Messages

Hi zusammen, habe am We den Aufbau etwas mehr produktiv versucht, leider bekomme ich am LAN keine Verbindung ins Routing Netz

Hier nochmal die Physischen Verbindungen:

FritzBox (Internet) 192.168.0.1 ->
opnsense WAN: 192.168.0.2
opnsense LAN: 192.168.1.1 ->
DDWRT Router 1 ( 192.168.1.10) ->
DDWRT Router 2 (192.168.1.20)

Die DDWRT machen VLAN und die dazugehörigen DHCP

Router 1 hat 3 VLAN
Router 2 hat 1 VLAN

Alle Clients sitzen in den VLAN (managed by DDWRT)

Jetzt das Problem/Aufgabe :)

Die Clients kommen auf die Router und in alle Client Netze (ping funktioniert prächtig) - auch Router übergreifend.
Die DDWRT können sich auch in den Client Netzen bewegen.
Auch das Pingen von Internet (per DDWRT Diagnose) funktioniert

Problem: die Clients kommen nicht auf den Gateway (192.168.1.1) dieser ist in Router 1 als Gateway eingestellt.
Router 2 hat als Gateway den Router 1 hinterlegt.

Meine Theorie: wenn der Router 1 die opnsense als Gateway nutz brauche ich KEINE Routing Regel ins 192.168.1.0 Netz.
Ist das richtig?

Die Router können ja auch ins 0.1 Netz und Internet pingen, nur die Clients bleiben bei 1.10 / 1.20 stecken.
Komisch ist auch, im 192.168.1.0 Netz sitzen noch 3 Managed Switches. Diese kann ich alle 3 nicht direkt ansprechen (auch nicht von den Routern aus) - also vielleicht doch eine Routing Regel, aber welche, wo?

Habe mal eine Regel im Router 1 versucht - 192.168.0.0 / Gateway 192.168.1.10 Das hat aber nicht funktioniert.

Habe den gesamten Samstag mit dem Problem gekämpft, bis meine Familie den Internet ausfall nicht mehr Lustig fand :D

Hoffe ihr könnt mir den richtigen anstoß bringen :)

After reset opnsense to factory defaults, now all work with the same settings :)

ICMP ist aktiviert.

Der Router macht auch ein Wifi mit eigenem DHCP auf 192.168.20.1
Wenn ich mit Handy dran bin kann ich den router auf 1.20 pingen.

Habe auch eine Regel in der Fritte von 192.168.1.0 auf 192.168.0.2

Somit kann ich von WAN Seite die 192.168.1.1 pingen, aber nicht weiter. 1.20 funktioniert schon nicht mehr, ...

NACHTRAG: Wenn der DDWRT die 192.168.0.20 hat, funktioniert alles, wie es soll

NACHTRAG2: Habe gerade mal versucht mit einer einer VM direkt am LAN Port. Hier auch selbes Problem, ... Damit kann ich eine fehlerhafte Einstellung des DDWRT ausschießen, ...

Hi all

habe sein 3 Tagen eine UTM110/120 hier mit opnsense neu geflashed.

Aufbau aktuell zum testen:

FritzBox (192.168.0.1) ->
opnsense (WAN 192.168.0.2 - LAN 192.168.1.1) ->
DDWRT Router (192.168.1.20 / Gateway 192.168.1.1)

Rule IPv4 all allow ist an

Der DDWRT wird in der Übersicht bei opnsense aufgelistet.

In der Diagnose im DDWRT kann ich weder 1.1 noch 0.1 pingen.
Auch in der Diagnose in opnsense kann ich 1.20 nicht pingen.

Wo ist mein denkfehler?

Hi @ll

ich habe auf meinem Proxmox eine opnsense mit ACME Client und HAProxy installiert.
HAProxy ist vorübergehend deaktiviert.
Angeschlossen an einem Trunk Port.

WAN -> 192.168.0.x
LAN -> 192.168.3.x
OPT1 -> 192.168.5.x

Firewall:
Regeln:
Port 80/443 komplett offen
NAT:
Port 443 an LXC (Nextcloud) durchgereicht

Nextcloud hat Port 80 Weiterleitung auf https in apache2

Erreichbar ist die Nextcloud via URL, aber mit SSL Fehler. (Weil altes abgelaufenes Zertifikat)
Bisher habe ich die Weiterleitung und Zertifikat mit nginx Proxy Manager gemacht (auch SSL Zert). Das funktioniert auch soweit.

Ports sind in der Fritzbox aktuell geändert, von nginx(alt) auf opnsense (neu)

Jetzt möchte ich aber die Firewall zusammen mit HAProxy, alles zentral an einem "Ort" absichern.
Nextcloud ist nicht der einzige online Dienst, weitere werden auch noch umziehen "dürfen".

Jetzt zum Problem:
Ich bekomme kein SSL Zertifikat.
Fehlermeldung:

[Fri Feb 2 16:10:17 CET 2024] Invalid status, cloud.foobar.de:Verify error detail:XX.XX.XX.XX: Fetching http://cloud.foobar.de/.well-known/acme-challenge/-zTHYZPggWICWnvdIInCv9lp3r8DrJD-1mggc8ocJ4Q: Timeout during connect (likely firewall problem)


/usr/local/opnsense/scripts/OPNsense/AcmeClient/lecert.php: AcmeClient: The shell command returned exit code '1': '/usr/local/sbin/acme.sh --issue --syslog 6 --log-level 1 --server 'letsencrypt' --webroot /var/etc/acme-client/challenges --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/65bc05d9b529e5.48171601' --certpath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/cert.pem' --keypath '/var/etc/acme-client/keys/65bc05d9b529e5.48171601/private.key' --capath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/chain.pem' --fullchainpath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/fullchain.pem' --domain 'cloud.foobar.de' --days '1' --force --keylength 'ec-384' --accountconf '/var/etc/acme-client/accounts/65bc04db36f048.46625748_prod/account.conf''

- Konto ist auf OK(registriert)
- Challenge ist HTTP-01 / HTTP-Dienst ist OPNsense Webdienst / Schnittstelle WAN

Seit 3 Tagen bin ich am rumprobieren und komme jetzt nicht mehr weiter.
Bitte um input :)