Messages

>> Ich möchte bestimmen, welcher Host welche ausgehende Verbindung aufbauen darf.

>Und genau das ist die Frage. Warum? Macht das Sinn mit dieser Art und Weise?

Klar kann das Sinn machen - Ich will ein Geräte im LAN haben aber es soll keine Verbindung ins Internet aufbauen (fehlerhafte Update, blöde Smart TV Funktionen, "Ich will es einfach nicht" )
Gehört auch mit IPv6 für mich zu den Basics einer Firewall.

Ich teste mal was gerade so geht - wird aber bissl dauern

I could not get it to work and added multiple CARPs.
But at some point or somehow it work for others.

In my setup the alias was synced to the slave but the CARP was in dual master state after that.
Doc seems a bit outdated on that point stating you have to add the AlIAS on the slave by hand.

Could you please report youre findings?

Some other posts:
https://forum.opnsense.org/index.php?topic=6536.msg28120#msg28120

https://forum.opnsense.org/index.php?topic=23723.msg112958#msg112958

Might SNAT work? - For any source UDPs pakets on Port 51821 ?

https://forum.opnsense.org/index.php?topic=20201.msg93517#msg93517

Looks like its not working yet.

Hallo zusammen,
sehe ich es richtig, dass es nun mit der Version 21.7 funktionieren sollte?
Hat es schon einer ausprobiert? :)

[IP Alias and choose the correct VHID]

Hi,
regarding to

Adding multiple CARP IPs
If your provider offers you a subnet of public IP addresses and you want to expose them for NAT or different services running on your Firewall, you will also have to add them to your HA setup. Since adding a VHID for every IP would make the CARP traffic very noisy, you can also add a new IP Alias and choose the correct VHID where the first CARP IP is configured.

Note

IP Alias is not synchronized to slave, be sure to also add it to your second machine.

from https://wiki.opnsense.org/manual/how-tos/carp.html

I tried that, found that "IP Alias" will now also be synced to the slave firewall - so it looks like the note in the docs isn't up to date.

But on my setup it will mess the CARP IP with the shared VHID.

1. CARP VHID 50 works fine (State is Master/ Backup)
2. adding an IP Alias with  new IP in the same subnet of the carp using the same network mask
3. Syncing (IP Alias is showing on slave)
4. CARP VHID 50 will end up as Master/ Master

other CARPs with different VHID will continue to work fine.

Is there anything I should test /double check?
Or fill in a bug report ?

Regards

Sorry for the late answer.

As my ISP was unwilling to put a route on his gateway - I tried to work araound it.

In the end I got rid of old service.

Hi I'm currently struggeling to get my head around the following Problem.

I have an old service wich is very NAT unfriendly, so I wanted to split my /27 into two /28

One will have a Carp IP and Alias IPs to port forward all I need to local ips.

The second WAN subnet will be on an OPT interface with Proxy_arp settings tied to WAN Carp IP to make the router talk to my "routed" WAN subnet without any additional configuration and routes on ISP side.

Is this correct? And practical? Or is there an easier way may be the "reply-to" setting ?

Regards & thanks for your time  :)

> mit BGP  ;D ! 

Für ein HA Multi WAN Setup ? Mit welchem Provider denn, wenn ich fragen darf?


Habe zu Hause eine pfSense mit der klappt es mit dem dynamischen Prefix. Wobei Firewall Regeln hier auch nur über den Umweg der DNS Auflösung funktionieren.
Will man also einen Dienst auf einer IPv6 Adresse mit dynamischen Prefix betreiben, muss der DNS Name für die pfSense auflösbar sein. Dann kann man über einen Alias eine Firewall Regel erstellen.

Bei opnSense ginge dies auch wenn die DNS Auflösung der statischen DHCPv6 mappings funktionieren würde.

Eine echte Lösung ist mit Issues 2544 ja geplant. Darauf werde ich warten und dann versuche ich es erneut.
https://github.com/opnsense/core/issues/2544

Denke hier findest du alles nötige - praktisch wäre es wenn dein Domain Anbieter eine API Anbindung hat welche OPNsense nutzen kann.

https://www.frankysweb.de/exchange-2016-opnsense-haproxy-und-lets-encrypt/

Habe meinen IPv6 Test erst mal abgebrochen.

Mein ISP liefert mir ein dynamisches Prefix und mein LAN ist ein "tracking" Interface.

DHCPv6 hatte ich konfiguriert und auch die Router Advertisement aktviert und auf "Managed" gesetzt.

Danach hat sich meine Fritzbox (VOIP Endpunkt) auch die passende IPv6 Adresse gezogen.
Auch ein Windows 10 PC hat sich daran gehalten.

Zumindest die Fritzbox hat mit "assisted" Router Advertisement übrigens lieber selbst ihre IPv6 Adresse generiert.

Letztlich ist es bei mir aber noch einen Schritt danach gescheitert, denn obwohl die FritzBox die passende IPv6 Adresse hat, wurde ihr über den DHCPv6 vergebener DNS Name nicht richtig aufgelöst.

fritzbox.test löste sich zu ::1004 auf  - also ohne prefix.
So sah ich keine Chance mehr VOIP Telefonie zum laufen zu bekommen - konnte ja keine Firewall Regel mit destination fritzbox.test erstellen und die IPv6 Adresse ändert sich mit dem Prefix vom ISP.

Kann auf Wunsch Screenshots der Konfig posten? Vielleicht findet doch einer einen Weg :)

[DHCPv6 configured on a tracking interface]

Hello there,
I have DHCPv6 configured on a tracking interface (changing prefix from ISP).
Have a static mapping with only a suffix ::1000 (like stated in the hint "When using a dynamic WAN address, only enter the suffix part (i.e. ::1:2:3:4).")

The device is accepting this setting and configuring its IP as it should and reachable.

But if I go to leases it shows as "offline" with only the suffix part as address.

Resulting in DNS resolution of the hostname used in the static mapping to be also just the suffix ::1000.

The device is a Fritzbox and doesn't have much options to tweak or debug.

Router Advertisements mode is set to "managed".

Any ideas how to solve or debug this?

[[ x ]]

 :D

Found it:

Interfaces > LAN > Track IPv6 Interface >

Manual configuration
[ x ] Allow manual adjustment of DHCPv6 and Router Advertisements

 > A stopped DHCPv6 service suggests your LAN tracker doesn't work and so in turn maybe your WAN IPv6 doesn't
> work.

Ehm well, I tried to pre configure it before taking it online. Maybe because of that my DHCPv6 Server Settings are hidden if I don't set a static IPv6.

Will try it - thanks!

[Static-port: checked]

Hi,
it sound like your phones don't get any connection from Internet side.

If you have a STUN Server configured you should be fine if do the following:
(STUN needs to be allowed from LAN to WAN (Internet) 3478 TCP/UDP)

If you can configure every handset with its own set of ports (like 5061 and 10000-10025 for one handset)
Create an Alias with with the handsets IPs (they have to be static or reserved IPs from DHCP)
Enable Hypbrid Outbound NAT
Add a Rule (WAN interface, source is above alias,  Static-port: checked)

This should do the trick

You could also make port forwards but only if you have youre on set of ports for every handset configured.
(Filter rule association: pass; NAT Reflcetion Enabled)