Messages

Hallo in die Runde.

Eine Frage: ist es normal dass zwei OpenVPN-Client die gleiche virtuelle Adresse erhalten?

Im Screenshoot verbindet sich OPNsense als CLIENT zu zwei VPN-Server.

Interfaces: Overview -> right side to DETAILS

Widget i don't now.

The goal for 25.7: Dnsmasq DHCP/RA for small and medium deployments and Kea/Router Advertisements (radvd) for bigger deployments (requiring seamless HA support).

The docs are in the works, but we also need a bit more code glue for 25.7 and 26.1 to make the most of these transitions.

But TLDR: nothing changes for users. Anyone can use what they want. Even ISC for the forseeable future (2-5 years).


Cheers,
Franco

I would like to have a smart migration path from ISC to xy in opnsense as I have many MAC addresses statically mapped in ISC ;-)
- maybe as ontime script from console...

Es scheint zu klappen, aber da muss ich erstmal drüber schlafen :-)

Policy-Routing Floating-Regel

NOK
"pass, Quick, IF = ovpn, Source any, Destination die VPN-Gegenstelle als Alias, Port any und Protokoll UDP, Gateway der gewünschte Gateway."
- Destination VPN-Gegenstelle (=Provider) habe ich als Alias genommen da der DNS-Name auf ca. 14 IP's aufgelöst wird.
- Gateway "WAN_igc1_DHCP"

OK
"pass, IF=WAN_igc1 (!), Source any, Destination die VPN-Gegenstelle als Alias, Port any Protokoll UDP, Gateway der gewünschte Gateway."
- Destination VPN-Gegenstelle (=Provider) habe ich als Alias genommen da der DNS-Name auf ca. 14 IP's aufgelöst wird.
- Gateway "WAN_igc1_DHCP"

Was ich jetzt noch nicht so richtig verstehe wieso ich als Interface in der Rule das Interface des Gateway hernehmen musste.

1.) Interface -> Device -> Point-to-Point -> + Zeichen -> Link Type PPPoE
Link Interface(s) -> wan
- hier musste ich für "Telekom Magenta Regio" ein V-Lan ID-7 Interface erzeugen und hier angeben

Vielleicht ist dies bei deinem Provider ebenfalls so?
Welcher Provider?

Jepp,
danke für die Hinweise,
die Erklärung zu den Gateways ist einleuchtend.

Ich habe die Direction in der Floating-Regel auf "out" gesetzt (zuerst mit "in" getestet). Quick ist an, klar.
Der Traffic will partout nicht auf das "WAN_igc1_DHCP" WAN-Interface.

Interessant ist die Tatsache dass es zwei VPN-Interfaces gibt:

1)
Interfaces:Assignments:  Interface "ovpn" dem Device "ovpnc1" zugeordnet und enabled
- das von mir erstellte Interface, auch sichtbar unter der Interfaces-Rubrik

2)
Auswählbar in der Floating-Rule oben bei Interface und in der NAT:Outbund Regel.
Woher kommt dieses "OpenVPN" Interface?

Habe aktuell keinen Schimmer wo ich noch nachschauen sollte...

Klappt leider noch nicht so wie gewollt:

OPNSense als VPN-Client zu einem externen VPN-Hoster.
Eines von zwei WAN-Interfaces soll ausgehend permanent VPN-Traffic handeln.
LAN-Clients innerhalb OPNsense sollen über diese Verbindung geroutet werden.

VPN:OpenVPN:Instances einen VPN-Client angelegt (OPNSense als Client!) = Verbindung zu meinem VPN-Hoster
- im Connection-Status steht nun "connected"

Interfaces:Assignments:  Interface "ovpn" dem Device "ovpnc1" zugeordnet und enabled

System:Gateways:Configuration wurden nun "OVPN_VPNV4" und "OVPN_VPNV6" angelegt
- "OVPN_VPNV4" zeigt nun eine IP unter Gateway
- "OVPN_VPNV6" habe ich disabled, der VPN-Provider bietet nur v4

Firewall:NAT:Outbound: steht auf Hybrid: mit dem + Zeichen eine Rule angelegt mit Interface "ovpn" und gespeichert & apply

Firewall:Rules:LAN_igc0: mit der IP eines Testrechners auf das Gateway "OVPN_VPNV4" konfiguriert

Der Testrechner kommuniziert über die VPN
- funktioniert

Ich habe zwei VDSL als Multi-WAN konfiguriert:
"OPT3_PPPOE0_PPPO" und "WAN_igc1_DHCP" zu der GATEWAY-Gruppe "WANGWGROUP".

Andere Testrechner kommunizieren hierüber, die Last wird zwischen den beiden WAN verteilt.
- funktioniert

Nun möchte ich den VPN-Traffic NUR über das WAN-Interface "WAN_igc1_DHCP" leiten.

