Messages

Ha! Behoben. Für die Dokumentation: ich habe die WAN-Regel tatsächlich komplett gelöscht, womit sich dann der Datum in GeoIP geändert hat und offensichtlich korrekt geladen wurde. Neue Rule erstellt und alles gut.

Wenn ich einen neuen Geo-Alias anlege, bekomme ich sofort die Länderauswahl.

Hm, das bekomme ich auch. Vielleicht ist irgendwie noch mein alter Maxmind irgendwo gespeichert und der "neue" nicht funktioniert?
Ich muss aber auch sagen, dass der Restore des Backups gut funktioniert hat, bis auf GeoIP, da war noch der alte URL drin, aber mehr auch nicht. Trotz alten Konfig, ist die Fehlermeldung gekommen nach den Restore.

Klar. Sowohl den Alias wie auch ein Rule am WAN Interface. Die Konfiguration hat schon funktioniert. GeoIP ist lediglich gebrochen seitdem ich auf die neue Hardware migriert habe (ergo Backup eingespielt). Aber das sollte egal sein, weil ich den Link komplett neu konfiguriert habe.

Die Meldung poppt auf zwei Stellen auf:
Aliases -> GeoIP -> Apply
Aliases direkt (wenn ich auf den Tab frisch wechsle)

Ich würde erwarten wenn ich Alias und Rules habe, dass eigentlich die ZIP-Datei bezogen wird.

Übrigens, Link im Browser funktioniert, die ZIP Datei wird zum Download angeboten, sowie kann ich auf der Firewall (SSH) download.maxmind.com auflösen.

Hier ist auch noch so ein Screenshot der für mich absolut keinen Sinn macht... innerhalb von 30 Sekunden, ohne dass ich irgendwas geändert habe, mittendrin des Zugriffs per SMB, kommen lauta Blocks und dann Allow. Aber gemerkt habe ich eigentlich nichts.

Es ist ein 16er Netz, also 10.20.0.0/16. Die IPs beginnnen ab 10.20.1.0/16. Nichts seltsames dabei glaub ich :)
Ich hab auch kein 24er Netz mehr.

Hallo,

hab meine Hardware geändert, erfolgreich migriert und alles, es scheint aktuell keine Probleme zu geben, bis auf eins: GeoIP.
Irgendwie scheinbar egal was ich eingebe in GeoIP settings, wird nicht angenommen und zeigt mir immer:
"In order to use GeoIP, you need to configure a source in the GeoIP settings tab"
Ich habe mich auf die offizielle Anleitung angelehnt:
https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
Auch neuen Key angelegt im Maxmind Portal. Und den zusammengebastelten Link bei GeoIP angegeben.
Kann wer helfen?

Danke

Wenn Du individuelle Interface-Regeln brauchst, dann musst Du sie entweder im Interface oder in den Floating Rules machen.

Die Priorität ist ja in der offiziellen Dokumentation erläutert. Floating Regeln sind ganz vorne, dann kommen Interface Gruppen, dann Interfaces.

Entsprechend muss man die Regeln auch positionieren. In den Floating Rules kommt das, was mehr oder weniger für alle gilt - übrigens kann man dort auch Interface Gruppen verwenden.

Wenn Dir das zu unübersichtlich ist, kannst Du auch alle Regeln in den Floating Rules belassen, dann übersiehst Du nichts.

Ich habe das Gefühl dass mein Post nicht verstanden wurde.
Es kommt zum Blocking in demselben Netzwerk, was gegen jegliche Firewall-Technologie spricht. Siehe mein Screenshot. Ich denke eindeutiger wird es nicht.

Die Prioritäten von Floating vs Intf ist mir klar. Intf Gruppen bin ich neu, noch nie verwendet. Aber das ist auch komplett unabhängig davon, zumindest in meinem Szenario, ob es sich um Intf Gruppen handelt oder nicht. So lange der falsche VLAN - also der von dem Adapter, drin ist, blockt es in demselben Netzwerk.

Ich könnte es auf Wunsch weiterhin testen.

delete

delete

Hallo, ich komme jetzt zu diesem Thema zurück. Vielen Dank für die ausführliche Beschreibung. Ich bin aktuell dabei die Firewall Rules zu erstellen.
Und eigentlich habe ich einen Sideeffect den ich nur so halb erwartet habe: mit einer Interface-Gruppe von allen lokalen Interfaces und entsprechenden Rules die lokale VLANs auf jeden Interface erstmal blocken, aber dafür in Floating Rules die Allow sitzen...

Jetzt werden scheinbar Ports im selben VLAN geblockt, was echt seltsam ist. Offensichtlich blockt OPNsense im gleichen Subnet, wenn solche Rules erstellt werden?!

Ich müsste demnach ein Rule für jeden VLAN haben, wo man einzelne Intf auswählt und nicht eine Gruppe hat, sodass man immer den jeweiligen Intf nicht auswählt.

Boah... you know how it is when you manage to get a wife-approval for €799, and then go to order and you realize you didn't see that VAT is not included...

Topic? kosta's going for the DEC750, no question. We're just hanging out, now. Heh.

No worries, always enjoying tech discussions, even if only reading along.

Nee. KISS ;-)

Aber danke! Ein Problem weniger. ;-)

Aber ja, das Thema kann man abschließen. Tatsächlich kein OPNsense Thema, sondern reines Networking. Es scheint ja wohl ein Unterschied zu sein, wie die Switches funktionieren. Unsere OS10 von Dell scheinen anders zu ticken als mein billiger HP Aruba im Vergleich.

Dann versuche ich mal zu verstehen, etwas was wir in der Arbeit machen, besser...
Wir praktizieren dass die primären Switches auf den VLANs immer eine IP haben, damit man im Falle des Troubleshootings eben den Switch pingen kann, und schauen wo es blockt. Für jede VLAN existiert eine Adresse.
Und du hast recht, war mir im Hintergrund nicht bewusst, dass mein HP tatsächlich automatisch die kürzesten Routen erstellt hat, als ich den VLANs die IPs vergeben habe. Sieht man eh in der Tabelle, hätte reinschauen sollen.

Es müsste doch irgendwie funktionieren, damit ich den Switch sagen kann, egal was die VLANs für IPs haben, soll er bitte 0.0.0.0/0 immer über der Firewall IP schicken. Aber das hat das Ding schon, inkl. andere Routen - die ich nicht löschen kann. Ich versuche mal die statischen Routen für jede VLAN zu setzen. So leicht geb ich nicht auf :)