Messages

Is everythink ok with carp? No demotion?
You can find log entrys in System > Log Files > General.

Did you leave the peer in the virtual IPs on default / empty?
I have problems like you, when i set a unicast adress there.


Why are you confused about the pfsync interfaces?
They have nothing to do with carp. You need it for the config and state sync, not for carp.

Moin,

ich persönlich fände es etwas aufwändig für so einen Einsatzzweck eine komplette OPNsense administrieren zu müssen.
Ich habe es daher für einen ähnlichen Fall anders herum gebaut, den Wireguard Server der FritzBox genutzt und auf einem Server von mir dann als Wireguard Client eingerichtet. DynDNS ging über MyFritz.
(Später wurde aber nochmal umgebaut auf Site-to-Site zwischen OpnSense und FritzBox, da noch mehr zwischen den Standorten passieren sollte)


Aber ich denke du hast vermutlich auch deine Gründe für den gewählten Aufbau und funktionieren müsste das auch gut.


Wireguard hast du alles richtig?
Wenn ich richtig weiß: Wenn Standort A nur Responder sein soll, lässt du da Endpoint Adress weg und Standort B muss Keep Alive 25, damit der Tunnel auch immer offen bleibt. 

Zu den Regeln:
Port 51820 ist nur der Zielport.

Du brauchst dann an Standort A nur eine Regel wie:
Action
Pass
Interface
WAN
Direction
In
TCP/IP Version
IPv4
Protocol
UDP
Source
*
Destination
<WAN IP Standort A>
Destination port
51820
Description
Allow Wireguard from Site B to Site A



Standort B braucht keine Regel in der FritzBox.

Moin,

Home Assistant ist komplett richtig eingestellt bzgl. Routing und Standardgateway?

Default Deny und solche Fehler hatte ich schon bei asynchronem Routing.


Ansonsten kannst du das Regelwerk bzw. Reihenfolge der Regeln nochmal überprüfen.
Hier ist es gut beschrieben:
https://docs.opnsense.org/manual/firewall.html#processing-order

Ich habe oft Regeln, die mehrere Interfaces auf derselben opnsense betreffen unter Floating, das wird zuerst abgearbeitet und da finde ich es direkt.
Best-Practice sieht aber vielleicht anders aus oder ist auch Geschmackssache.

Wenn du testest, bitte auch daran denken, dass unter Umständen Regeländerungen nicht sofort greifen. Du kannst die States sonst zurücksetzen unter Firewall / Diagnostic / States

Viel Erfolg!

The internal network identifier (optXX) must be the same on your devices!

Hi cklahn,

Zweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?

Ja.

Übersehe ich eine Einstellung bei IPsec?

Ich kenne nur die legacy Tunnel Einstellungen (und habe mittlerweile auch alle Tunnel auf Wireguard umgestellt )
Da gibt es den Punkt "Connection Method" in Phase 1, wo du eine Seite auf "Start immediate" stellen könntest und die andere Seite auf "Respond only".

Eine mögliche Alternative wäre vielleicht noch die Einrichtung eines DynDNS-Dienstes auf der Kundenseite.

Gruß

Ok.
Meine Umstellung ist am Montag. Ich werde berichten.

Sorry, mir fehlt leider auch noch etwas Erfahrung mit ipv6.

Hilft dir vielleicht ein Traceroute um Unterschiede festzustellen?


Gibt es eventuell noch andere Geräte im Netzwerk, die über ipv6 irgendwas verteilen wollen? Ich hatte auch sporadisch keine ipv6 Verbindungen als ich noch die FritzBox vor der opnsense hatte, ich weiß aber nicht mehr, was ich genau gemacht habe und irgendwann habe ich es auch umgebaut.

Hi,
ich habe nächste Woche genau dieselbe Umstellung (Vodafone FTTH über DG Leitung)

Ich wäre daher über weitere Erfahrungen von dir sehr dankbar! Insbesondere ob es bei CGNAT bleibt würde mich interessieren.

Nutzt du auch Telefonie oder nur Internet?


