"
Since patch _7, it seems to be working perfectly again.
Thank you very much.
We will continue to check.
Thank you very much.
We will continue to check.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#1
25.7, 25.10 Series / Re: Manual outbound NAT rules no longer work since the update to 25.7.3
September 12, 2025, 05:53:13 AM #2
25.7, 25.10 Series / Re: Manual outbound NAT rules no longer work since the update to 25.7.3
September 11, 2025, 10:44:41 AM
We have no aliases used for the NAT
#3
25.7, 25.10 Series / Manual outbound NAT rules no longer work since the update to 25.7.3
September 10, 2025, 10:49:00 PM
Hi,
manual outbound NAT rules no longer work since the update to 25.7.3.
Update _4 has at least ensured that automatic outbound NAT rules work.
But this means we can only work via one public IP address, which causes a number of problems.
Is there anything we can do as a workaround?
Thank you very much for your support.
Cheers,
Ralf
manual outbound NAT rules no longer work since the update to 25.7.3.
Update _4 has at least ensured that automatic outbound NAT rules work.
But this means we can only work via one public IP address, which causes a number of problems.
Is there anything we can do as a workaround?
Thank you very much for your support.
Cheers,
Ralf
#4
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 11, 2025, 07:15:08 PM
Also,
ich habe jetzt alles, was Wireguard und das NAT und die Berechtigungen dazu angeht abgerissen und neu eingerichtet.
Eigentlich genau wie vorher, nur die Reihenfolge etwas anders.
Jetzt geht es.
?
Danke für die Unterstützung.
ich habe jetzt alles, was Wireguard und das NAT und die Berechtigungen dazu angeht abgerissen und neu eingerichtet.
Eigentlich genau wie vorher, nur die Reihenfolge etwas anders.
Jetzt geht es.
?
Danke für die Unterstützung.
#5
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 11, 2025, 07:11:03 PMQuote from: Monviech (Cedrik) on July 10, 2025, 04:17:28 PMMan mach dass wenn man z.b. einen Server hosted der eine ACL hat und nur bestimmte IP addressen zulässt. Dann routet man via VPN über die Firmen IP Addresse. Damit man nicht jede youtube verbindung über das VPN jagt, nimmt man halt nur einzelne IPs für den Split tunnel. An sich sollte das funktionieren.
Genau so ist das. Danke.
#6
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 10:34:34 AM
Das LAN-Interface des Upstream-Routers hat die IP-Adresse 192.168.123.1 im Netzwerk 192.168.123.0/24
#7
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 09:59:06 AM
Das ist auf dem WAN-Interface auf der OPNsense-Firewall. Dieses befindet sich im Netzwerk 192.168.123.0/24 hinter dem Kabelrouter, der wiederum in das Internet nattet.
Die 123.123.123.123 kann natürlich nicht auf die 192.168.123.29 antworten. Allerdings auf die öffentliche IP-Adresse des Kabel-Routers und der wiederum auf die 192.168.123.29.
Die 123.123.123.123 kann natürlich nicht auf die 192.168.123.29 antworten. Allerdings auf die öffentliche IP-Adresse des Kabel-Routers und der wiederum auf die 192.168.123.29.
#8
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 09:38:01 AM
Was genau meinst Du?
07:34:25.049713 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1979, length 40
0x0000: 4500 003c 14ac 0000 7f01 98cd c0a8 b21d E..<............
0x0010: d9a0 41e1 0800 45a0 0001 07bb 6162 6364 ..A...E.....abcd
0x0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst
0x0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi
07:34:25.049713 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1979, length 40
0x0000: 4500 003c 14ac 0000 7f01 98cd c0a8 b21d E..<............
0x0010: d9a0 41e1 0800 45a0 0001 07bb 6162 6364 ..A...E.....abcd
0x0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst
0x0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi
#9
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 07:52:11 AM
Ja, klar.
Der Kabel-Router macht ja auch nochmal NAT. Von daher ist das aus meiner Sicht alles korrekt. Irgendwo habe ich noch einen Knoten und das NAT scheint es nicht zu sein.
Also nochmal kurz zusammengefasst.
Die Anfrage geht über das VPN und kommt am WAN-Port der Firewall an, was aus meiner Sicht korrekt ist.
Zugriff von 10.2.120.0/24 auf 192.168.0.0/24 (VPN-LAN) funktioniert
Zugriff von 192.168.0.0/24 auf 123.123.123.123 (LAN-WAN) funktioniert
Zugriff von 10.2.120.0/24 auf 123.123.123.123 VPN-WAN) geht nicht
Der Kabelrouter hat keine Firewall aktiv, nur NAT und bekommt alle drei Anfragen von der 192.168.123.29
Der Kabel-Router macht ja auch nochmal NAT. Von daher ist das aus meiner Sicht alles korrekt. Irgendwo habe ich noch einen Knoten und das NAT scheint es nicht zu sein.
Also nochmal kurz zusammengefasst.
Die Anfrage geht über das VPN und kommt am WAN-Port der Firewall an, was aus meiner Sicht korrekt ist.