"Floating Regel, Source any, Destination die VPN-Gegenstelle, Destination Port und Protokoll passend, Action allow, Gateway der gewünschte Gateway."
- Destination VPN-Gegenstelle (=Provider) habe ich als Alias genommen da der DNS-Name auf ca. 14 IP's aufgelöst wird.
- Gateway "WAN_igc1_DHCP"

Was mich hier schon gedanklich stört ist die Tatsache,
dass schon ein Gateway "OVPN_VPNV4" über das Interface "ovpn" erzeugt wurde und funktional ist.
- kann man dann noch den Traffic so umbiegen?

Firewall-Regel outbound mit explizit gesetztem Gateway? Statische Route zum OpenVPN-Server über den Gateway? Eines von beiden.

Kannst du mir die erste Variante mal näher beschreiben?

Wenn ich mittels VPN: OpenVPN: Instances einen neuen VPN-Client anlege, also OPNSense als Client (!),
wie kann ich hier eines von zwei WAN Interfaces adressieren?

In "VPN: OpenVPN: Clients [legacy]" konntge ich ja bisher das gewünschte WAN-Interface direkt auswählen,
aber jetzt mit der "neuen" Config über "VPN: OpenVPN: Instances" gibt es dass ja nicht mehr.

Hinweis:
Ich nutze ein pppoe0-WAN und ein statisches igc1-WAN Interface.
- das igc1-WAN Interface soll für die ausgehende VPN-Verbindung genutzt werden.

Gruß
rolsch

@all: any hints for me?

Hi bobbyb84.

Can you describe this binding for openvpn-instances-client mode?

I have two VDSL provider, also two WAN interfaces.

1) with an "OPT3_PPPOE0_PPPOE" gateway and dynamic IP-Range
2) with an "WAN_IGB1_DHCP" gateway and static IP-Adress

What is the technical path for an binding?
Witch IP address should be used and mapped to the correct wan interface?

The outgoing opnvpn data shoud bind to the pppoe interface.

Hi openvpn experts  8)

I migrating from client [legacy] to instances-client mode.

But in this settings i do not found the option for selection the outgoing interface.
I have two wan interfaces and will select one for outgoing vpn traffic.

Any hints and tricks?

Also nochmal:

OPNSense als VPN-Client zu einem externen VPN-Hoster.
Eines von zwei WAN-Interfaces soll ausgehend permanent VPN-Traffic handeln.
LAN-Clients innerhalb OPNsense sollen über diese Verbindung geroutet werden.

- VPN:OpenVPN:Instances einen VPN-Client angelegt (OPNSense als Client!) = Verbindung zu meinem VPN-Hoster
- Interfaces:Other Types:Loopback angelegt
- Interfaces:Assignments:Assign a new interface: das erstellten Loopback zugewiesen [opt5 hier...]
- Interfaces:[neues_loopback]: IPv4 Configuration Type: Static IPv4 und IP 192.168.200.1/32
- VPN:OpenVPN:Instances:VPN-Client: Bind address: 192.168.200.1 angegeben

Wenn ich nun an dieser Stelle die OpenVPN-Client Instanz starte verbindet sich diese
mit meinem VPN-Hoster über eine meiner beiden WAN-Gateways/Interfaces obwohl ich unter
der Instanz "Bind address" mit 192.168.200.1 angegeben habe und noch kein Forward gemacht habe.

"man macht den Port Forward auf dem gewünschten WAN interface mit dem Loopback interface und OpenVPN Port als Ziel."

Wo, in den Firewall:Rules:WAN1 Interface?
Den Forward braucht man doch "nur" bei einem openVPN SERVR für die eingehenden Calls der externen Clients...

Ich blicke da gerade überhaupt nicht durch oder es wird aneinander vorbei geredet  :o
   
Mit der alten Methode "VPN: OpenVPN: Clients [legacy]" sind es nur ein paar Klicks und alles läuft übers gewünschte WAN-Interface.
Ich wollte aber nun alles neu über die Instanzen einrichten...

Man macht ein Loopback interface, Interfaces - Other Types - Loopback, z.B 192.168.200.1/32. Daran bindet man OpenVPN.

Dann ein Port Forward darauf.
[/quote

Den Punkt mit dem Port Forward: Forward auf das gewünschte WAN-Interface?

"Leave empty to bind to all addresses assigned to this machine"
Dies habe ich aktuell, aber da schnappt sich die VPN
-Verbindung das nicht gewünschte ausgehende WAN-Interface.

"use a loopback address combined with a port forward when the external address is not static."
Hmm, diese Angabe verstehe ich nicht wirklich. Wie ist dies wo zu realisieren?