Messages

Ich habe das Thema nun folgendermaßen gelöst:

Neue Firewall Regeln wurden erstellt:
1. DNS Regel
2. Mailserver über WAN2 (Policy based routing)

Details siehe Anhang

Ich habe das Thema nun folgendermaßen gelöst:

Neue Firewall Regeln wurden erstellt:
1. DNS Regel
2. Mailserver über WAN2 (Policy based routing)

Details siehe Anhang

Ok, vll. habe ich mich etwas undeutlich ausgedrückt.

public ip range /28 WAN  ---------------|******************|
                                                         | OPNSENSE cluster     | -------------- LAN ----- Mailserver
public ip range /28 WAN2 ---------------|__________________|


Hierbei geht es um einen virtuellen opnsense cluster aus dem RZ. Ich habe einen zweiten IP-Bereich erhalten, welcher wie in den meisten fällen - nicht identisch ist (der vorhandene wird nicht erweitert).

Ich habe zur vorhandenen WAN Schnittstelle eine weitere WAN2 Schnittstelle erstellt und diese identisch wie WAN eingebunden (WAN physikalisch in opnsense + CARP IPs).

Wenn ich nun die IP-Adressen über WAN2 routen will - im speziellen einen Mailserver, dann funktioniert der OUTBOUND nicht - es wird immer die IP-Adresse von WAN angezeigt.

Ich habe testweise unter "Settings -> Gateways -> Single" das WAN2 auf aktiv gestellt, dann hat der Mailserver die richtige IP-Adresse bekommen, jedoch hatte ich dann Probleme mit dem WAN IP-Bereich.

Ich vermute ich muss beide Gateways auf "aktiv" setzen, damit diese routbar sind?
Muss ich da ggfls. eine statische route eintragen über welches gateway die spezielle ip geroutet werden soll?
Das kann ich mir irgendwie nicht vorstellen.

Einfach eine Standard Firewall Regel Anlagen und ganz unten bei "Gateway" das entsprechende Gateway abgeben.
Wenn du in der Regel die Richtung von In zu Out geändert hast, dann ist das falsch :)

Gesendet von meinem OnePlus 8t mit Tapatalk

diese Regel hat leider auch nix bewirkt

Hallo liebe Community,

ich habe von meinen ISP 2x IP-Ranges bekommen, welche komplett unterschiedlich voneinander sind.
Wie kann ich diese am besten in mein Cluster integrieren?

Aktuell habe ich 1. IP-Range über CARP und Virtuellen IP-Adressen angebunden - funktioniert ohne Probleme.
Auch das OUTBOUND über eine IP-Adresse aus der 1. IP-Range klappt ohne Probleme.

Nun hätte ich die 2. IP-Range genauso angebunden, leider wird mir beim OUTBOUND immer die IP-Adresse von der 1.IP-Range (GW) angezeigt.

Was mache ich falsch?
Any ideas?

wollte gerade eine Regel anlegen und erhalte die folgende Fehlermeldung:
The following input errors were detected:

Policy based routing (gateway setting) is only supported on inbound rules.

--->> INBOUND hab ich ja kein Problem - ich habe das Problem das OUTBOUND die falsche IP kommuniziert wird.

---------------------

Das Outbound NAT funktioniert auch für die 1. IP-Range ohne Probleme (WAN1 = IP-Range 1)
Nur bei WAN2 funktionieren die Regeln nicht.

Vielleicht habe ich hier auch etwas falsch konfiguriert?
Ich habe ein zusätzliches Netz vom Provider bekommen, welches ein anderes Gateway auch verwendet. Hierfür habe ich eine zusätzliche NIC konfiguriert (WAN2). 

Was hat denn der Browsercache damit zu tun?

Hier geht es um Firewall - ich habe 2x public ip ranges welche im cluster auf opnsense betrieben werden und der mailserver mit einer falschen ip nach aussen geht.

Hallo liebe Community,

ich habe folgendes Problem:
Mein MailCow E-Mailserver kann an T-Online, GMX oder Web.de keine E-Mail senden.

Fehlermeldung:
Bad DNS PTR resource record

Der PTR record wurde auf die externe IP-Adresse des Mailservers gestellt.

Wenn ich mithilfe von www.mail-tester.com den MailFlow prüfe, wird mir angezeigt, das ich über die falsche IP-Adresse versende und diese in den SPF Record aufgenommen werden muss.

