Messages

1

24.7 Production Series / Re: public subnet behind opnsense / ip source header of opnsense not server

« on: September 24, 2024, 10:00:21 pm »

Thx, outbound NAT was the problem.
But only for ipv4, ipv6 worked before.

2

24.7 Production Series / public subnet behind opnsense / ip source header of opnsense not server

« on: September 24, 2024, 06:15:43 pm »

I have opnsense with
WAN with public /32 and DMZ interface with public /29 and a dhcp server
When I add an server to the /29 network, I have the problem, that eg. curl -4 icanhazip.com returns the the public /32 ip. There is no problem to ssh from Internet to a server in /29.

my network looks like this

Code: [Select]

Fiber
  |
WAN IF @ OpnSense (block private networkds)
(aaa.aaa.aaa.aaa)/32 public IP via DHCP
  +
DMZ IF @ OpnSense (no dynamic gateway policy, ipv4 gateway rules disabled)
(aaa.aaa.bbb.bb1)/29 public IP static IP
  |
ServerA
(aaa.aaa.bbb.bb2)/29 public IP with DHCP from Opnsense


From Server A:
curl -4 icanhazip.com
gives the IP of WAN IF

curl -6 icanhazip.com
gives the ServerA ip

I also need the Server A ip with ipv4 curl -4

Where should I start to look?
Thx
Chris
ps: Beside this, everything works fine

3

German - Deutsch / openvpn Renegotiate time "" oder 0

« on: June 09, 2024, 07:56:37 pm »

Bei mir startet openvpn nicht mehr, wenn ich die Renegotiate time auf 0 setze.
Könnte das wer testen, ich glaube 0 ist nicht die Einstellung die man setzen sollte sondern ""
Laut Info Text, sollte 0 gesetzt werden können. Bei mir startet dann aber openvpn nicht mehr.

"Renegotiate data channel key after n seconds (default=3600). When using a one time password, be advised that your connection will automatically drop because your password is not valid anymore. Set to 0 to disable, remember to change your client as well."

Version: OPNsense 24.1.8-amd64

4

24.1 Legacy Series / Static Ipv4/6 settings for LAN

« on: May 28, 2024, 05:46:21 pm »

I get static IP for WAN and LAN from my provider.

My network looks like this

Code: [Select]

┌───────────┐                                                   
│ INTERNET  │                                                   
└────┬──────┘                                                   
     │VLAN32                                                   
     │DHCP                                                     
┌────┴───────────────────┐                                     
│opnsense-WANPORT        │                                     
│100.150.200.146         │                                     
│2a0a:abb0:ab3:1::18a/128│                                     
└───┬────────────────────┘                                     
    │                                                         
    │   ┌─────────────────────┐                               
    │   │additional public IPs│                               
    │   │100.150.210.160/29   │                               
    │   │2a0a:abb0:ab4:340/60 │                                 
    │   └─────────────────────┘                               
    │                                                         
┌───┴────────────────────────────┬────────────────┐         
│opnsense DMZ Port + dhcpv4/6    │ static IPv4    │         
│100.150.210.161/29              │ Track Interface│         
│2a0a:abb0:ab4:340:aa1:ab:fe:a111│ for Ipv6       │         
└───┬────────────────────────────┴────────────────┘         
    │                                                         
┌───┴──┬───────────┬───────────────────┐                     
│switch│           │                   │                     
└──────┘ ┌─────────┴────────────┐   ┌──┴─────────────────────┐
         │ServerA dhcp          │   │ServerB-E dhcp          │
         │100.150.210.162       │   │100.150.210.163-6       │
         │2a0a:abb0:ab4:340::162│   │2a0a:abb0:ab4:340::163-6│
         │2a0a:abb0:ab4:348/63  │   │     3x.../63 who needs │
         └──────────────────────┘   └────────────────────────┘
This is working, but I am not 100% happy and have some questions.
A)
Is there a way to free the 100.150.210.161 IP from opnsense and use it for a ServerF?
B) I change from a PC Opnsense Box to a DC2700 with 2xSFP+ ports. So I want to bond the 2xSFP+ and LACP with my switch and use this connection with VLAN for my DMZ and Local net. Is this a reasonable idea?
Thx for the help
Chris

5

German - Deutsch / Re: ipv6 Subnetting

« on: May 02, 2024, 11:56:59 pm »

Was ich nicht verstehe, wo kann man einstellen, dass ein
Router A, der am LAN IF hängt, ein bbbb:bbbb:bbbb:301::/64 subnet bekommt und
Router B ein bbbb:bbbb:bbbb:301::/64 subnet ?

