Messages

Seems to have some part of answer here:
https://forum.opnsense.org/index.php?topic=8505.0

But that make my doupt about the possibility to use opnsense for caching answer and ask to other dns server when it does not have the answer.

EDIT2:
https://forum.opnsense.org/index.php?topic=6332.msg26951#msg26951
Seems to explain exactly what i want:

Let's assume Dnsmasq DNS forwarder or Unbound DNS resolver is enabled and no DNS server addresses are configured in the DHCP service or Static ARP for specific clients.
In this case, the DHCP clients get the IP address of the OPNsense interface configured as DNS server, and any DNS queries will be handeled by Dnsmasq or Unbound.

The difference between Dnsmasq and Unbound is that Dnsmasq will forward all DNS queries to the upstream DNS servers (the ones that are configured at System ==> Settings ==> General), and not cache the result, while Unbound will also query the upstream DNS servers just like DNSmasq, but will also store the result in local cache for faster serving subsequent similar queries.

Hello,
I am not sure i am on the good forum category, but did not find where to put that as it's related to DNS and not IPSEC.
I have got a question about how to do dns cache/Conf for a remote site with opnsense.
First of all here is the contexte.

On the remote site (let's name it SITE B) i have got:
FAI modem
OPnsense firewall
Lan

On the office (let's name it SITE A) i have got:
Firewall (not opnsense)
Lan
3 DNS Server for my domain
AD server and file share etc.


An ipsec point is in place between SITE A and B and works.
In system settings, general, i put all the server list (the 3 home dns server + the FAI modem)


What i want to do:
I wan t all the computer from site B, have an answer from the 3 DNS server from site A, and if the Site A is down (for exemple ipsec is down) use the default internet gatteway so if the tunnel is down i continue to have internet access.


What i am using for the moment is to put one of of the DNS server from site A + opnsense ip on the DHCP settings LAN on SITE B.
It works, but that's not good.
If the only server i put is rebooting, i lost the access from site B to all the network of site A (no dns answer)
From the opnsense firewall, if i try to ping a computer name that the DNS Server from site A now, it does not works (whereas it works for the computer on LAN)


What i imagine that should be:
On lan DHCP, i should only have opnsense ip as DNS, and that should be opnsense that cache answer and ask to 1 of the 3 server to have the answer if it does not have on cache.
And if none of the 3 server answer, ask to the "default" dns that is to say the FAI box.
Is that possible?
Is there a way to do that?

Thank's a lot.

Bonjour,

Déjà il faut mettre le routeur derrière le dmz.
Je suis dans ton cas mais en je ne me sers que de l'ipv4 donc je ne pourrais t'aider sur les spécifiées en découlant.

Je ne crois pas qu'orange/sosh affecte une ipv6 à chaque matériel derrière, donc je pense que ça doit être exactement le même principe, tu mets ton firewall en DMZ, et derrière tu fais les ouvertures de port ipv6/ipv4 et ça doit marcher pareil.

Je n'explique pas non plus.

Peut-être que le nat "auto" était capable de mettre la bonne règle?
Et de faire le lien tout seul?

Je ne sais pas, toujours est-il que c'est grâce à toi que j'ai pu enfin me débloquer après avoir galéré pendant longtemps!
A croire que personne ne faisait du multiwan sans équilibrage de charge...

(dans mon cas c'est du multi ip sur un serveur dédié + firewall opnsense)

Non non.

En fait dans mon cas j'avais comme ici plusieurs vlan, et plusieurs interfaces.
Je voulais comme ici affecter une ip à un vlan.

La seule chose que j'avais eu à faire sur la version 20.1 c'était juste la règle sur le firewall.
Mais une fois mis à jour à la 20.7 ça ne fonctionnait plus.

En rajoutant le nat ET le routage 0.0.0.0/0 ça fonctionne enfin à nouveau.
Par contre, j'avoue ne pas comprendre pourquoi il faut créer la route "0.0.0.0/0"? ça se traduit comment en vrais?

Là où certain routeurs propriétaires te mâchent le boulot, sur OPNSense il faut faire quelques réglages supplémentaires pour que tout roule.

Oui il faut créer une route par passerelle.
Route : 0.0.0.0/0 sur P_WAN1.
Etc...

