Messages

Guten Morgen,

wir haben mittlerweile einige Business-OPNS im Einsatz und grundsätzlich Probleme bei besagtem Setup aus dem Titel.

Das größte Problem ist, wenn Traffic über eine Leitung geht, vor allem IPSec-Tunnel darüber aufgebaut werden, die Leitung kurzzeitig nicht erreichbar ist, das danach die Tunnel nicht wiederkommen. Erst wenn man manuell den Tunnel neustartet oder generell "Play" drückt, wird er wieder aufgebaut.

Es gibt aber auch Fälle, wo der allgemeine Traffic nicht über zweite Leitung geschickt wird und somit kein Internet effektiv vor Ort vorhanden ist. WAN-Gruppen für die Gateways sind angelegt aber auch hier gab es immer Probleme, dass z.B. Teamviewer keine Verbindungen aufgebaut hat und nur eine Firewallregel, die explizit ein Gateway verwendet, an der Stelle hilft.

Setups sehen normalerweise so aus:

Primäre Leitung für Internet/VPN, zweite Leitung Telefonie, beide permanent aktiv (gleiches Tier-Level bei den Gateways). Solange Leitung 1 aktiv ist, soll auch alles so aufgesplittet laufen, wenn Leitung 1 ausfällt, soll alles von 1 auf 2 ausweichen. Die 2 bleibt unangetastet weil Telefonie konkret über den z.B. Telekom-DSL laufen muss.

Beide Gateways haben ein Monitoring aktiv, sind als Upstream-Gateways markiert, Allow default gateway switching aktiv. Outbound-NAT sind beide Interfaces drin (Automatic), Sticky Connections aktiviert.

Gibt es grundlegende Einstellungen, die ich an der Stelle vergesse bzw. falsch verstehe?

Was auch auffällt in dem ganzen Konstrukt (liegt denke ich an den Stickys), wenn z.B. ein Dauerping auf 8.8.8.8 läuft, wir eine Leitung abziehen, der Umschwung tatsächlich funktioniert hat und andere Geräte ins Netz kommen, geht der Dauerping nicht durch. Beendet man den, wartet eine Zeit und startet neu, kann man wieder das Ziel anpingen. Bei anderen Firewall-Systemen schwenkt das binnen 1-2sek um und alles funktioniert wieder.

Falls jemand generell Infos bzw. Lösungen dazu hat, wäre ich sehr dankbar.

Grüße,
Mark

Good Morning,

I have a specific problem with the web proxy on a currently running virtual OPNsense 22.7.6-amd64.

We are using the transparent ssl-proxy setup based on the guidelines of the documentation.
SSL-Bumps are all set, in general the setup is working but as soon as I activate the (we are using the UT1) RBL, some HTTPS-websites don't work anymore.
A few important ones for example banking sites can't be openend and even if I choose for example only the category "Manga" to block, these banking sites won't work anymore.

In the RBL-option I tried it with and without the button "ssl ignore cert" but nothing changes.
I also checked the content of the manga-category and searched the files for the specific problematic Domains and URLs but nothing there.
And I also put the domains on the whitelist with the simple and regular expression variants, nothing changes.
As soon as I deactivate the RBl again, everything is working fine but of course then the webproxy is useless for us.

In certain cases I get the HTTPs errors and in others I get an access denied via the OPNs but again those Domains/IPs are not present in the RBL-Files.
I also set the "alternate" DNS-Servers, so the OPNs uses the same ones as the server who wants to reach those websites.
Does anybody have a clue, what it could be?

Thanks in advance for any possible information or help to this case.

IDs are all different and set to the specific one of each remote gateway. The support mentioned the remote gateway as the needed option to differentiate between each tunnel but thats not working.

In the log I can see which IPsec-parameters are coming from the remote sites und and which one the OPNsense provides and with that I can see the OPNsense uses the same tunnel for each incoming connection and therefore a mismatch occurs.

Good Morning,

we are quite new in the OPNsense world and used mostly Sophos UTM and a few XGs in the past.
My problem is, we have several customers with multiple locations and dynamic external IPs.

With the Sophos UTM that wasn't a problem since the "any" option meant the Sophos checked the incoming IPSec-Requests and when there is a match of the Phase1/2 and PSK, the tunnel went up.

The OPNsense should be able to do the same, at least that's what our support-partner told me.
Basically what I need to do is put in a "fake" IP in the remote gateway since the configuration cannot be saved unless a remote gateway IP is given.

I tried it with the option "Allow any remote gateway to connect" and without but what happens is, one tunnel goes live but the other one(s) try to use the parameters of the first tunnel, not the ones following after.

Attached to the post there is an example configuration of what I did and how it is supposed to work.
Is there a way to get it done or if Iam wrong in my setup (which could definitely be the case) then I would appreciate any help.

In the given example there are four Sophos UTM on the remote sides, so IKEv1 is the only option.
Thank you for any help in advance =)