Messages

Der Cold Standby ist da wohl die beste Variante.

Ok, dann werde ich mir das mal ansehen.

m übrigen: Der ONT ist ja auch ein Single Point of Failure. Hast Du dafür einen Klon parat? Ich schon!

Nein, dafür habe ich noch keinen Klon. Da muss ich mal schauen, wo man einen Klon herbekommen könnte.

Im privathaushalt am besten auf HA verzichten, das lohnt sich nur im Business Umfeld wenn man Geld verliert durch service ausfall.

Ich habe die beiden Sophos-Einheiten sehr günstig bekommen und dachte mir, das wäre ein nettes Projekt, da ich jetzt Rentner bin.

Es gibt zwar die Option dass automatisch die PPPoE interfaces hoch und runtergefahren werden, aber das ist nicht zu empfehlen wenn die Anwendung der Firewalls z.B für eine Firma verwendet wird, es ist viel zu instabiö bei einem Failover. Z.b. bei flapping (schnelle Failover) kann es sein dass die PPPoE interfaces unten bleiben und sich nicht neu verbinden, oder der Provider zu schnelle wiederholte authentifizierungen sperrt.

Vielen Dank für die Info.

Könnte ich einen einfachen Router vorschalten, der sich per PPPOe einwählt und diesen danach über einen Switch auf beide OPNSense Einheiten verteilen ?

Das Ganze soll in einem Privathaushalt laufen.

Hallo,

ich verwende derzeit noch eine Unifi UDM SE und plane auf OPNSense umzusteigen.
Hierzu habe ich mir zwei Sophos XG 450 zugelegt, welche ich als HA-Cluster an einem einzelnen Telekom-Glasfaser Anschluss betrieben möchte. Auf beiden XG 450 ist OPNSense installiert

Mir ist bisher noch nicht so ganz klar, welche Eigenschaften ein WAN-Switch vor den beiden Sophos erfüllen muss, damit ich per Ethernet vom Telekom Glasfaser Modem 2 aus auf die beiden Sophos verteilen kann. Es liegt nur ein Glasfaseranschluss vor. Muss dieser Switch z.B. VLAN-fähig sein, um VLAN 7 bereitzustellen ? Oder kann ich da einen einfachen unmanaged Switch nehmen und VLAN 7 dann über OPNSense auf der WAN-Schnittstelle definieren ?

Und wie muss ich dann die WAN-Schnittstelle in beiden Sophos definieren ? Müssen beide dann die PPPOe Einwahldaten erhalten ?
Fragen über Fragen...

Ich würde mich über eine kleine Hilfestellung diesbezüglich freuen.

Hallo,

ich muss jetzt erstmal die Sense neu aufsetzen, da ich, warum auch immer, keinen Zugriff mehr habe.

Bei mir läuft AGH auf der Sense und lauscht somit auf allen Interfaces, daher brauche ich keine entsprechende Weitereleitung.

Bei mir läuft AGH auch direkt auf der Sense, allerdings musste ich beim Setup eine Schnittstelle angeben. Da habe ich bei mir die VLAN-Schnittstelle im Management VLAN ausgewählt. Eine Option zum "Abdecken" aller Interfaces ist mir da nicht aufgefallen. Wie hast Du das hinbekommen ?

In Deinem Konstrukt, sofern ich es richtig überblicke, brauchst Du später eine Regel vor der Regel, die alles aus dem VLAN an das VPN Gateway routet, die die DNS Anfragen an AGH routet, sofern gewünscht ist, dass AGH das macht.

Über diesen Beitrag (https://forum.opnsense.org/index.php?topic=22162.135) bin ich auf das Thema aufmerksam geworden. In Post #142 sind zwei Links aufgeführt, wo man Infos zum Weiterleiten der DNS-Abfragen bekommt.

Falls es natürlich eine einfachere Möglichkeit gibt, würde ich mich freuen, darüber etwas zu erfahren.

Das Problem was Du hast ist ja aber schon viel früher angesiedelt. Der Name um die VPN Verbindung herstellen zu können muss für die Sense aufgelöst werden, da hat weder das VLAN noch das VPN selbst etwas mit zu tun. Die Sense erreicht offensichtlich Dein AGH nicht und kann daher keine Namen auflösen, das dürfte dann aber immer und für alle Anfragen zutreffen, nach dem was Du jetzt geschrieben hast, funktioniert das aber?!?!

Nur unter Unbound. Mit AGH funktioniert es nicht.

Die Sense muss auch gar nicht zwingend AGH für DNS nehmen, hast Du unter System/Settings/General denn DNS Server angegeben? Diese würde die Sense dann selbst für die Auflösung verwenden, damit wird dann auch die Adresse für den VPN Verbindungsaufbau aufgelöst, alle anderen Geräte können dann ja immer noch an AGH geleitet werden.

Bei den VLANs, welche über NordVPN gerötet werden, stelle ich die DNS-Server-IPs über den DHCP Server zur Verfügung.
Aus diesem Grund habe ich in System -> Settings -> General auch noch keine DNS-Server eingetragen. Das muss ich noch machen, sobald ich die Sense wieder am Laufen habe.

Es funktioniert mit AGH, sobald ich eine DNS-Weiterleitung der DNS-Server-IP aus den anderen VLANS heraus auf das Management VLAN vornehme, in welchem AGH jetzt liegt.

