Meine Umgebung]

Hallo zusammen,

ich habe eine Frage zum Routing zwischen 2 privaten Netzen.
Als Version kommt bei mir die aktuellste zum Einsatz: OPNsense 18.7.10_3-amd64

Meine Umgebung
Ich nutze opensense als Router für mein Netzwerk, die Verbindung wird über pppoe als WAN Interface an Netzwerkschnittstelle xn3 hergestellt.
Der Internetzugriff Funktioniert auch einwandfrei, Firewallregeln und Portforwarding klappen auch.
Ich muss noch darauf Hinweisen, das ein Multiwan Setup mal Grundlegend aufgebaut wurde, allerdings momentan ist die zweite Verbindung nicht aktiv, da ich aber schon ein paar mal etwas gefunden haben, das mit Multiwan und Routing einiges besonderes beachtet werden muss.
Wie auch immer, die Firewall Regeln nutzen das Gruppengateway allerdings mit nur einem aktiv WAN Adapter.

Als LAN Netzwerk nutze ich 192.168.126.0/24 opensense und damit das Gateway für das Netzwerk ist die 192.168.126.9.

Anbindung fremdes Netz über OPT1/xn5
Nun habe ich über VLAN in der Switch Konfiguration ein Fremdes Netzwerk angebunden.
Interface heißt LAN_138 auf der Netzwerkkarte xn5, IP Adresse 192.168.138.9.
Bei dem Netz handelt handelt es sich um eine Fritzbox mit dem Netz 192.168.138.0/24, die Fritzbox hat die 192.168.138.99. In der Fritzbox ist eine IPv4 Route eingestellt: 192.168.126.0/24 über Gateway 192.168.138.9.
Ein Ping (und auch ein Terlnet auf Port 80) von der opnsense Kiste auf die Fritzbox klappt, der Datenverkehr in das fremde Netz ist also hergestellt.

Das Problem
Ab jetzt bin ich mir unsicher was getan werden muss, damit ich von einem Client aus meinem LAN Netz (192.168.126.0/24) auf die Fritzbox bzw. auf das Fritzboxnetz (192.168.138.0/24) zugreifen kann.
Die opnsense soll die Daten zwischen den beiden Netzen routen, kein NAT und erst mal keine Firewall Regeln.
Wenn ich an einem Client im LAN Netz (192.168.126.0/24) ein Traceroute durchführe, sehe ich dass dies über das WAN Interface der opnsense versucht wird.

Code Select Expand


tracert -d 192.168.138.99

Routenverfolgung zu 192.168.138.99 über maximal 30 Hops

  1     1 ms    <1 ms    <1 ms  192.168.126.9
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *     62.155.243.54  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.


Dazu habe ich schon mal gelesen (allerdings im pfsense Umfeld) dass hier das Outbound NAT auf manuell gestellt werden muss. Da hapert es aber schon, ich weiß nicht genau wie ich das richtig einstellen muss. Folgendes habe ich bisher mal eingestellt:

Bild im Attachment: OPNsense_OutboundNAT.PNG

Leider hat das nicht geholfen.

Ich hoffe es gibt hier jemand, der mir auf die Sprünge helfen kann.


Vielen Dank und Grüße
Christian

P.S.: OPNsense läuft auf einem XCP-NG Server (freier XENSERVER), sollte das von interesse sein
P.S.S.: dieses zweite Netz möchte ich evtl. irgendwann mal als zweites WAN Interface für Load Balancing bzw. Fall Back Leitung nutzen. aber das hat sehr niedrige Prio