Messages

Hi all,

I'm running OPNsense since a while for my private home network and been quit happy with it. Now I thought about redundancy - but without the need of a full blown OPNSense HA Cluster.
For DNS I already have a Docker Swarm Cluster Setup up and running since a while (secondary). For DHCP I was using a pacemaker/corosync Cluster (different cluster technologies for self study purpose - so don't wonder). One thing about DHCP which bothered me was, that I had to sync the lists of fixed IP's manually and managed only the failover via OMAPI - As I do understand that OMAPI doesn't sync static entries, just leases and responsibilities.

So my question is: What would a setup look like, where only DHCP is used in a HA cluster for OPNsense?
Would it be enough to get a second machine with OPNSense and just setup / tick the "DHCPD" under High Availability? So without all the virtual IP etc... stuff, etc..?

Thanks for your Ideas, Help and Feedback,
Rob

PS: I know it might not sound very reasonable to do it that way... But it's what fits my personal setup best.

Also interested in this!
So please share, if there is one.

ich hab jetzt mal unter "Firewall: Settings: Advanced"

• Reflection for port forwards
• Reflection for 1:1
• Automatic outbound NAT for Reflection

aktiviert, und jetzt läuft's.

Danke für Eure Hilfe!

Danke für den Tipp. Mal schauen ob ich es damit hinbekomme.

Wie ist das eigentlich bei OPNSense mit dem Alias: Wenn man einen für Ports erstellt, darf man dann sowas hier angeben "9987,30033,10011" ?
Oder sollte man hier besser alles einzeln listen?

Zerlegt er die intern dann in einzelne Regeln oder versucht er die Auflistung anzuwenden?
Ich frag deswegen so blöd, weil in der Hilfe beim Forwarding zum "Redirect target port" steht:

In case of a port range, specify the beginning port of the range (the end port will be calculated automatically).

Hallo liebe OPNSense-Gemeinde,

ich habe soeben meinen (ersten) OPNSense-Gateway erfolgreich in Betrieb genommen und habe die spannende Aufgabe all das was ich vorher manuell unter Gentoo Linux mit meinem Halbwissen über Netzwerk über Jahre hinweg konfiguriert habe in OPNSense abzubilden.

Bis jetzt läuft alles sehr gut: Forwardings funktionieren, Traffic-Shaping läuft (wenn auch ich Prios vermisse), BIND statt Unbind als DNS Server ist auch aktiv...

Bei einer Aufgabe bitte ich Euch um Hilfe, weil ich es nicht hinbekomme:
ich möchte, dass bestimmte Anfragen vom LAN aus an meine WAN-Adresse (abhängig vom Port) auf eine interne bestimmte IP Adresse/Port transparent umgeleitet werden. Split DNS ist leider keine Option für mich.

In Linux hatte ich das wie folgt gelöst (lan0 = LAN-Interface, 80.108.xx.yy = WAN-Adresse, 10.0.0.0/16 = internes LAN, 10.0.0.7 = interner Ziel-Host ):
Bsp.:

Code Select Expand


iptables -t nat I PREROUTING -i lan0 -d 80.108.xx.yy -p tcp --match multiport --dport 9987,30033,10011 -j DNAT --to-destination 10.0.0.7
iptables -t nat I POSTROUTING -o lan0 -s 10.0.0.0/16 -d 10.0.0.7 -p tcp --match multiport --dport 9987,30033,10011 -j SNAT --to-source 80.108.xx.yy


Wie realisiert man sowas in OPNSense?
(BTW: Ich komme aus der iptables/Linux Welt und habe mit BSD pf keine Erfahrung)

Der Hintergrund dieses umständlichen Manövers liegt in der Art der Server begraben die dahinter auf 10.0.0.7 lauschen. (Bsp. = Teamspeak, aber eigentlich gehts um andere Server)

lg,

Rob