Messages

Solved with Update to 20.1.9

Hello,

i have three WAN Interfaces with Public IPs. Therefore i created a WAN Group with one gateway as Failover.

According to the Opnsense Documentation you have to change the Gateway from "Default" to "Wan Group" (Deault LAN rule to Any) to route the Traffic over the WAN Interfaces.

I also added the DNS rule, because the DNS traffic will be routed outside with this configuration.
I recognised, that all traffic is now routed outside, this includes also the traffic directly to the firewall.

Now i added the following rule before the "Allow lan to any rule":

Action: PASS
Source: LAN net
Destination: LAN net
Gateway: Default

Now i am able to ping the firewall correctly. Is this configuration correct or do you have any other suggestions how to fix this?

Sorry for my bad english

Regards
johnab

No, i can't reboot, because the firewall is running in production mode. the next reboot is scheduled for next week.

I ll keep you updated

Hi,

today i updated my Firewall from 20.1.7 to 20.1.8_1. now the Webgui is not starting anymore.

I don't find any errors in the logs

I tried starting lighttpd manually:
Output:

(network.c.166) warning: please use server.use-ipv6 only for hostnames, not without server.bind /empty address; your config will break if the kernel default for IPV6_V6Only changes


EDIT:

I reassigned the LAN Interfaces IP Address and reverted to HTTP. Now the GUI is working, but when i try to switch back to HTTPS, the GUI fails to start again

UPDATE LOG:
***GOT REQUEST TO UPGRADE***
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Checking for upgrades (1 candidates): . done
Processing candidates (1 candidates): . done
The following 1 package(s) will be affected (of 0 checked):

Installed packages to be UPGRADED:
   opnsense: 20.1.7 -> 20.1.8_1

Number of packages to be upgraded: 1

4 MiB to be downloaded.
[1/1] Fetching opnsense-20.1.8_1.txz: .......... done
Checking integrity... done (0 conflicting)
[1/1] Upgrading opnsense from 20.1.7 to 20.1.8_1...
[1/1] Extracting opnsense-20.1.8_1: .......... done
Stopping configd...done
Resetting root shell
Updating /etc/shells
Unhooking from /etc/rc
Unhooking from /etc/rc.shutdown
Updating /etc/shells
Registering root shell
Hooking into /etc/rc
Hooking into /etc/rc.shutdown
Starting configd.
Keep version OPNsense\Monit\Monit (1.0.8)
Keep version OPNsense\Firewall\Alias (1.0.0)
Keep version OPNsense\OpenVPN\Export (0.0.1)
Keep version OPNsense\CaptivePortal\CaptivePortal (1.0.0)
Keep version OPNsense\Cron\Cron (1.0.1)
Keep version OPNsense\Backup\NextcloudSettings (1.0.0)
Keep version OPNsense\TrafficShaper\TrafficShaper (1.0.3)
Keep version OPNsense\IDS\IDS (1.0.3)
Keep version OPNsense\Proxy\Proxy (1.0.3)
Keep version OPNsense\Diagnostics\Netflow (1.0.1)
Keep version OPNsense\ClamAV\Url (0.0.1)
Keep version OPNsense\ClamAV\General (1.0.0)
Keep version OPNsense\Routes\Route (1.0.0)
Keep version OPNsense\Freeradius\General (1.0.0)
Keep version OPNsense\Freeradius\User (1.0.2)
Keep version OPNsense\Freeradius\Eap (1.0.0)
Keep version OPNsense\Freeradius\Ldap (1.0.0)
Keep version OPNsense\Freeradius\Dhcp (1.0.0)
Keep version OPNsense\Freeradius\Lease (1.0.0)
Keep version OPNsense\Freeradius\Avpair (1.0.0)
Keep version OPNsense\Freeradius\Client (1.0.0)
Keep version OPNsense\Syslog\Syslog (1.0.0)
Keep version OPNsense\IPsec\IPsec (0.0.0)
Keep version OPNsense\Interfaces\VxLan (1.0.1)
Keep version OPNsense\Interfaces\Loopback (1.0.0)
Keep version OPNsense\HAProxy\HAProxy (2.8.0)
Keep version OPNsense\AcmeClient\AcmeClient (1.6.1)
Writing firmware setting...done.
Writing trust files...done.
Configuring login behaviour...done.
Configuring system logging...done.
=====
Message from opnsense-20.1.8_1:

