Messages

Hallo,

Wie lege ich die Firewall-Regeln korrekt an?

Das ist eine sehr grundsätzliche Frage. Schon mal den entsprechenden Artikel in den Docs gelesen?

Im einfachen Fall sind das zwei Regeln mit Action = pass und dem jeweiligen Port als Ziel.
Ziel-Host sowie Quell-Host IP könntest du auch noch angeben, um den Bereich der erlaubten Hosts einzuschränken.

Alternativ kannst du einen Alias für die beiden Ports anlegen und diesen als Zielport verwenden. Dann ist nur einer Regel je Interface nötig.

Muss ich dafür mit "in" oder "out" Regeln arbeiten?

Beides möglich. "in" ist Standard und reicht auch vollkommen. Die Regel ist dann auf dem Interface anzulegen, auf dem der Zugriff reinkommt.

Was ist die empfohlene Vorgehensweise, um den Verkehr beidseitig nur auf Port 1433 und 53 zu erlauben?

Du kannst es auch mit einer einzigen Regel bewerkstelligen, wenn du eine Floating anlegst. Da kannst du die Interfaces, an denen sie angewandt wird anhaken.

I even did some testing on this and I came up with the idea to use the WAN interface address as source in outbound NAT rule. With this the rule is applied as expected then. So obviously the OpenVPN client instance basically uses the (WAN) interface address as source.

That seems not clear to me, however, and should be mentioned in the docs, but found nothing there. I'd expected, that services running on OPNsense itself use the loopback address and I already had an outbound NAT rule for it in place.

When the Interface IP addressing is set to DHCP client , the OpenWRT router can perform DNS queries to the DHCP assigned servers.
When a Static IP address is set on the LAN interface and manually setting the DNS servers Network> Interfaces > Edit > Advanced Settings > Use Custom DNS , router cannot perform any query to DNS servers.

Even if you state the same DNS server as the DHCP pushes?

I'm running a 25.4 installation in the cloud. The VM has a dedicated public WAN interface IPv4, but I want to use an "elastic IP" (x.y.z.125) for the outbound traffic.
So the outbound NAT is in hybrid mode and I've created rules for all internal network and the loopback subnet to translate the source address to x.y.z.125.

This works well for all outbound traffic, even IPSec on OPNsense itself, but the rule is completely ignored by OpenVPN client instances (legacy and new).

In the legacy client settings there is an option to state a certain interface IP though, which would work, but in new instances this option is sadly missing.

As I want to migrate a client to a new instances type, I'm wondering if there is any way to use a certain VIP as source address instead of the primary interface address.
The outbound NAT rule doesn't work. I also tried to add a rule for 127.0.0.0/8 with no avail. Even if I switch the outbound NAT into manual mode and there is no rule with the primary interface IP as NAT address, OpenVPN uses it.

Die Kommunikation zwischen WLAN Geräten ist am AP erlaubt?

Ach ja, das IPv6 hatte ich gar nicht beachtet.
Ich finde es aber seltsam, dass das mDNS Paket ausschließlich auf IPv6 gesendet wird. Das würde jedenfalls erfordern, dass auch der PC IPv6 unterstützt.

Das nächste wäre ein IGMP Paket. Möglicherweise braucht der Drucker auch das. Allerdings ist mir hier die Quell-IP 0.0.0.0 nicht klar.

Vielleicht solltest du erstmal auf einer anderen Plattform herausfinden, was genau der Drucker benötigt. Das könnten auch mehrere Protokolle sein.

Was ich sehe, aber nicht eindeutig meinem Drucker zuweisen kann:

Code Select Expand

Code Select Expand

WLAN        2025-05-11T10:29:32    [fe80::ebf4:cfd5:5887:6766]:5353    [ff02::fb]:5353    udp    Block everything   
WLAN        2025-05-11T10:28:57    0.0.0.0    224.0.0.1    igmp    Block everything

Das ist anscheinend mDNS.

Versuche es mal damit: Multicast DNS Proxy.

