Messages

Το είχα υλοποιήσει πριν κάποιο καιρό.

Αν δεν σε απασχολούσε το limiting, τότε θα μπορούσες να δώσεις απευθείας το public IP σε αυτόν, αφού θα είχε το δικό του router.

Αν θέλεις να κάνεις traffic shaping, υποχρεωτικά θα πρέπει να δουλέψεις ως router, με λίγα λόγια θα χρειαστείς 2 interface, είτε physical είτε Virtual, και να περάσεις το interface από traffic shaper / limiter, από το WAN στο LAN. H παροχή του 2ου router θα είναι το δικό σου LAN. Για να έχει access στο public IP εξερχόμενος, δεν χρειάζεται κάτι. Για τα εισερχόμενα, μπορείς απλά να ανοίξεις όλα τα ports του WAN που θα του δώσεις και να τα προωθήσεις στο LAN που θα του παρέχεις ως WAN.

Επίσης υπάρχει και ένα άλλο setup που χρησιμοποιεί ΝΑΤ αλλά με υβριδικό outbound, αλλά μάλλον δεν μπορεί να κάνει traffic shaping.
https://docs.netgate.com/pfsense/en/latest/recipes/route-public-ip-addresses.html

Το θέμα που έχω είναι να φτιάξω κάποια config, από το παλαιό firewall σε OPNSense, αλλά δυστυχώς βρίσκω συνεχώς δυσλειτουργίες του συστήματος. Οφθαλμοφανή ρυθμίσεις που έπρεπε να δουλεύουν, δεν δουλεύουν, και γενικά δεν ανταποκρίνεται το σύστημα όπως θα αναμενόταν.

το documentation είναι ανακριβή και γενικά δεν φαίνεται ακόμα σε ώριμο επίπεδο.
Έχω αφιερώσει αρκετή ώρα σε προσπάθειες ώστε να πετύχω κάποια configurations, που με pfSense γίνονταν σχετικά εύκολα, σε αυτό είναι για να τραβάς τα μαλλιά σου.
Λέω μήπως είναι ψυχολογικό λόγω του ότι γνωρίζω καλύτερα το pf, και ξανά από την αρχή προσπάθεια, και πάλι τα ίδια. να κάνει παράξενα πράγματα , να εκτελώ σύμφωνα με documentation ή guides και να μισοδουλεύει. Ενώ με pf κανένα πρόβλημα.

Αντιμετωπίζει κάποιος κάτι παρόμοιο, ή μήπως κάτι κάνω λάθος ? ή μήπως το κάνουν επίτηδες έτσι για να έχουν εισόδημα αυτοί που προσφέρουν υπηρεσίες υποστήριξης ?

Γεια σου φίλε. Το έλυσες τελικά ?

Ή να μαντέψω πήγες σε pfSense ?

Γεια σας παιδιά, δουλεύει κανέις WireGuard VPN ?

I have notice that routing table is not created by the open vpn module.
If i add manually route to remote network using the OpenVPN gateway, then it finds the route.

Is this right?

Hello everyone,

i have setup a VPN Server and VPN Client on a site to site configuration using OpenVPN with shared key.

Tunnel is ok, gateways are up after i added the virtual interface. I have added allow rule on OpenVPN interface and the firewalls can ping each other from Lan's. 192.168.35.1 can ping 192.168.20.1 and vice versa.
VPN Settings are double checked and identical.

The problem is that dhcp clients on lan 35 and lan 20 cannot ping each other. 
I repeat firewalls can ping each other's gateway (IP .1), so is not a matter of VPN, i guess is a matter of rules?

What might be the problem? Anyone suggest something to troubleshoot or there is a guide available ?

I'm sorry to say that, but you have to read pfSense documentation to proceed into OPNSense.
Do you really expect to have community support ?

I have 3 posts with undocumented questions and no one answers.

I have managed to make high availability with OPN Sense. You need to assign a carb virtual ip on the same range of sync interfaces, for example 192.168.54.3
Then you have to go to dhcp services and say that the failover ip address for each box is the other one, and the default gateway of the lan is the CARB VIP. 

Good luck.

Γεια σας παιδιά.

παιδεύομαι και εγώ με αυτά σιγά σιγά να μπω στο νόημα.
Μου φαίνεται πως η κοινότητα είναι πολύ μικρή σε σχέση με pfSense, και ανάλογα και η υποστήριξη.

Το δικό μου θέμα είναι οτι προσπαθώ να κάνω outbound με virtual IP CARB WAN, και συνεχώς βγαίνει έξω με την κανονική. παρόλο που έχω σετάρει κανονικά outbound rules από την LAN να κάνει translate στο συγκεκριμένο VIP WAN. Το ίδιο setup σε pfSense έπαιξε τέλεια.

Προσπαθώ να κάνω high availability.

Τώρα όσο αφορά τα δικά σας θέματα πιο πριν, δυστυχώς οι γνώσεις μου είναι περιορισμένες.
Αλλά αν μπορώ να σας πω κάτι για Carb , Virtual IP, High Availability, με αυτά ασχολούμε συνεχώς.

There is another issue also might not yet been rectified.

For High Availability setup, i'm not able in any way outbound with the Virtual Carb WAN address.

i have set outbound rules for the lan , translating to specific wan address and i choose the virtual carb wan !

The master goes out with the real wan, the backup goes out with the real wan.

Hello Guys,

i have read all relative posts but i'm not yet figure out what to do. i have similar issue.
my old post is here but no replies yet:  https://forum.opnsense.org/index.php?topic=15963.msg73105#msg73105

So if you have any recommendations to try, i will be pleased.

Basically i'm trying to configure HA with dedicated interface for Sync as the documentation.
Sync and Lan are ok, and also carb vip's are ok.

My issue is on WAN. There is an FTP Server with port forwarding (obviously on a single IP), so the cluster has to serve the same WAN. my ISP modem can give me /29 (5 public ip's available + 1 gateway). 
33 GW - 34-38 IP's (FTP Server is on 35).

Any ideas?? Thank you.

Hello to everyone,

I have managed to setup CARB on Sync interface and also on 2 LAN networks with Virtual IP's and DHCP Service etc. (Including WAN i'm using 4 ethernet interfaces - 1 onboard, 2 on PCIex,1 on PCI)

My issue is on WAN side, i have an FTP Server on a single public IP, port forwarding to one of my LANs, having the 2nd LAN isolated and safe from outside. (Not VLAN, 2 different physical interfaces going to 2 different switches), and all FTP clients know this single public IP.

Is it possible to make High Availability setup using 2 OPNSense hardware on a single WAN IP ? I have /29 from my ISP, but this seems to not help. A test i already made is setting the WAN IP on both systems, but there is a conflict between them because both systems are trying to get the same public IP, causing the gateway to not responding on the master, even if the backup machine is on backup mode. Can't set the second public IP on WAN available from my ISP, because of the FTP Server already running with several clients sending to the known public IP as of today.

If there is no high availability solution for a single WAN IP, then there is no need for me to setup high availability, and the best thing to do is to have second hardware available with imported settings from the main unit. And if something happen i will do the change over manually.

What are your recommendations ? Is there anything else i can do ? Is there any way to have high availability from single WAN IP ?

Thank you.