Ich vermute du (bzw. wir) werden ein VLAN ID mitgeben müssen.

Unter Interfaces - Other Types - VLAN kannst du ein Device für das VLAN erstellen. Laut Schnittstellenbeschreibung von Vodafone VLAN 7 oder 132.
Danach kannst du unter Interfaces - Assignment deinem WAN Interface das neue Device zuweisen.

Ist hier vielleicht vorher schon ein Fehler in deiner Konfiguration oder vergibt dein Provider dir überhaupt öffentliche ipv6 Adressen oder ein Subnetz?
fe80 sind ja nur link-local Adressen in ipv6.

edit: gerade auf dem zweiten Bild gesehen, dass ja eine Adresse 2a00: zugewiesen wird.

Geht vom Gateway aus ipv6 korrekt? https://docs.opnsense.org/manual/ipv6.html#basic-setup-and-troubleshooting
Wenn das geht, Interfaces - LAN auf Track Interface unter ipv6?

Wenn du Firewall und Paketfilter deaktivieren musst, damit es funktioniert, müsstest du andersrum im Log ja sehen können, was geblockt wird.

Hi,

kann den Fehler bestätigen, bin auch betroffen.

Es wird aber schon daran gearbeitet https://github.com/opnsense/plugins/issues/4392

Gruß

Hallo,
ich habe damit keine Erfahrung, aber über System > Firmware > Packages kannst du dir sqlite3 als Datenbank nachinstallieren.

Reicht das vielleicht schon für deine Bedürfnisse aus?

Gruß

Hallo,
ich würde fast schon vermuten es ist ein sehr einfacher Fehler oder der Fehler ist vielleicht anderswo zu suchen.

Falls du jetzt sehr viel eingestellt hast und schon probiert hast, vielleicht noch einmal ganz von vorn zu starten und die opnsense einmal auf Werkseinstellung zu setzen?

In der Werkseinstellung ist dann erlaubt, dass LAN überall hin darf.

Und dann ein Thema nach dem anderen.

Ich verstehe es jetzt so, dass du aus dem LAN in die DMZ zugreifen willst und es soll vom Tunnel was an die DMZ und ins LAN weitergeleitet werden.
Ich würde erstmal starten mit Zugriff LAN > DMZ. Wenn das läuft dann das nächste Thema.

Wenn die Netzwerke korrekt in der opnsense eingerichtet sind, die opnsense als Gateway beim Client eingetragen ist (und keine Regeln das verbieten) wird automatisch geroutet und du musst keine zusätzlichen Routen eingeben.

Wenn du da schon Probleme hast, erstmal darauf konzentrieren und weiter suchen. Stimmt mit dem Netzwerk alles? Kannst du die DMZ IP der opnsense erreichen? Wird vielleicht doch was geblockt? (Live-Log prüfen)
Traceroute kann auch manchmal helfen. Kannst du über die opnsense deine Geräte erreichen? Entweder über SSH auf die opnsense oder sonst findest du unter Interfaces > Diagnostics auch eine GUI für Ping oder Traceroute.

Ich wünsch dir viel Erfolg!

Wenn die opnsense als Gateway eingetragen ist und du entsprechende Firewall Regeln erstellt hast, müsste geroutet werden.

Du kannst dir die Routing Tabelle anschauen unter System > Routes > Status

Fehlende Routen kannst du erstellen unter System > Routes > Configuration

Wenn Pakete an der Firewall ankommen, aber nicht am Linuxserver hast du ein Routing Problem?

Binat habe ich noch nie verwenden müssen.

Hast du IPSEC als VTI eingerichtet und Gateways und Routen dementsprechend? Falls nicht, würde das dein Setup vielleicht vereinfachen oder zumindest transparenter machen?

Entschuldige, aber ich verstehe nicht, was dein Ziel überhaupt ist.

195.xx ist doch ein öffentliches Netz und du hast es auf der DMZ? Und die DMZ scheint nicht richtig verbunden oder angeschlossen zu sein, siehe das rote X in der Übersicht.