Die IP-Adresse, welche mir angezeigt wird, ist die IP-Adresse meiner WAN1 Schnittstelle.
Der Mailserver wird jedoch über WAN2 (extra public ip-range) und einer dort enthaltenen IP-Adresse gehostet.

Ich habe schon eine NAT Outbound oder 1:1 regel versucht - ohne Erfolg.

Ich bin auch verwundert, warum die IP-Adresse von WAN1 angezeigt wird.
Wenn dann müsste ja die externe IP Adresse von WAN2 angezeigt werden - was auch falsch wäre.

Kann das ganze evtl. mit der CARP konfiguration zu tun haben?
Ich habe WAN1 und WAN2 dort angelegt mit unterscheidlicher vhid aber gleicher freq (base2, skew2)

Hat von euch jemand noch eine Idee?

Policy based oder route based IPsec?

Wenn Standort D über Standort A zu B und C kommen soll, müssen alle Beteiligten die Routen kennen, sonst schicken sie die Pakete zur Default Route raus und sind damit verloren.

D.h. alle Standorte kennen den nächsten Hop für alle benötigten Netzwerke.

Policy based würde weitere Phase2 Einträge bedeuten. Route based eben nur weitere statische Routen. Wobei zu beachten ist, dass auch die Firewall-Regeln entsprechend angepasst werden müssen.

Ok, ich verstehe - dann muss ich eine weitere phase2 mit der entsprechenden IP-Adresse (netz) erstellen und dann ein natting am Standort A durchführen oder? Wie konfiguriere ich das NAT am Standort A?

Hallo zusammen,

ich bin hier an einem Thema, wo ich aktuell nicht weiter komme - vielleicht hilft ja euer Schwarm-Wissen mir weiter  :)

Szenario:
Wir haben am "Standort A" eine OpnSense, welche über IPSec mit "Standort B" und Standort C" verbunden ist.
Unser Büro "Standort D" ist ebenfalls mit dem "Standort A" über IPsec (IKEv1 + NAT) verbunden.

Problem:
Ich komme von "Standort D" (Büro) nicht auf die Systeme von "Standort B oder C".

Muss ich auf "Standort D" noch eine Route definieren?

ach.. muss das tunnel netzwerk /30 sein?
wenn ja, warum?

es klappt einfach nicht. das gleiche szenario habe ich wo anders auch so im einsatz (wie du beschrieben hast) und es funktioniert ohne probleme. daher vermute ich das es mit dem ip adressbereich od. vlan zutun hat. der ip adressbereich ist 192.168.0.0/20 <-- welchen ich im openvpn server so auch eingetragen habe. per tracert sehe ich auch , das der erste sprung in richtung openvpn tunnel geht .. jedoch macht er dann nicht weiter.. auf der anderen seite zeit er mir auch im log das es ankommt und das er den datenverkehr durchlässt..

Top, danke für die Infos.

Ich glaube langsam das es am internen VLAN tagging liegt. Vielleicht hat das lokale Netzwerk kein "default" vlan-tag.. somit funktioniert der Verkehr nicht. (nur eine Vermutung) Muss mal gucken..

Ok, hast du dann beim Server/Client noch irgendwelche zusatzparameter über Advanced mitgegeben?

Das ist ne Handvoll, welche auch noch Voip Telefone benötigen usw.. die Entscheidung lang nicht in meiner Hand ;)

Hallo liebe Community,

ich benötige für unsere Homeoffice-User eine Firewallbox welche ich einfach ins Private Netzwerk hängen kann, die daran angeschlossenen Geräte sollten dann über den VPN-Tunnel mit dem Firmennetzwerk kommunizieren können. Es sollte keine Konfiguration des Privaten Routers erforderlich sein. (Kein DynDNS, keine Forwardings usw.)

Ich habe das ganze schon mit OpenVPN konfiguriert, jedoch war es mir nicht möglich eine Verbindung zu unseren Netzen herzustellen. Die Konfiguration über push "route..." und iroute hat das Probelm nicht gelöst.

Hat von euch schon jemand ein ähnliches Szenario konfiguriert?
Wenn ja, wie hat er es konfiguriert? (OpenVPN, IPSec..)

Beste Grüße & Vielen Dank
Adolar