Messages

@Hunduster: Stimmt, so ginge das. :)

@Reiner030: Danke für die Aufklärung. Ja, sollte im NAT Port forwarding Guide erwähnt werden, dass es da mit virtuellen IPs zu Problemen kommen kann :) Ich denke ein DMZ mit zwei Subnetzen ist jetzt nichts so Ungewöhnliches für eine Firewall.

Auch den Hinweis, dass manche Regeländerungen erst ziehen, wenn man die Statustabelle löscht, hätte mir einiges an Selbstzweifel erspart. ;)

Das würde ich als ersten Satz in die Firewall-Regeln Sektion schreiben.

Da hier auch Mailserver auf den Kisten in der DMZ laufen, müssen die immer über das Richtige GW und mit der richtigen Sende IP hinaussenden. Sonst lehnen viele SMTP Server ab, da die IPS nicht als MX im DNS stehen.

Musste dafür auch noch die automatischen ausgehenden Regeln deaktivieren und manuelle erstellen mit der jeweiligen externen IP als Maskierung. Klappt jetzt gut. Noch Geoblocking davor gehauen und schön ist :)

Danke. Hast mir echt weiter geholfen!

Kleiner Nachtrag.
Nach dem Post habe ich dann die Portweiterleitung auf einen anderen Host umgestellt.
Dann ging es wieder nicht.
Habe nun die virtuelle IP in einen CARP Anschluss gewandelt. Jetzt scheint es zu gehen.
Mehrfach umgestellt, entfernt und wieder hinzugefügt.
Geht jetzt immer. Keine Ahnung, ob das ein Bug in den virtuellen IPs ist.

Danke! Es funktioniert jetzt.

Habe ich dann jeweils das passende Gateway für die Subnetze hinterlegt.

War der wichtige Satz. Da die ersten IPs ja bereits gingen, habe ich hier die Gateways weggelassen.
Dachte das er für die ja den Upstream Gateway nimmt.
Es ist aber wohl so, dass wenn man eins konfiguriert, man alle einstellen muss.

Danke für die Hilfe!

Ja, sind vom gleichen Provider.
Ich habe auch das Gateway für das zweite Netzsegment angelegt. Aber ich wüsste nun nicht, wo ich das Einstellen kann. I WAN Interface kann ich ja nur eine Hauptadresse definieren und ein Upstream Gateway hinterlegen.
Die anderen IPs sind im Moment ja nur virtuelle. Dort hatte ich entdeckt das man unter erweiterte Einstellungen ein Gateway hinterlegen kann. Hab da mal testweise die IP eingetragen des Gateways. Das hat aber nicht geholfen.

Kannst Du mir sagen, wie ich hier richtig vorgehen muss?
Danke schonmal für die Hilfe :)

Ich richte gerade ein DMZ für einen Webserver auf eine aktuellen OpnSense ein.
Die Grundkonfiguration funktioninert

Ich habe:
- ein LAN Interface > rein zum Zugang auf die Firewall
- ein WAN Interface > mit einem 8er IP Block und dem entsprechenden Gateway konfiguriert x.x.x.x/29. Erste IP direkt der Rest als virtuelle IPs angelegt.
- ein internes DMZ, hinter dem ein Testserver steht > hierfür ausgehende Regeln für Internetzugriff konfiguriert. Welcher auch geht
- Portforwarding für ICMP eingerichtet

Ping von extern auf den Server geht.

Nun habe ich noch einen weiteren 16er IP Bereich x.x.x.x/28, welchen ich nicht zum Laufen bekomme.

Ich habe die IPs als virtuelle auf dem WAN Interface definiert und die Portweiterleitung eingerichtet. Erstmal nur ICMP zum Testen. Mit dieser externen IP kann ich den Server nicht Pingen.

Ich habe auch bereits mal versucht ein Gateway, erst normal, dann die fernes Gateway Option aktiviert zu nutzen. Dazu habe ich die WAN Firewall Regeln manuell erzeugt und das Gateway ausgewählt. Hat mich leider nicht weiter gebracht.





Habt Ihr noch einen Tipp für mich?

Hallo Forum!

Ich versuche folgendes Szenario in OpnSense umzusetzen.

Ich habe 4 Netzwerkkarten

die beiden ersten sind zwei getrennte interne LANs 192.168.110.0/24 und 192.168.113.0/24
an den beiden anderen Karten hängt jeweils eine Internetverbindung über einen Router

Ich möchte nun das LAN1 über Internet 1 herausgeht und LAN2 über Internet 2.
Es soll kein Loadbalancing stattfinden. Jedes LAN soll seinen eigenen Internetzugang erhalten.

Ich hab jetzt schon Stunden rumprobiert aber bekomme es nicht hin.

Was ist hier der best practice und was ist zu beachten.

Danke schonmal und Gruß
Stephan