I wish I understood better why, but sometimes it's like this. :)

The point here is that if you only redirect DNS request to the pihole:
The client with the IP, say 10.0.0.100 requests the DNS server, say 8.8.8.8. OPNsense redirect the request packet to the pihole, which is 10.0.0.10. The pihole sees 10.0.0.100 as the source address of the request. Hence it sends the respond packet directly to this IP. The source address in the respond packet is the 10.0.0.10, but the client expects a respond from 8.8.8.8 actually and will ignore the packet.

With the outbound NAT rule, the pihole sees 10.0.0.1 as source and hence sends responses back to OPNsense. OPNsense translate the source IP back to 8.8.8.8 according to its state table.

When there is no internet on WAN1, I get internet from WAN2, but I cannot connect to OpenVPN Server...

Even if WAN1 gateway is down?

Leider konnte ich nicht wirklich eine Anleitung finden um meine bestehende Verbindungen zu Migrieren so das ich bei den Clienten keine Änderung machen muss.
Ist das überhaupt möglich?

Ich denke schon, sofern du nicht spezielle Custom Settings hast.

Anleitungen zur Einrichtung gibt es im Netz.
Eine gesondertes Tutorial für die Migration kenne ich nicht.

Die Parameternamen der neuen Instanzen sind aber nicht so sehr anders, da sollte man die Zusammenhänge schon finden.
Versuche es einfach. Du kannst du die neue Instanz parallel einrichten, ohne sie gleich zu aktivieren und dann zum Testen Aktivierung umschalten. Solltest du kein Glück haben, kannst du immer noch zurückschalten.

Grüße

Hallo,

ich denke, ich verstehe die Anforderungen nicht, oder es ist eine Selbstverständlichkeit und ich halte die Frage für überflüssig.

Natürlich kann man mehrere VPN Verbindungen einrichten, Site-to-site, Client-to-site oder Access Server. Man kann mehrere Clients oder mehrere Server betreiben. Es gibt für die Anzahl kein leicht erreichbares Limit.

Was dieser "Workaraound" mit dem Custom VPN Provider macht, weiß ich aber nicht. Aber ich denke, auch das wird in OPNsense zu realisieren sein.

Eine Gruppe von Geräten über verschiedene VPN Verbindungen routen, lässt sich mit Policy-routing Regeln realisieren. Das sind Firewall Regeln, in welchen das zu nutzende Gateway (also der VPN Server) angegeben wird.
Die Geräte-Gruppe kann mittels eines Alias als Quelle angegeben werden, der die jeweiligen IPs enthält. Gleiches ist für das Ziel möglich, um nur bestimmte IPs oder Domains für diese Route zu erfassen.

Grüße

Danke für die ausführliche Erklärung.

Hab es verstanden und merke es mir vor für den Fall, dass wieder mal der Bedarf da ist. Das gekaufte SAN-Zertifikat läuft ja auch mal aus. :-)

Super! Danke. :-)

Habe in dem verlinkten Tread und auf Github schon weiter gelesen. Die Zone ist der Trick. Das sollte hinzubekommen sein.

Grüße

Man muss im DNS der Wildcard-Domains nur einen einzigen CNAME auf die updatefähige Domain eintragen

Diesen Teil hatte ich bislang noch nicht verstanden. Ist das irgendwo ausführlicher erklärt?

Die DNS Challenge setzt ja einen TXT Eintrag in der Domain, für welche ein Wildcard-Zertifikat angefragt wird.
Also meine Domain: meineDomain.tld.
Der Zert-Aussteller sucht in tld nach dem zuständigen Nameserver und bekommt den von meinem DNS Provider. Diesen fragt er dann nach dem jeweiligen TXT Record in meineDomain.tld
Wie ein CNANE diesen überzeugen kann, einen anderen DNS Server abzufragen, ist mit nicht klar.

Interessant.

Das wäre dann allerdings ein Single point of failure, den ich mir lieber nicht in eine Produktivumgebung einbauen möchte.
Für den Hausgebrauch aber sicher nett.