6

German - Deutsch / ipv6 Subnetting

« on: May 02, 2024, 06:27:03 pm »

Hallo,
ich habe vom Provider für Wan
aaa:aaa:aaa::15a/128
und zusätzlich für Lan
bbbb:bbbb:bbbb:300::/60
bekommen.
Wan funktioniert per DHCP oder Static, das bekomme ich hin.
Nun will ich für meine Server am Lan Interface die 16x /64 per DHCP verteilen. ipv4 ist kein Problem, für ipv6 fehlt mir die Erfahrung.
Wie gehe ich das am besten an, bzw. wie ist die sauberste Lösung?
Danke
C.

7

23.1 Legacy Series / Re: Web Proxy (Squid) Error pages zip file is empty

« on: January 19, 2024, 01:58:34 am »

Possible to delete this post since it is for 23.7

8

23.7 Legacy Series / Web Proxy (Squid) Error pages zip file is empty

« on: January 19, 2024, 01:58:08 am »

The docs say, the if I want to create custumn error pages, I shoud download the zip file as template. But the zip file is empty...
https://docs.opnsense.org/manual/proxy.html

9

23.1 Legacy Series / Web Proxy (Squid) Error pages zip file is empty

« on: January 19, 2024, 01:17:02 am »

The docs say, the if I want to create custumn error pages, I shoud download the zip file as template. But the zip file is empty...
https://docs.opnsense.org/manual/proxy.html

10

German - Deutsch / Re: gateway fragen für statisches /29 Netz

« on: May 02, 2022, 02:21:16 pm »

Danke für die ausführliche Antwort!
c.

11

German - Deutsch / Re: gateway fragen für statisches /29 Netz

« on: April 29, 2022, 05:31:01 am »

Ich glaube Outbound NAT auf Hybrid und Interface 3 (DMZ /29 public IPs) auf NO NAT zu stellen ist der richtige Weg.

12

German - Deutsch / Re: gateway fragen für statisches /29 Netz

« on: April 29, 2022, 05:03:17 am »

Mein einziger Anschluß ans öffentliche Netz ist Interface 1.
Darüber bekomme ich meine statische IP per DHCP.

Sorry die dumme Frage, aber muß ich das /29er Netz auch auf das Interface 1 geben? Das wüßte ich jedoch nicht wie.

Momentan habe ich Automatic outbound NAT eingestellt, dadurch wird mein Interface 3 (DMZ mit /29 public IP) wohl über NAT bereitgestellt. Das ist wohl auch ein Fehler.

13

German - Deutsch / gateway fragen für statisches /29 Netz

« on: April 28, 2022, 03:45:35 pm »

Bei meinem Provider hab ich 4 statische IPs bestellt und ein /29 Netz bekommen.

Aktuell läuft statt der vom Provider zur Verfügung gestellten Fritzbox eine OPNsense-FW direkt an der Glasfaseranschlußbox. Das funktioniert und die OPNsense-FW holt sich per DHCP eine statische IP.

Meine OPNsense-FW hat 4 Ethernetanschlüsse bzw. Interfaces.
Am ersten ist nun der WAN Anschluß und dient als GW für mein LAN.
Am zweiten ist der LAN Anschluß geht in den Router in ein VLAN.
Am dritten soll nun das /29 drann kommen und dem Interface hab ich die erste statische IP vom /29 Netz gegeben und mit einem eigenen VLAN am Router verbunden.

Welches GW setzt man nun für diesen dritten Anschluß? Braucht so eine statische IP kein GW oder ist Interface 1 (WAN) GW? Momentan hab ich Auto-detect eingestellt, das dachte ich funktioniert, jedoch gabe es Probleme zwischen zwei VOIP Anlagen zwischen Anschluß zwei und drei. Dachte die sind komplett getrennt, aber nachdem dies beim selben Provider ist, gab es eine Sperre.

Code: [Select]

        WAN | public static IP über DHCP zugeteilt
                |
        .-----+------.   LAN                             .-------------.
        |  OPNsense  +-----------------------------------+ private LAN |
        '-----+------'   192.168.16.1/24 private IPs         '--------------'
                |
         DMZ | 50.60.70.1/29 public static IPs per DHCP verteilt
                |
             Webserver/VOIPserver/Cloud FileServer


14

German - Deutsch / Re: openvpn windows certmgr

« on: February 25, 2021, 03:03:43 pm »

Ich glaube den Key aus dem Zertifikatsmanager zu kopieren ist schwieriger als den Hash für TOTP aus dem Handy auf mehrere Handys zu kopieren. Mit Yubikey schaffe ich OpenVPN noch nicht zu konfigurieren, das hätte ich am liebsten.
Aber am Ende schaffe ich es auch mit crt und key in Windows Zertifikatsmanager.... Hoffte jemand hat sowas im Einsatz und kann mich an genau die richtige Stelle leiten.

15

German - Deutsch / Re: openvpn windows certmgr

« on: February 25, 2021, 02:17:26 pm »

Damit die crt & key nicht einfach auf einen anderen PC kopiert werden.
Der Zertifikatsspeicher ist eine weitere Hürde für nicht so technisch versierte Benutzer.