Messages

Meine Probleme haben sich gerade in Luft aufgelöst, die verwendung von Aliasen ist eine tolle Sache. Nun Kann LAN nur noch auf die GUI und ins Internet, STO ist nur für sich und HA auch ...

Der Guid hier hat mir sehr geholfen:

https://calvin.me/block-traffic-vlan-pfsense

Hallo,

ich bin mit der Einrichting meiner Firewalls im HA betrieb soweit durch allerdings würde ich noch gerne wissen wie ich meine Netze von einander separiere. Ich hab 4 Netze, STO, LAN, HA. WAN
Das HA Netz dient nur zum Sync der OPNSense Systeme (plural).

In den Rules hab ich bis jetzt nur mit source und destination zwischen den Networks rumgespielt allerdings stehe ich immer vor dem Problem das LAN nicht mehr mit WAN kommunizieren kann

. Eigentlich will ich nur folgendes:

- LAN kann ins Internet und local innterhalb des Netzes kommunizieren
- WAN dient nur LAN als Schnistelle zum Internet
- HA soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks
- STO soll völlig autark sein ohne Internet zugang oder kommunikation zu anderen networks

Grüße

Das Problem hat sich schon gelöst, war im Grunde nur eine Firewall policy

Ahoi,

Ich hab mir bei einem Hoster ein kleines Setup gegönnt und betreibe auf 2 KVM kisten jeweils eine OPNsense Instanz.
Auf den 2 Systemen läuft eine Failover IP als CARP VirtualIP für das WAN aber aus irgendeinem Grund bekommen meine clients kein Internet, Ich kann zwar DNS abfragen auflösen und das HA Konstrukt funktioniert auch aber ich bekomme keinen Internet traffic von außen an meine Clients im LAN.
Alle anderen Dinge funktionieren wie erwartet, ich verwende ein simples Hybrid NAT für outbound. Alles weitere Siehe screenshots.

Hat jemand eine Idee was ich noch probieren kann?

die clients können die WAN IP im LAN netz also 192.168.5.1 pingen, gleiches gilt für die Öffentliche CARP IP dahinter
- Firewall 1 läuft auf 192.168.5.2
- Firewall 2 läuft auf 192.168.5.3


Grüße,

Robin

Hallo,

dann hab ich das vllt. falsch formuliert. Ich will im nur das die Last auf meinem CARP Device (WAN virtual IP) welches auf 2 OPNsense Kisten läuft für meine Clients im localNET transparent verteilt wird. Vllt. ist multiWAN hier der falsche Begriff.
Stell dir folgendes Konstrukt vor: 2 Server die jeweils 10 Gbit inten und 1 Gbit extern (WWW) angebunden sind. Die Clients sind im 10 Gbit Netzwerk und beide OPNsense Instanzen ebenfalls, die spielen router/gateway/DNS/DHCP etc. Jetzt ist für mich die Frage wie ich die Last auf beiden Routern verteilen kann.
Als Standard Gateway bekommen meine Clients im DHCP namespace ja ein Standard Gateway zugewiesen welches auch ein HA CARP Device ist (LAN CARP device). Nun muss es doch möglich sein irgendwo die Last auf beide Kisten hinter diesem LAN CARP Device zu verteilen, die Bandbreite wäre ja im Backend für solch ein "offloading" vorhanden.

Hallo zusammen,

ich hab hier ein HA setup aus 2 nodes und würde gerne die Bandbreite beider Systeme verwenden. Allerdings bekommen meine Clients max 1 Gbit bzw. dieser wird auf alle aufgeteilt. Gibt es eine Möglichkeit wie ich die Bandbreite des MASTER als auch die BACKUP node zusammenschalten kann? Stichwort "multi WAN".
Hab schon gesehen das man Gateway Gruppen erstellen kann allerdings ist mir noch nicht klar wie ich das auf einem CARP Device einrichten soll.

Mein Setup sieht aktuell so aus: https://www.thomas-krenn.com/en/wiki/OPNsense_HA_Cluster_configuration

Actually that's already the case but the port is limited to 1 Gbit on each Hypervisor to the public web which could be more ;)

Hello,

i have the following scenario: 3 Hypervisors each connected with 1 Gbit to the public world and 10 Gbit interconnection for SDN and virtual machine stuff. Now i want to load balance the in/out traffic across all 3 hypervisors so that VM's can benefit from 3x 1Gbit instead of only 1 Gbit.
Now im asking myself how to realise a setup like that? In practice i need 3 OpenSense instance, one on each Hypervisor.
Do i first have to setup 3 instances of OPNsense as HA setup? Is there a good guide for this?

I'm thankful for any information and best practice advice

Okay i already got, that @ all for your help

But what i still dont understand is that now all the traffic is blocked also within the same subnet. i want that each client from each subnet can talk to eachother and reach the internet trough the gateway/router.

Okay, got it working, my mistake was the rule sequence. i moved up the rule and the magic starts to happen

Yes i did.

Hello,

thx for your quick answere but for now this has changed nothing so far for me.

Hello,

i have 3 subnets lets call them:

1. 192.168.10.0/24
2. 192.168.20.0/24
3. 192.168.30.0/24

but currently all clients of all 3 subnets can talk with each other which should not be possibe.
is there a config setting for this or can i only accomplish that by a firewall rule?
clients should only be able to talk on there very own subnet.

Kind regards and thanks for reading