Messages

Die Aufgabe, die du beschreibst, kann erfüllt werden, und "zukunftssicher" ist ein sehr relativer Begriff.
Aber es hängt schon von der Bandbreite und der Leistung ab, die du erwartest.
Wenn die Box dafür ausreicht, dann wird sie das wohl auch noch eine Weile tun.

Die Architektur ist meines Wissens nach x86_64 und somit wäre es kein Hindernis diese nicht noch länger zu unterstützen.

Bei einem reinen VPN Endpunkt ist aber die Frage wie aktuell die Box sein muss, wenn keine anderen Dienste darauf laufen und sie quasi nur VPN macht.

Hallo,

nein du musst beide Ports gesondert freigeben.
Es sind im Normalfall zwei Ports an deinem Zielserver und das Umleiten wird ggf. zu Problemen führen wenn der Zielserver TLS nicht auf dem Port 25 erwartet.

Der Port TCP 587 ist bereits als Alias unter "SUBMISSION" eingepflegt.

VG

Since one of the latest updates the WOL on the box at home is not working anymore.
Had no time to investigate, yet. Maybe someone is having troubles, too.

MAC and the target server is unchanged, he UI states the magic package was sent successfully. 

Hi from Bavaria, too  ;D

I can second this. After one of the last updates my ddns with no-ip stopped working, too.
After reconfiguration to custom mode it worked again with no-ip.

Reviewed the settings from the module but could not find the difference.

Here my custom settings that worked:

Hallo,

Firewalls als VM setze ich nur im Netzwerk selbst ein.
Die Firewalls mit Netzwerkübergängen zu anderen Netzwerken/Providern mache ich nur mit Hardware.

Fehlersuche bzw. Ausfallsicherheit finde ich immer ein Streitthema. Ich schließe gerne zu viele Layer aus und will bei meinen Netzwerken verlässliche Performance auf den Routern oder Firewalls. Das hat man in der Regel mit Virtualisierung nicht.

VG,

Dominik

Maybe you have a switch with mirror port functionality

Well I think you need more than just one port for the activiation. But I am not an expert on that.

I would create a rule to allow any traffic and then sniff what is needed.
I expect you need DNS, maybe some HTTPS or HTTP calls and maybe some more detailed ports for the activation.

Have fun.

Hello,

you should think about split DNS and point the domain name directly to your NAS without the firewall for your local LAN clients.
If you don't want to do this, you need to setup NAT reflection. There are tons of threads in the forum and detailed documentation available.

The better way is split DNS.

Have fun and good luck.

In general you only need a rule on the interface the traffic arrives on the firewall.

In your case the LAN interface.
The firewall does not need rules on the outgoing interface.

If you want to make traffic flow only create rules on the interface the traffic hits the firewall and then decide what the firewall should do. No need to add rules on the outgoing interface, for your case.

Isn't discord more for gamers?
There is a signal or telegram group and this forum and IRC.
In my opinion IRC and forum should do it for network people, not all of us have time to monitor multiple apps or services.

Yes as mentioned your rulest is not correct.
To reach the internet from you LAN the OPNsense basic configuration is correct. No need to change NAT to manual or change the default rules.

From the rules you showed it seems you should first start learning how pf or firewalls are working.
Try to review the default rules and understand what they do and maybe check out the documentation like Greenlan mentioned.

Thank you, that seems to fix it. I found an older long discussion https://forum.opnsense.org/index.php?topic=15900.0

Since I am not sure if its a bug or feature this post, maybe others have seen it before:

I have some opnsense firewalls connected to the same /24 WAN subnet.

Firewall A: 212.x.x.1
Firewall B: 212.x.x.2
Router: 212.x.x.254

Code Select Expand



+------------------+
|     Router       |
|     212.x.x.254  |
+--------+---------+
         |
         |
         |
         |
         |             212.x.x.0./24  WAN
         +--------+-------------------------------+----------+
                  |                               |
                  |                               |
         +--------+---------+          +----------+---------+
         |    Firewall-A    |          |     Firewall B     |
         |     212.x.x.1    |          |     212.x.x.2      |
         +--------+---------+          +----------+---------+
                  |                               |
                  |   LAN A                       | LAN B
                  |                               |
                  |                               |
            +-----+-----+                   +-----+------+
            |    PC     |                   |    PC      |
            |    01     |                   |    02      |
            +-----------+                   +------------+



The availability from the LAN of Firewall A to the WAN Interface of Firewall B looks like this:



After doing a traffic capture on Firewall A and B I think I found the problem. Firewall B does not send the Traffic directly back to Firewall A.
The ARP traffic is sent to a combination of IP of Firewall A but with the MAC of Router. I reviewed the ARP table on Firewall B but there the entry was shown correctly.

We replaced hardware and reinstalled but problem persists with multiple installations and different firewalls on the same WAN interface.

For testing I changed:

net.inet.ip.redirect 1
net.inet.icmp.drop_redirect 0

-> no change.

Firewall->Settings->Advanced->Disable force gateway

-> no change

Schau dir doch auch mal die Geräte von DECISO an, die haben gerade ihre neuen Modelle rausgebracht: https://shop.opnsense.com/
Könnte interessant sein.

Supermicro hat auch einiges an Boards die in Frage kommen.

In der Leistungsklasse solltest du immer auf die Bauform und die Geräuschentwicklung achten. Das kann bei Supermicro im 1HE Faktor schon unangenehm laut werden.

Security und VM ist immer mit Vorsicht zu genießen.
Auch haben wir mit FreeBSD / HBSD nicht die beste Basis für das Thema.
Es kommen immer wieder Rückfragen nach Performance in virutellen Umgebungen. Das kann man einfach nicht immer gut vorhersagen.

Meine Meinung: Wenn es das Budget hergibt immer Hardware für alles was Security machen soll.