Messages

Der Traffic kommt nicht von deiner OPNSense sondern von irgendeinem Client.
Da deine Sophos dein Gateway auf dem WAN Interface sein wird, wird auch von der OPNSense, wenn nichts anderes konfiguriert, ge SNATted und dann sieht das auf deiner Sophos halt so aus als wäre die OPNSense der Übeltäter.

Wie man es dreht und wendet, landen Outbound Pakete immer in der letzten SA.
Lediglich Inbound Traffic kann über die richtige SA abgefangen werden. Wenn die Gegenseite zulässt, dass auch Pakete über die falsche SPI eingehen, dann funktioniert der Traffic auch outbound, man sieht aber im IPSEC Status unter den SAs, dass der Traffic nur in der letzten unter "Out" gezählt wird.
Ich habe es eben mit der WAN IP Alias Adresse im SNAT getestet. Leider funktioniert es zwischen einer OPNSense (outbound) und einer PFSense / VyOS (inbound) nicht.

How many aliases and firewall rules do you have? Goldorak92

Hi,

Warum löst man es nicht über UPnP?

- Eine Opnsense ist keine Fritzbox.

Ich gehe mal davon aus, dass du eine als NAT Gateway ins BGP hast sonst hättest du nicht explizit danach gefragt.
Deiner PS4 passt es schlichtweg nicht, dass sie nicht mit Ports jonglieren kann wie sie möchte.

Deine NAT Rule löst dein Problem nicht, da nach dem NAT ja noch eine Firewall kommt die man füttern muss. Bei vielen Spielen hast du eine P2P Verbindung, die abreißen kann wenn eingehende Ports dann dicht sind. Also in diesem Szenario wärst du dann der Session Host (DNAT nötig).

Problem wurde gelöst mit dem setzen des Häkchens "disable MOBIKE".

Guten Morgen,

Ich habe mal eine etwas komplexere Frage:

Ich habe zwei Hardware OPNSense welche in unseren RZs via CARP Link alle Interfaces austauschen.

Jetzt geht es um folgendes. Ich habe mehrere Kunden Firewalls (ca. 30 OPNSense) welche sich untereinander nicht unterhalten dürfen, dennoch auf die Interfaces der beiden Hardware Router zugreifen müssen, da sich hier WSUS und Monitoring Tools befinden.

Jetzt wurde von mir eines der Interfaces so konfiguriert, dass es über eine VHID Gruppe ein CARP Interface wird. (/29 Netz mit 3 vergebenen IPs).

VLAN 300
Beispiel: Router1 = 192.168.1.4/29; Router2 = 192.168.1.5/29; CARP IP = 192.168.1.6/29 (VHID1)

So das CARP steht und funktioniert auch soweit.

Geplant ist jetzt folgendes: Da ich mir VLANs sparen möchte, will ich jetzt für Jede virtuelle Firewall ein /29 Netz reservieren und dies als IP Alias auf dem CARP Interface (VHID1) anlegen.

Beispiel:
Router CARP VIP (IP Alias auf CARP 192.168.1.6/29) = 192.168.1.14/29 <-> 1. virtuelle Maschine 192.168.1.13/29 (z. B.)

Router CARP VIP (IP Alias auf CARP 192.168.1.6/29) = 192.168.1.22/29 <-> 2. virtuelle Maschine 192.168.1.21/29 (z. B.)

Die IP Aliases wurden ebenfalls mit VHID Gruppe 1 versehen, da alle Aliases geschwenkt werden sollen, sobald da CARP Seitig keine Antwort mehr kommt.

Der letzte Schritt ist jetzt ein Aufbau eines IPSEC Tunnels auf diesen /29 Netzen jeweils zwischen der IP Alias Adresse und der entsprechenden virtuellen Maschine in dem Segment.

Beispiel an 1. virtuelle Maschine:

Right Side = 192.168.1.14; Left Side = 192.168.1.13

Der Sinn dahinter ist denke ich klar. Verschlüsselter Traffic der von Haus aus ohne NAT etc. erstmal keinen Traffic aus Netzen sieht, die er nicht sehen soll.

Jetzt habe ich alles erfolgreich getestet etc. Leider habe ich aber das Problem, dass wenn der Master offline geht, meine IPSEC Tunnel nicht übergeben werden. (Ping funktioniert aber in jedem /29 Netz weiterhin).
Liegt das daran, dass die Interfaces als IP Alias angelegt sind?

Muss ich stattdessen in jedem /29 Netz wieder zwei IP Aliases auf den Hardware Routern anlegen und eine CARP Adresse mit andere VHID Gruppe generieren? Ich frage lieber bevor ich wieder Arbeit reinstecke.  :)

Hoffe ich habe das alles einigermaßen Verständlich formuliert.
Vielen Dank vorab