Messages

Thx, outbound NAT was the problem.
But only for ipv4, ipv6 worked before.

[IP of WAN IF]

I have opnsense with
WAN with public /32 and DMZ interface with public /29 and a dhcp server
When I add an server to the /29 network, I have the problem, that eg. curl -4 icanhazip.com returns the the public /32 ip. There is no problem to ssh from Internet to a server in /29.

my network looks like this

Code Select Expand


Fiber
  |
WAN IF @ OpnSense (block private networkds)
(aaa.aaa.aaa.aaa)/32 public IP via DHCP
  +
DMZ IF @ OpnSense (no dynamic gateway policy, ipv4 gateway rules disabled)
(aaa.aaa.bbb.bb1)/29 public IP static IP
  |
ServerA
(aaa.aaa.bbb.bb2)/29 public IP with DHCP from Opnsense



From Server A:
curl -4 icanhazip.com
gives the IP of WAN IF

curl -6 icanhazip.com
gives the ServerA ip

I also need the Server A ip with ipv4 curl -4

Where should I start to look?
Thx
Chris
ps: Beside this, everything works fine

Bei mir startet openvpn nicht mehr, wenn ich die Renegotiate time auf 0 setze.
Könnte das wer testen, ich glaube 0 ist nicht die Einstellung die man setzen sollte sondern ""
Laut Info Text, sollte 0 gesetzt werden können. Bei mir startet dann aber openvpn nicht mehr.

"Renegotiate data channel key after n seconds (default=3600). When using a one time password, be advised that your connection will automatically drop because your password is not valid anymore. Set to 0 to disable, remember to change your client as well."

Version: OPNsense 24.1.8-amd64

I get static IP for WAN and LAN from my provider.

My network looks like this

Code Select Expand


┌───────────┐                                                   
│ INTERNET  │                                                   
└────┬──────┘                                                   
     │VLAN32                                                   
     │DHCP                                                     
┌────┴───────────────────┐                                     
│opnsense-WANPORT        │                                     
│100.150.200.146         │                                     
│2a0a:abb0:ab3:1::18a/128│                                     
└───┬────────────────────┘                                     
    │                                                         
    │   ┌─────────────────────┐                               
    │   │additional public IPs│                               
    │   │100.150.210.160/29   │                               
    │   │2a0a:abb0:ab4:340/60 │                                 
    │   └─────────────────────┘                               
    │                                                         
┌───┴────────────────────────────┬────────────────┐         
│opnsense DMZ Port + dhcpv4/6    │ static IPv4    │         
│100.150.210.161/29              │ Track Interface│         
│2a0a:abb0:ab4:340:aa1:ab:fe:a111│ for Ipv6       │         
└───┬────────────────────────────┴────────────────┘         
    │                                                         
┌───┴──┬───────────┬───────────────────┐                     
│switch│           │                   │                     
└──────┘ ┌─────────┴────────────┐   ┌──┴─────────────────────┐
         │ServerA dhcp          │   │ServerB-E dhcp          │
         │100.150.210.162       │   │100.150.210.163-6       │
         │2a0a:abb0:ab4:340::162│   │2a0a:abb0:ab4:340::163-6│
         │2a0a:abb0:ab4:348/63  │   │     3x.../63 who needs │
         └──────────────────────┘   └────────────────────────┘

This is working, but I am not 100% happy and have some questions.
A)
Is there a way to free the 100.150.210.161 IP from opnsense and use it for a ServerF?
B) I change from a PC Opnsense Box to a DC2700 with 2xSFP+ ports. So I want to bond the 2xSFP+ and LACP with my switch and use this connection with VLAN for my DMZ and Local net. Is this a reasonable idea?
Thx for the help
Chris

Was ich nicht verstehe, wo kann man einstellen, dass ein
Router A, der am LAN IF hängt, ein bbbb:bbbb:bbbb:301::/64 subnet bekommt und
Router B ein bbbb:bbbb:bbbb:301::/64 subnet ?