Wie hast Du das gelöst ?

:o als VPN Client sollte eigentlich die Sense sein. Hier hast du das doch auch alles eingerichtet, oder nicht? Auf den anderen Geräten im VLAN brauchst du dann gar nichts einrichten und dich zu keinem VPN verbinden, das routet dann doch alles die Sense. Das ist doch der Clou dabei...

Ja, natürlich. Ich meine auch den OpenVPN-Client auf der Sense. Dort steht im Log folgendes:

2023-07-29T14:34:23   Error   openvpn_client1   RESOLVE: Cannot resolve host address: de640.nordvpn.com:1194 (Name does not resolve)

Interessant ist dabei, dass die Verbindung klappt, wenn ich die Sense neu hochfahre. Versuche ich danach einen Reconnect, so bekomme ich diese Fehlermeldung im OpenVPN Log File angezeigt.
Wie geschrieben, mit Unbound scheint es zu klappen, mit AGH nicht. Das mag natürlich auch daran liegen, dass AGH auf einer festen IP in einem anderen Subnetz liegt.

Der VPN-Client baut doch die Verbindung zu NordVPN auf. Dabei gibt man in den Einstellungen des VPN-Clients die Adresse des NordVPN Servers (z.B. de840.nordvpn.com) an. Meine Vermutung hierbei ist, dass diese Adresse beim Verbindungsaufbau nicht aufgelöst wird.

Sobald die Verbindung steht, soll jedes in diesem VLAN verbundene Gerät über das VPN geroutet werden. Dann müssen die DNS-Anfragen über die NordVPN DNS-Server erfolgen

@tiermutter: Wie hast Du das eigentlich mit Adguard Home und VLANs gelöst ?

Ich habe jetzt Adguard Home installiert und Unbound deaktiviert (AGH läuft entsprechend über Port 53). Mit diesen Einstellungen kann sich der VPN Client im VLAN22 nicht mehr bei NordVPN anmelden (keine DNS-Auflösung für die VPN-Server-Adresse von NordVPN).
Deaktiviere ich Adguard und aktiviere Unbound, dann funktioniert es.

Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.

Ok, dann werde ich es so einmal versuchen.

So würde ich das machen.

Dann werde ich das auch so versuchen.

Wie wär's, Du gibt dem entsprechenden VLAN von Anfang an kein IPv6?

Perfekt, so werde ich es konfigurieren.

Mal sehen, was am Ende dabei herum kommt ;-)

[auf]

Kann man nicht. Nutze auf allen Hosts, die über das VPN rausgehen sollen, einen öffentlichen DNS Service, z.B. den von Nord, und nicht die Sense.

Vielen Dank für den Hinweis.

Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).

Hier könnte ich aber auch das entsprechende VLAN-Interface anstelle von "any" angeben. Dann wäre es an das entsprechende VLAN gebunden, oder ?

Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.
Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.

Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:

Könnte man hier auch IPv6 für das entsprechende VLAN selektiv blocken ?

Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?
Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.

Ja, alle Geräte, welche durch das VPN auf das Internet zugreifen, sollen die NordVPN DNS Server verwenden. Alle anderen Geräte sollen z.B. über die Google DNS Server oder ähnliches laufen.

Danke Dir für die Rückmeldung. Das mit den Aliasen hatte ich gelesen, war mir aber nicht sicher, ob das "ausreicht".

Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?

Das bringt mich auch noch zu einer weiteren Frage. Bei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

Hallo,

ich habe gerade einen VPN Client in OPNSense für NordVPN, gemäß NordVPN Webseite, eingerichtet. Dabei wird aber der gesamte Datenverkehr über diesen VPN Client geleitet, so ich das richtig verstehe.
Ich möchte es aber so konfigurieren, dass nur Clients aus einem bestimmten VLAN über NordVPN auf das Internet zugreifen.
Weiterhin möchte ich noch einen zweiten VPN Client für NordVPN anlegen, der den Zugriff aus einem anderen Land (konkret USA, da ich dort auf verschiedene Geschäftswebseiten nur per US IP zugreifen kann) simuliert. Auch hier soll nur ein bestimmtes VLAN über diesen zweiten NordVPN Zugang auf das Internet zugreifen.

Die restlichen VLANs sollen ohne VPN auf das Internet zugreifen können.

Wie könnte man dies denn bewerkstelligen ? Hat da vielleicht jemand einen Tipp für mich ?

Wenn die OPNsense ein Router für Geräte im VLAN ist, musst du keine Gateways anlegen. Aber natürlich per DHCP den Geräten die OPNsense als Router mitteilen.

Perfekt. Vielen Dank für die Erklärung.

Ok, warum auch immer, jetzt hat alles funktioniert. Sowohl mit VLAN 1 tagged als auch untagged. Vielen Dank nochmal für die Hilfe.

Wie sieht es denn jetzt mit den Gateways aus. Muss ich da jeweils einen für die verschiedenen VLANs anlegen ?

Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.

Danke für die Infos.

VLAN 1 mit Tag 1 hatte ich schon einmal, habe aber möglicherweise vergessen, am Cisco auf Untagged für VLAN 1 zu stellen. Das werde ich gleich nochmal testen.

Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.

Das hatte ich probiert, habe aber keine IP im Cisco für untagged VLAN 1 bekommen.