Pour le NAT, il faut procéder ainsi.
Pare-feu->NAT->Sortant
Sélectionner "Génération manuelle de règles NAT sortantes" (c'est préférable dans ton cas) :
Puis créer une NAT par interface WAN avec son LAN attitré

• Interface : WAN1
• Source : LAN1 Net
• Destination : ANY
• Translation NAT : WAN1 Address

Ensuite, si tu as coché les options décrites avant et mis ta passerelle sur tes règles LAN, ca devrait fonctionner sans problème.

Si tu utilises le DHCP et DNS OPNSense, il faut aussi bien les configurer.

Par contre, c'est dommage de ne pas faire le failover/loadbalancing sur tous ces liens WAN. Si un tombe, ton LAN attitré n'aura plus aucune connexion internet alors que tu en as 3 autres qui fonctionnent.
Sans oublié que si par exemple le premier lien WAN est engorgé, les 3 autres peuvent désengorger le premier.

Cependant c'est ton choix, tu dois avoir tes raisons.

Bonjour.

Merci vraiment pour ces informations!!!
Je cherchais à faire fonctionner en vain sous la version 20.7
Sous la version 20.1 je n'avais eu besoin que de mettre la gateway sur la règle du firewall et c'était suffisant, mais avec cette méthode ça ne passait plus du tout sous la 20.7.
En suivant à la lettre tes informations tout fonctionne au poil!

Donc vraiment merci, je n'avais trouvé cette information nulle part!!!

Ok i have found how to make it works on the latatest version.
I don t know why what i have done works before and not now, but...

Si i should had a route
0.0.0.0/0 to all the gateway.
I should put a gateway on the default output rules (that i have already done)
And i should put a not on all the interface to to affect one network to this gateway.

I don t know why before it works only with the default gateway on the rule. But now i should make it all manually.

Hello.
That's a long time i do not come back, i was stuck on the update that works.

So i could confirm that all hardware acceleration is disabled.
The problem is that it does not redirect the traffic to the correct interface.

Here is the things.

I have got 2 interface:
INT1 with gatteway GAT1
INT2 with gatteway GAT2

I have got 2 vlan
VLAN1
VLAN2

I wanted to redirect trafic from vlan1 to INT1 via GAT1
I wanted to redirect trafic from vlan2 to INT2 via GAT2.
So the goal is just to manage multiwan and multi vlan and redirect vlan to the good wan.

Before the upgrade everything work.
I have got a rule on VLAN1 (interface) where i put GAT1 on gatteway.
It succed to know that GAT1 is on INT1.

After fhe upgrade, it always works for VLAN2 that is good and goes to GAT2 VIA INT2.
But VLAN1 does not work now! It try to go to GAT1 through INT2!
It's like it does not know that GAT1 is on INT1.

I do not know what has changed from before, but it does not work now!
How should i do to make a vlan to go through in interface (by gatteway)???

Thank's

Hello.

I think we have got the same problem.
All was ok in the previous branch 20.1.
Then we just upgrade to 20.7.
Only one vlan is working to go out (the latest).

We roll back to the previous version and all works again.
Then the 20.7.3 is out, so i test an other time ==> same problem.

I do not find any solution to make the 20.7 work with multiple wan (so multiple gatteway) and multiple VLAN. :/

Is there any solution?

Thank's

I know, but what i said is that it already used 70% of the memory but it does not show you in the interface.

On my case, if i take a look on the interface, opnsense says "16%" of memory used.
But on the host i see 70% of the memory used.
If i add more memory, it always use 70% (or something like that).

So has i said even if you do not see it on the panel because it report only "used memory", it already used something like 70% of the memory to buffer etc.
So like always in linux, all your memory is used by buffer in fact, and you could see it with free -m, but not sure if it's possible on the opnsense rom.

Bon, à confirmer sur le long terme, mais au final, la solution semble provenir de là:

En recherchant en fait ce n'est pas l'option upstream la solution, je le laisse quand même, mais ce qui règle le soucis c'est ça:
https://forum.opnsense.org/index.php?topic=15900.0

You can find the general checkbox "Disable reply-to" in system_advanced_firewall.php, which disables the default as Franco mentioned in the other post.

Hello.

if you use it on a virtual machine, you could see that it use 70% of the memory alocated.
I think that opnsense only report "memory use", and do not show you how much buffer it use.

I you know linux that it's to say that it only show from free -m "memory usage" and not buffer.

Bonsoir.