Hallo,
ich habe vom Provider für Wan
aaa:aaa:aaa::15a/128
und zusätzlich für Lan
bbbb:bbbb:bbbb:300::/60
bekommen.
Wan funktioniert per DHCP oder Static, das bekomme ich hin.
Nun will ich für meine Server am Lan Interface die 16x /64 per DHCP verteilen. ipv4 ist kein Problem, für ipv6 fehlt mir die Erfahrung.
Wie gehe ich das am besten an, bzw. wie ist die sauberste Lösung?
Danke
C.

Possible to delete this post since it is for 23.7

The docs say, the if I want to create custumn error pages, I shoud download the zip file as template. But the zip file is empty...
https://docs.opnsense.org/manual/proxy.html

The docs say, the if I want to create custumn error pages, I shoud download the zip file as template. But the zip file is empty...
https://docs.opnsense.org/manual/proxy.html

Danke für die ausführliche Antwort!
c.

Ich glaube Outbound NAT auf Hybrid und Interface 3 (DMZ /29 public IPs) auf NO NAT zu stellen ist der richtige Weg.

Mein einziger Anschluß ans öffentliche Netz ist Interface 1.
Darüber bekomme ich meine statische IP per DHCP.

Sorry die dumme Frage, aber muß ich das /29er Netz auch auf das Interface 1 geben? Das wüßte ich jedoch nicht wie.

Momentan habe ich Automatic outbound NAT eingestellt, dadurch wird mein Interface 3 (DMZ mit /29 public IP) wohl über NAT bereitgestellt. Das ist wohl auch ein Fehler.

Bei meinem Provider hab ich 4 statische IPs bestellt und ein /29 Netz bekommen.

Aktuell läuft statt der vom Provider zur Verfügung gestellten Fritzbox eine OPNsense-FW direkt an der Glasfaseranschlußbox. Das funktioniert und die OPNsense-FW holt sich per DHCP eine statische IP.

Meine OPNsense-FW hat 4 Ethernetanschlüsse bzw. Interfaces.
Am ersten ist nun der WAN Anschluß und dient als GW für mein LAN.
Am zweiten ist der LAN Anschluß geht in den Router in ein VLAN.
Am dritten soll nun das /29 drann kommen und dem Interface hab ich die erste statische IP vom /29 Netz gegeben und mit einem eigenen VLAN am Router verbunden.

Welches GW setzt man nun für diesen dritten Anschluß? Braucht so eine statische IP kein GW oder ist Interface 1 (WAN) GW? Momentan hab ich Auto-detect eingestellt, das dachte ich funktioniert, jedoch gabe es Probleme zwischen zwei VOIP Anlagen zwischen Anschluß zwei und drei. Dachte die sind komplett getrennt, aber nachdem dies beim selben Provider ist, gab es eine Sperre.

Code Select Expand


        WAN | public static IP über DHCP zugeteilt
                |
        .-----+------.   LAN                             .-------------.
        |  OPNsense  +-----------------------------------+ private LAN |
        '-----+------'   192.168.16.1/24 private IPs         '--------------'
                |
         DMZ | 50.60.70.1/29 public static IPs per DHCP verteilt
                |
             Webserver/VOIPserver/Cloud FileServer


Ich glaube den Key aus dem Zertifikatsmanager zu kopieren ist schwieriger als den Hash für TOTP aus dem Handy auf mehrere Handys zu kopieren. Mit Yubikey schaffe ich OpenVPN noch nicht zu konfigurieren, das hätte ich am liebsten.
Aber am Ende schaffe ich es auch mit crt und key in Windows Zertifikatsmanager.... Hoffte jemand hat sowas im Einsatz und kann mich an genau die richtige Stelle leiten.

Damit die crt & key nicht einfach auf einen anderen PC kopiert werden.
Der Zertifikatsspeicher ist eine weitere Hürde für nicht so technisch versierte Benutzer.