Messages

Hallo,

ich verwende für den Business Einsatz OpnSense mit folgender Netz Segmentierung:
LAN (Management/Admin Netz für IT VLAN 1)
CLI (Clients Mitarbeiter VLAN 100)
GUEST (Gäste Netz VLAN 9)

und einem TP-Link Access Point (AP) der 4x WLAN Netze (nach VLANs) erstellen kann mit WPA2 Enterprise Authentifizierung.

Ich würde nun gerne möglichst sichere und getrennte WLAN Netze aufbauen für CLI und LAN. Da das Thema Radius mir neu ist, war mein erster Ansatz Freeradius auf der OpnSense zu installieren und EAP-TLS mit eigener CA auszuprobieren, bis ich auf das Problem gestoßen bin, dass ich so anscheinend nicht die Authentifizierung zwischen LAN (nur IT) und CLI Usern trennen kann.
Geht das irgendwie anders nach Gruppen mit LDAP und EAP-TTLS?
Ich habe hier in Freeradius nur keine Möglichkeit gefunden unterschiedliche LDAP Filter für Clients (den AP) zu setzen. Im AP kann ich für jedes WLAN Netz nur einen eigenen Radius Server angeben aber auch nicht filtern.

Grundsätzlich die Frage wie würdet ihr den Zugriff auf das Admin Netz (LAN) absichern aus dem WLAN?

Ich bin noch am zweifeln, ob das generell eine gute Idee ist oder ob Admin Notebooks zur Administration besser in ein "nicht sicherheitsrelevantes Netz" sich einloggen und daraus eine VPN Verbindung zum Admin Netz aufbauen. Wie macht ihr das und was würdet ihr empfehlen?
Gibt ja auch noch andere Möglichkeiten mit Captive Portal etc.

Ich habe einen Screenshot mit den Firewall Advanced Einstellungen an den Hauptbeitrag angehangen, sowie einen Auszug aus der General Log bei einem Fall wo ein vorgeschaltetes Gateway (Fritzbox) neugestartet wurde.

- Sticky Connections sind ( )
- Disable State Killing on Gateway Failure ( )
- Dynamic state reset ( )

"Dynamic state reset" hatte ich lange zeit an, da ich hoffte, dass sich meine VoIP Clients bei einem Gateway Failover automatisch mit dem Cloud Server neu verbinden, das klappt aber leider nicht. Die verlieren dennoch die Registrierung nicht. Deaktivieren dieser Einstellung hat für mein Hauptproblem auch nicht geholfen.

"Disable State Killing on Gateway Failure"
"The monitoring process will flush states for a gateway that goes down if this box is not checked. Check this box to disable this behavior."

sollte sich ja nur auf das Gateway beziehen was down geht?

Ansonsten unter General ist "Allow default gateway switching" (x) aktiviert, wenn das noch relevant sein sollte.

Hallo zusammen,

ich habe das Problem wenn immer ein Gateway in meiner Gateway Gruppe (Loadbalacing + Failover) down geht, werden anscheinend alle Verbindungen über alle Netzwerke hinweg resettet.

Also auch Verbindungen zwischen intern getrennten Netzsegmente zu Datenbankservern etc., was mir etwas Probleme macht, sowie auch alle Verbindungen von außen über die noch funktionalen Gateways z. B RDP-Verbindungen etc.

Ist das normal bzw. kann man das effektiv verhindern ohne Nachteile zu haben? Hat dazu jemand eine Idee?
Zu welchen Einstellungen / Logs braucht ihr Informationen. Das Problem besteht schon seit Anfang an wo ich die Firewall erstmalig Konfiguriert habe (einige Monate her)

Setup:

- OPNsense 21.1.2-amd64
- mehrere physische 1Gbit WAN IFaces +
- 10Gbit Iface für verschiedene VLAN Netze

Hello,

since the update I can no longer access the web interface cause of SSL_ERROR_INTERNAL_ERROR_ALERT (Firefox), Chrome says ERR_SSL_PROTOCOL_ERROR.
The Webinterface uses a lets encrypt cert.
I have still access through SSH.

Is there a quick solution for this problem, maybe disable https, but without reset all my network interfaces? or renew cert...?

Thanks

Wie kann ich mir das vorstellen, agiert dann der Modem als Router und gibt der Opnsense eine private IP (NAT)?
Kenne mich auf dem Gebiet Modem, PPPOE nicht so gut aus. Wie nennt sich der Mode?

Aktuell verwende ich meine Fritzboxen als Modem (also als Bridge). Dazu verwende ich den Trick, dass ich Sonstige Anbieter auswähle mit keinen Zugangsdaten und den PPPOE Passthrough erlaube.