--
Chirp, chirp
Checking integrity... done (0 conflicting)
Nothing to do.
The following package files will be deleted:
   /var/cache/pkg/opnsense-20.1.8_1-c759801fa7.txz
   /var/cache/pkg/opnsense-20.1.8_1.txz
The cleanup will free 4 MiB
Deleting files: .. done
All done
Starting web GUI...failed.
Generating RRD graphs...done.
***DONE***

thanks
johnab

Hallo,

dieses Tutorial hat mir weitergeholfen:

https://schulnetzkonzept.de/opnsense

Dabei ist zu beachten:
Wenn du von innen als auch von außen deinen Server erreichen willst, dann benötigst du alles was mit ha_proxy_lan zu tun hat nicht! (Dazu gehört auch der Override Eintrag im Unbound DNS)

Hallo,

mein Netzwerk sieht wie folgt aus.

Hardware Firewall (OPNSense):

Netzwerke:
LAN: 10.0.0.0/16
DMZ: 192.168.0.0/16

Interfaces:

• WAN_SERVER; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
• WAN_FO_1; Public IP; Upstream Gateway gesetzt; Block Private und Bogon Nw
• WAN_FO_2;Public IP; Upstream Gateway gesetzt; Block Private and Bogon Nw
• LAN; 10.0.0.10; Upstream: Auto Detect;
• DMZ; 192.168.0.10; Upstream: Auto Detect

zu den WAN-Interfaces:
WAN_FO_1 und WAN_FO_2 sind in einem Tier zusammengefasst. Als Failover Leitung dient das Interface WAN_SERVER. Alle drei WAN Interfaces haben einen öffentliche IP. Für jedes WAN Interface gibt es ein eigenes Upstream Gateway. Alle drei WAN Interfaces sind zusammengefasst in einer Gruppe WAN_GRUPPE. TIER 1 dient somit als Hauptleitung zum Surfen, etc. WAN Server ist meine Failover Leitung falls beide WAN_FO ausfallen

zu dem LAN  Interface:
Es ist zusätzlich noch ein DHCP Server konfiguriert. Range: 10.0.0.1 - 10.0.255.254. Der DNS Server ist eine VM unter Proxmox (IP: 10.0.0.9).

Firewall-Regeln:
WAN_SERVER:
Protocol: IPv4 TCP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 443
Protocol: IPv4 UDP --- Source * --- Port * --- Destination WAN_SERVER_address --- Port 1194
Diese Regeln dienen für zwei OPenVPN Server Instanzen.

WAN_FO_1:
keine zusätzliche Regeln

WAN_FO_2:
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 443 --- Port Forward
Protocol: IPv4 TCP --- Source * --- Port * --- HA_Proxy_Server_Address --- Port 80 --- Port Forward
Diese Regelen dienen für die Portweiterletung and meinen Reverse Proxy Server. Dieser läuft auch direkt auf der Firewall, mittels HA Proxy Plugin.

Server (Proxmox VE 5.4):
Mein Server hängt hinter der Firewall.

NICS:

• Linux Bridge#1: 10.0.0.3/16; GW: 10.0.0.10; Direkt verbunden mit der LAN NIC von OPNsense Firewall
• Linux Bridge#2: 192.168.0.3/16; Direkt verbunden mit der DMZ NIC von Opnsense Firewall

Folgendes Problem:

Der Ping von meiner Firewall an den Proxmox Server funktioniert einwandfrei:
ping 10.0.0.3

Wenn ich jedoch von meinem Proxmox Server die Firewall pingen möchte, kommt kein Response.
Ich habe mittels traceroute nachgeforscht, dabei ist mir aufgefallen:
Hop 1: 10.0.0.10
Hop 2: Public IP von WAN_FO_1 oder WAN_FO_2
HOP x. * * *
Danach ist es aus.
Im Live Log von Opnsense wird das Paket durchgelassen, jedoch was mir komisch vorkommt ist, dass die Source IP die Public IP eines WAN Interfaces ist und nicht die lokale IP vom Proxmox Server. Die Windows Clients erreichen die Firewall auch nicht. Deshalb vermute ich, dass irgendetwas beim Routing der pakete nicht passt. Hier seitihr gefragt? (Hat es möglicherweise was mit NAT zu tun? Da die interne Source IP durch einen Public IP ersetzt wird, und somit nach außen geroutet wird...)

Zusatz: Internet Zugang, OpenVPN und Reverse Proxy funktionieren einwandfrei.

Weiß jemand was bei meiner Konfiguration nicht passt?
Danke!