Messages

I have the same problem. I can confirm that intra-VLAN traffic is not blocked even with version 25.7.11. Can you give me a hint on how to track down the real issue? I have disabled logging for the "let out anything from the firewall host itself" rule and enabled logging for all rules of a VLAN. However, I no longer receive any log entries in the live view when I do this.

Hi,

here the solution which works for me:

Firewall > Outbound Nat -> Switch to Hybrid Mode

Create a new rule:
Interface: WAN
Source: any
Destination Port: 443 (or 80)
Translation/Targe: WAN_adress

This rule translates your Adress so the nginx proxy answers .....

Edit: I think a better solution is your LAN adresses as Source .... but not sure what is best practice here

Hi,

same topic here.

I think I have a NAT Reflection problem. If nginx listen on a VIP and I do a NAT Port Forward to this VIP all works fine. If nginx listens direct on the WAN VIP, nginx is not reachable from inside the LAN. I think we have to create manual an Outbound NAT rule. At the moment I m not sure how to create the rule because I have multiple WAN VIP's in my setup.

Hallo mooh,

ja genau Interfaces -> Settings: Allow IPv6 ist nicht gesetzt und in Interfeces -> $Interface: IPv6 Configuration Type ist None bei jedem Interface. In Unbound ist die Option Enable DNS64 Support nicht gesetzt und die von dir erwähnte Option ,, Do not register IPv6 Link-Local addresses" gesetzt.

Entsprechend werden bei mir keine IPv6 Firewallregeln angezeigt (nur IPv4).

Bis jetzt habe ich leider keine guten Erfahrungen mit IPv6 gesammelt und habe noch genug zu lernen / zu Entdecken im ,,alten" IPv4. IPv6 hat bis jetzt meine Setups nur komplizierter gemacht und teilweise sogar zerschossen (Bin aber auch absoluter Laie was IPv6 angeht), weswegen ich mir angewöhnt habe IPv6 immer zu deaktivieren. Meine Angst ist nur das mein doch etwas komplexeres Setup durch IPv6 ad absurdum geführt wird und Sicherheitskonzepte wie z.B. VLAN's nicht ,,greifen".

Hallo zusammen,

ich habe mich bis jetzt erfolgreich um das Thema (IPV6) gedrückt und will auch um ehrlich zu sein mich weiterhin möglichst wenig mit IPV6 auseinandersetzen. Alle Netze die ich betreue laufen auf IPv4 (sowohl Intern als auch WAN seitig; eine Übersetzung nach IPv6 soll mir schön mein Provider machen) ...

Nun zu meiner Frage/ Beobachtung:
Auf meiner OPNSense ist IPV6 komplett an jedem Interface deaktiviert. Ich habe ein Gerät (IOT mit fast keinem Zugriff) bei welchem ich einen Hostnamen + IPv4 Adresse in Unbound unter Overrides eingetragen habe. Wenn ich die Adresse jedoch von meinem IPhone anpinge (gleiches Netz (via WLAN)) wird der namen in IPv6 aufgelöst und angepingt... Die IPv4 Namensauflösung funktioniert einwandfrei und andere Geräte können ohne Probleme über die IPv4 Adresse (und dem DNS Namen) mit dem IOT Gerät kommunizieren. Wie kann das sein? Tut sich das Gerät selber publizieren (wie mDNS?)? (Zur Info: In den Einstellungen unter WLAN sehe ich bei meinem Iphone nur die ,,richtige" IPv4 Adresse und den richtigen Nameserver ....)

Was ist das Default verhalten der OPNsense wenn IPv6 deaktiviert wurde? (IPv4 Firewall greift ja hier nicht. Wird alles geblockt in andere Netze? Gibt es überhaupt VLAN's und Subnetze bei IPv6?)

Wäre es sinnvoll IPv6 an den OPNSense Interfaces zu aktivieren und einfach alles zu blocken und somit IPv4 zu erzwingen? Meine Angst ist, das ein ,,Schatten-IPv6-Netzwerk" entsteht und Geräte kommunizieren welche nicht sollen, bzw. mein Sicherheitskonzept unterwandert wird ...

Ich hab meine Fehlkonfiguration gefunden .... Ich habe anscheinend was beim OUTBOUND-NAT verhauen ....

In den Firewall Logs hab ich folgende Fehlermeldung gefunden.

Code Select Expand

There were error(s) loading the rules: /tmp/rules.debug:188: syntax error - The line in question reads [188]: nat on igb0 inet from $NAT_105 to any tagged NAT auf Vodafone 105 -> XXX.XXX.XXX.105 port 1024:65535
Kaum war die entsprechende Regel deaktiviert hat alles funktioniert. Komisch ist/ war das es nur in diesem VLAN anscheinend Probleme gab obwohl das VLAN nichts mit der Regel zu tun hatte.

Hallo,

ich habe ein extra VLAN für meine IP-Cams. Die IP Cams sind für NTP auf die OPNSense eingestellt. Der versuch die Zeit abzurufen triggert jedoch die ,, Default deny / state violation rule". Ich glaube jedoch nicht das Hikvision keinen NTP abruf hinbekommt und der Fehler bei mir in einer Misskonfiguration liegt.

Was ich probiert habe:
- Explizite Freigabe von Port 123 in den VLAN-Rules
- Erstellung einer NAT Regel auf 127.0.0.1
- Neustarten der Kammeras

Sadly, no :(

Update:

Unfortunately the problem is still there. However, it now occurs much less frequently (approx. once a day) and no longer immediately after plugging in the 2nd firewall.

You need an Outbound NAT rule for your WAN Interface with your CARP VIP as target.

I think it's working now! It's up and running for 8h now.

I switched the STP protocol in the unifi switches from RSTP to STP. Read somewhere that STP is the OPNSense/FreeBSD default (Perhaps the problem is by Vodafone, RSTP + "Local" CARP worked without an issue). In my switch settings was STP deactivated for the WAN port profile .... this is still the case. In tne General Settings on unifi I switched RSTP to STP.

Here are some screenshots of my current setup for people who use OPNSense with unifi switches.

The sad: Now my Multi-WAN connection drops randomly. Internal routing works without an issue but WAN routing drops for a few minutes. But I think this is an other topic ...

Yes, both Firewalls are synchonized. I even restarted the firewalls afterwards.

Good to hear it's working for you. Sadly dosen't work for me :(

Here is my alias and firewall rule.

Ok, I will try it. I can't try it until the weekend because I won't be back before then. I will write you.

Yes. I have an RFC1918 Alias, which I use to route the public traffic to a Gateway-Group.