Was würdet ihr allgemein empfehlen in dieser Situation, doch ein Double NAT machen und die Fritzbox mit Exposed Host verwenden oder ein Modem kaufen, was evtl. andere Möglichkeiten bietet? (kenne mich wie gesagt mit der Thematik nicht so gut aus)

Hallo zusammen,

ich habe 3x Leitungen von einem ISP. Da ich gerne ein Double NAT vermeiden möchte, sind alle drei per Modem angeschlossen mittels PPPOE Einwahl (momentan getrennt an drei Ports). Das Problem ist hierbei, dass der Provider für alle Leitungen die gleiche Gateway IP zuweist.

Ich nehme an, dass mein Load Balancing / Failover im LAN vermutlich wohl so nicht klappen dürfte, richtig?
Daher die Frage, wie sollte man so eine Situation am Besten handhaben?

___

Eine weitere Frage wäre noch: Ich möchte die drei Modems mittels VLANs an einem Port an die Firewall anschließen. Geht das überhaupt grundsätzlich, ich hatte damit Probleme bei folgendem Aufbau:
Es verbindet sich so nur das pppoe0 an igb0. Hat jemand eine Idee warum die anderen sich nicht verbinden können? Wenn ich es an 3 physische Ports anschließe geht es.

Firewall Schnittstellen:
igb0: angeschlossen an SW Port 1
igb0 zugewiesen an ppoe0
igb0_vlan2 zugewiesen an pppoe1
igb0_vlan3 zugewiesen an pppoe2

Modem 1: [SW Port 6]
Modem 2: [SW Port 7]
Modem 3: [SW Port 8]

Switch Konfiguration
Port1: [Tagged] VLANs 2,3 und [Untagged] VLAN 1
Port6: [Untagged] VLAN 1
Port7: [Untagged] VLAN 2 und PVID 2
Port8: [Untagged] VLAN 3 und PVID 3

Viele Grüße

Vielen Dank für die Antworten. Ich versuche erst mal meine Gateways in mehrere WANs als VLANs zu trennen.
Ich stehe aber gerade etwas auf dem Schlauch, darf ich die Fritzboxen alle im gleichen IP Netz lassen?

Interfaces:
WAN1: 192.168.0.10/24   GW: 192.168.0.103
vlan2 WAN2: 192.168.0.11/24   GW: 192.168.0.104
vlan3 WAN2: 192.168.0.12/24   GW: 192.168.0.106

Wegen dem Multi WAN VPN teste ich mal den Vorschlag aus diesem Thread (habe etwas vorschnell einen eigenen Thread eröffnet...)  https://forum.opnsense.org/index.php?topic=19804.msg92059

Hi,
i want to do the same, do you found a solution?

regards

[EDIT] found you're german thread: https://forum.opnsense.org/index.php?topic=19804.msg92059#msg92059 :)

Hallo zusammen,

ich hätte zwei Fragen:

1) Ich würde gerne ein oder mehrere OpenVPN Instanzen (Firewall Intern) auf mehreren Gateways erreichbar machen um die Last zu verteilen (gerade jetzt zu Corona Zeiten mit viel Homeoffice).

Ist das überhaupt mit der Firewall möglich, da die Firewall ja intern immer nur ein default Gateway hat?
Hat damit jemand Erfahrung, ich bin mehr oder weniger noch eher Einsteiger in der Thematik.

Wir haben folgende Leitungen, die jeweils an einer Fritzbox hängen (verschiedene IPs im gleichen Netz) und aktuell alle gebündelt an einem WAN-Port an der Firewall angeschlossen sind:

- 2x Vodafon Kabel 1000mbit
- 3x DSL Anschlüsse 100mbit

- OPNSense ist noch nicht produktiv im Einsatz
- OPNSense 20.7.3
- NICs: WAN, LAN, DMZ
- Gateways: 192.168.0.[103-107] / 24 (5 Fritzboxen)
- LAN verwendet Gateway Gruppe zur Lastverteilung / Failover

Vermutlich macht es Sinn die einzelnen Gateways zukünftig auf eigene physikalische Ports zu legen, dafür muss ich noch eine weitere Netzwerkkarte einbauen.

2) Ich habe festgestellt, dass das Monitoring mit PING auf die einzeln hinterlegten Monitor IPs der Gateways überhaupt nichts bringt, wenn eine Leitung ausfällt, da anscheinend der Ping immer vom default Gateway gemacht wird und so lange das nicht down ist, werden weiterhin alle Gateways als online angezeigt und weiterhin verwendet, was dann natürlich problematisch ist beim Loadbalancing hinsichtlich Konnektivität zum Internet... Benötigt man also für jedes Gateway eine eigene NIC um das UP Monitoring praktikabel zu machen?

Als Monitoring IPs verwende ich verschiedene öffentliche DNS Server. Ein Ping auf die öffentliche Adresse des jeweiligen Gateways wäre schwierig wg. wechselnden IPs.

Viele Grüße
George