Messages

Cara faz tem que não uso proxy.. mas essa ativação do SSL Inspection como a description ali diz.. atua como man in the middle.. logo e a princípio o certificado ssl do site na porta 443 é alterado pelo certificado do opnsense (para realizar esse tipo de procedimento, interceptar e verificar o site).. para funcionar é necessário que o certificado do opnsense seja instalado em todos os computadores da sua rede.. para que o browser confie neste certificado... não tenho certeza.. mas pode ser isso. tenta instalar o cert do opnsense no computador local...

Pessoal...

Tenho dois firewalls em HA e configurações Wireguard. Tudo funciona perfeitamente bem no HA.
Porém o wireguard não respeita o MASTER / BACKUP ficando ativo nos dois firewalls e bagunçando minhas vpns.
Tenho que inativar o sync do wireguard no CARP e desativar o serviço no fw2 e quando ativo o preemptive (deixando o fw2 como master), tenho que desativar o wireguard no fw1 e ativar no fw2.
Sabem me dizer se existe algum patch sobre isso e algo no roadmap de correção?

Verificou se as redes que você quer chegar estão declaradas nas configurações do Wireguard?
Vc cria uma config para os tuneis e passa criptografado por dentro dessa rede/tunel a rede que vc quer alcançar.. (nos dois lados)


rede LAN_A ------> rede tun A wireguard (fw1) < ------ internet ------>  (fw2) rede tun b wireguard ---------> rede LAN_B

Boa tarde pessoal.

Estou pensando em implementar LAGG em 02 interfaces LAN de 02 firewalls distintos (totalizando 4 portas LAN em um port-channel 1). Os dois firewalls estão em HA, os port-channels serão configurados no switch para redundância entre todo o ambiente.

Alguém aqui já implementou algo similar? Alguma indicação de LAB ou sugestão?

Obrigado pelas instruções, mas como farei meu NAT para localhost quando meu OpenVPN está na LAN?

Foi pela edição do XML mesmo. Obrigado pessoal.

Opa bom dia, talvez com uma configuração de VIP em cima da interface PPPoE ?
https://docs.opnsense.org/manual/firewall_vip.html

Bom dia pessoal.

Vou tentar explicar o problema..

Cenário: Opnsense, dual wan com failover para saída. OpenVPN fora do opnsense (na LAN), no client.conf do openvpn (dos clientes) passo meus dois IPs que estão no opnsense como remote (em ordem, principal e secundário).

Objetivo: Clientes usando os dois remotes de entrada no OpenVPN (se o principal estiver fora, o secundário assume).

Problema: Em alguns casos, precisamos realizar acessos no ip secundário pois o primário não cai por completo e caso um acesso no ip principal tenha sido feito, tenho que esperar que o State expire para realizar uma nova conexão no ip secundário.

Questão: Existe alguma forma de não gerar states (ou reduzir o tempo de wait) apenas para as regras de VPN? Isso é possível? Qual seria a melhor abordagem!

Obrigado!

Resolvido! Atualização do ambiente.

Bom dia pessoal!

Estou testando uma configuração de URL rewrite (http para https) com as seguintes configurações:

Code Select Expand


HTTP Server:

http: 80 | https: 443
Server Name: exemplo.org
URL Rewriting: exemplo
TLF Certificate: exemplo.org
Cliente CA Cert: RapidSSL
HTTPS Only


Code Select Expand


URL Rewriting

Short Desc: exemplo
Original URL Pattern: / (tentei .* tambem)
New URL Patter: https://outrodominio.org/
Flag: Redirect (tentei permanent)


O que acontece: Fora da rede (na internet), funciona perfeitamente. Dentro da Rede não é exibido a pagina.
Os IPs que respondem pelo nome "exemplo.org" são os IPs externos do meu opnsense. O nginx não deveria capturar estes acessos vindos da LAN?
É necessário alguma rule para que a LAN chegue ao nginx?
Não achei nada concreto sobre estas configurações na internet.
Agradeço qualquer ajuda!

Olá, sua lógica está correta.

A limitação entre VLAN de fato pode ocorrer via regras de firewall em cada interface.

Sim você terá uma porta trunk, como se fosse um switch L3, mas em teorias, vlan só irão se comunicar com vlans na mesma tag, mas restrigir somente os serviços necessários é importanter para correta aplicação das vlans.

Por exemplo, uma vlan de voip, só poderá trafegar dados voip, sip, iax e assim por diante

Obrigado pelos apontamentos! Estou resolvendo outros problemas mas estou desenhando uma melhoria neste sentido para a rede. Nada muito complicado, acredito que vou fazer uma vlan de servers e uma de desktops apenas (talvez uma Wireless). A questão é arrumar equipamentos para não testar em Prod! Obrigado novamente, qualquer resultado vou postando por aqui!

Bom dia! Desculpa a demora em responder! Excelente pontuação, não havia pensado nisso! No meu caso o OpenVPN fica fora do Opnsense, mas posso replicar a lógica no meu servidor! Obrigado! Posto os resultados assim que conseguir!

E aí pessoal, boa tarde!

Estou com um cenário curioso por aqui, estou usando um servidor OpenVPN dentro da minha LAN e faço NAT de entrada da porta 1194 nos meus dois links de internet conectados no opnsense para este OpenVPN. Quando ajusto o OpenVPN para operar em modo TCP, as regras de NAT para ambos os links externos (entrada) funcionam perfeitamente. Quando uso o OpenVPN em UDP, apenas o NAT no ip externo principal (rota default) funciona. Alguém já passou por isso ?

Estou querendo usar UDP pois a princípio tive uma melhoria de desempenho com este protocolo. Porém consegui acesso com redundância apenas em modo TCP.

Obrigado!

opa.. mal aí.. wireguard.

Bom dia pessoal, estou testando o wg com dual wan e parece que quando o link principal cai o serviço para de funcionar, pensei em criar um script para verificar o cenário de dualwan e em caso de queda, reiniciar o wg para funcionar com o link secundário.
Os clientes conectariam em um DNS com RR e usaria um keepalive para validar o endpoint do opnsense.. isso parece funcional para vocês? Quanto ao script, algo nativo que eu possa criar e usar no próprio opnsense? Obrigado!