Zugriff von 10.2.120.0/24 auf 192.168.0.0/24 (VPN-LAN) funktioniert
Zugriff von 192.168.0.0/24 auf 123.123.123.123 (LAN-WAN) funktioniert
Zugriff von 10.2.120.0/24 auf 123.123.123.123 VPN-WAN) geht nicht
Der Kabelrouter hat keine Firewall aktiv, nur NAT und bekommt alle drei Anfragen von der 192.168.123.29
#10
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 11:22:33 PM
Ja, genau. Da ist ein Kabelrouter vor der Firewall
#11
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 11:14:29 PM
Hallo Patrick,
danke für Deine Antwort.
NAT Outbound Hybrid hatte ich schon eingestellt, nachdem es nicht funktionierte.
Und dann verschiedene Einstellungen getestet.
pfctl -s nat
no nat proto carp all
nat on igb1 inet from 10.2.120.0/24 to any -> (igb1:0) port 1024:65535
nat on igb1 inet from 10.2.120.0/24 to any port = isakmp -> (igb1:0) static-port
10.2.120.0/24 ist das VPN-Netzwerk
Beim tcpdump kommt folgende Meldung:
21:04:22.683457 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1734, length 40
Wobei 192.168.123.29 die IP-Adresse auf dem WAN-Device ist
danke für Deine Antwort.
NAT Outbound Hybrid hatte ich schon eingestellt, nachdem es nicht funktionierte.
Und dann verschiedene Einstellungen getestet.
pfctl -s nat
no nat proto carp all
nat on igb1 inet from 10.2.120.0/24 to any -> (igb1:0) port 1024:65535
nat on igb1 inet from 10.2.120.0/24 to any port = isakmp -> (igb1:0) static-port
10.2.120.0/24 ist das VPN-Netzwerk
Beim tcpdump kommt folgende Meldung:
21:04:22.683457 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1734, length 40
Wobei 192.168.123.29 die IP-Adresse auf dem WAN-Device ist
#12
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 09:44:45 PM
In den Einstellungen des Wireguard-Clients steht:
Erlaubte IPs: 192.168.0.0/24, 123.123.123.123/32
Dann sieht die Routingtabelle wie folgt aus:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
...
123.123.123.123 255.255.255.255 Auf Verbindung 172.30.2.1 5
...
192.168.0.0 255.255.255.0 Auf Verbindung 172.30.2.1 5
...
Die Geräte im Netzwerk 192.168.0.0/24 sind erreichbar, die IP-Adresse 123.123.123.123 nicht.
Erlaubte IPs: 192.168.0.0/24, 123.123.123.123/32
Dann sieht die Routingtabelle wie folgt aus:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
...
123.123.123.123 255.255.255.255 Auf Verbindung 172.30.2.1 5
...
192.168.0.0 255.255.255.0 Auf Verbindung 172.30.2.1 5
...
Die Geräte im Netzwerk 192.168.0.0/24 sind erreichbar, die IP-Adresse 123.123.123.123 nicht.
#13
German - Deutsch / Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 07:37:15 PM
Hallo,
wir testen gerade Wireguard und das funktioniert soweit sehr gut.
Leider habe ich aktuell ein Problem.
Der Zugriff über Wireguard auf interne IP-Adressen funktioniert einwandfrei. Wenn wir nun einzelne öffentliche IP-Adressen hinzufügen, werden diese zwar im Routing ordentlich angezeigt, sind aber nicht erreichbar.
Firewall und NAT sind soweit korrekt eingestellt. Beim Outbound-NAT habe ich auch schon alles mögliche ausprobiert.
Traceroute zeigt nur "Zeitüberschreitung der Anforderung"
Hat jemand eine Idee?
Danke für die Unterstützung.
wir testen gerade Wireguard und das funktioniert soweit sehr gut.
Leider habe ich aktuell ein Problem.
Der Zugriff über Wireguard auf interne IP-Adressen funktioniert einwandfrei. Wenn wir nun einzelne öffentliche IP-Adressen hinzufügen, werden diese zwar im Routing ordentlich angezeigt, sind aber nicht erreichbar.
Firewall und NAT sind soweit korrekt eingestellt. Beim Outbound-NAT habe ich auch schon alles mögliche ausprobiert.
Traceroute zeigt nur "Zeitüberschreitung der Anforderung"
Hat jemand eine Idee?
Danke für die Unterstützung.
#14
Intrusion Detection and Prevention / Re: Just ran out of space in queue - Suricata Crash
April 19, 2025, 01:37:38 PM
Hi,
since today we have the same issue.
We are just using ET telemetry rulesets.
Is there anything I can do?
Memory and diskspace is available.
since today we have the same issue.
We are just using ET telemetry rulesets.
Is there anything I can do?
Memory and diskspace is available.
#15
German - Deutsch / Re: Nach Update auf 25.1.3 startet der HAproxy nicht mehr
March 17, 2025, 12:32:03 AM
Das war ja das Problem. Ich hatte nur die IP-Adresse und die war nicht in der Konfiguration, weil der DNS-Eintrag fehlerhaft war.
Da ich auf diesen keinen Einfluss hatte, habe ich die dazu passenden FQDN aus der Konfig rausgeworfen.
Den Rest kläre ich die nächsten Tage.
Nochmals danke.
Da ich auf diesen keinen Einfluss hatte, habe ich die dazu passenden FQDN aus der Konfig rausgeworfen.
Den Rest kläre ich die nächsten Tage.
Nochmals danke.