En résumé simple ce que je veux faire.
J'ai plusieurs lignes internet avec plusieurs ip.
On va noter l'interface par défaut WAN qui n'est qu'un ip affectée au firewall.

Je veux pouvoir dire:
- Port 22 de l'interface I1 part vers machine A
- Port 22 de l'interface I2 part vers machine B
- Port 22 de l'interface i3 part vers machine C.

A l'heure actuelle ça ne fonctionne pas. Je vois bien que je pars vers machine B ou A, mais un truc cloche dans le routage puisque j'ai du trafic sur WAN alors que je suis en train d'arriver par I1 et que je me vois bien arriver par I1.
Du coup je ne comprends pas. :/

[En creusant et en faisant une capture sur les interfaces je me rends compte que tout est bon pour le chemin "aller", mais qu'il y a des paquets qui partent vers la patte INTERNET.En gros, je coupe tout, je fais du ssh sur la patte INTERNET2, je vois bien mes paquets entrer sur la patte INTERNET2, je vois bien mes paquets partir vers mon VLANX, je vois bien ma machine me répondre depuis VLANX, mais ensuite ça ne part pas par la patte INTERNETZ.ET quand je regarde la patte INTERNET, je vois des paquets passer. J'ai bien une règle qui dit tout depuis vlanX part par passerelle X. Quelle est la procédure pour une telle utilisation?]

Bonjour,

J'ai un petit soucis sous opnsense sur un serveur proxmox.
Explication rapide du contexte:

Contexte:
Dedié sous Proxmox.
Vm opnsense virtualisée qui a sa propore ip failover affectée à une patte.
Plusieurs vm sur des vlan qui sont donc "derrière le firewall" sur un bridge interne proxmox. 

Proxmox a donc sa propre ip publique.
Le firewall a sa propre ip publique failover qui sert à la patte par défaut. 
J'ai une patte supplémentaire qui possède une autre ip failover publique. 
(donc c'est comme si on avait 2 arrivées au niveau du firewall côté internet)

Voici le problème.
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Puis que dans rules ==> INTERNET j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  * 
ça marche, le port SSh de l'ip de l'interface internet est bien routée vers ma vm.
Donc la configuration depuis la patte internet principale fonctionne.

* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Puis que dans rules ==> INTERNET2 j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  * 
ça ne marche pas. 
Aucune réponse depuis l'extérieur. 

* Si dans nat ==> port forward je rajoute à la place:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH) 
Mais que je mets "PASS" dans Filter rule association au lieu de rules, alors ça marche.

La question est donc pourquoi je n'arrive pas à le faire fonctionner en utilisant des règles??
La seule différence étant donc que la patte internet2 n'est pas la patte principale déclarée dans le firewall.
J'ai bien mis les passerelles en "upstream" mais ça ne change rien.

En creusant et en faisant une capture sur les interfaces je me rends compte que tout est bon pour le chemin "aller", mais qu'il y a des paquets qui partent vers la patte INTERNET.
En gros, je coupe tout, je fais du ssh sur la patte INTERNET2, je vois bien mes paquets entrer sur la patte INTERNET2, je vois bien mes paquets partir vers mon VLANX, je vois bien ma machine me répondre depuis VLANX, mais ensuite ça ne part pas par la patte INTERNETZ.
ET quand je regarde la patte INTERNET, je vois des paquets passer.
J'ai bien une règle qui dit tout depuis vlanX part par passerelle X.
Quelle est la procédure pour une telle utilisation?

En gros le but simple c'est j'ai X lignes internet qui arrivent avec X ip, et je veux répartir mes ips par vlan pour dispatcher tel port sur telle machine.

Merci d'avance.

Bonjour,

Question très intéressante. Je me demande aussi si c'est réalisable.
Il y a quelques infos par là:
https://docs.opnsense.org/manual/how-tos/shaper.html

J'ai l'impression qu'on peut définir des pipes mais ils ne sont pas variables et à chaque fois ça semble une limitation de bp maximale, pas une garantie d'un minimal.

La seule solution évoquée c'est celle là:
https://docs.opnsense.org/manual/how-tos/shaper_share_evenly.html
Qui normalement permet de partager la bp entre chacun. Donc ça devrait partager tes 10mbit/s en 5/5 si deux téléchargements de deux users, mais à confirmer que ça marche réellement.