Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - viragomann

Pages: [1] 2 3 ... 13

Virtual private networks / Re: Can reach OPNsense and internet but no LAN ressources

« on: Today at 09:46:07 am »

Quote from: HarryDasBrot on Today at 12:55:53 am

I thought using wireguard is the same as being in LAN.

You can realize this though by an outbound NAT for the Wireguard subnet, natting the source IP to the OPNsense LAN IP (masquerading).
Maybe this is desired, in case, you don't want to state a gateway on dumb devices, which do not need internet access.

Virtual private networks / Re: Can reach OPNsense and internet but no LAN ressources

« on: November 20, 2024, 09:34:46 pm »

Quote from: HarryDasBrot on November 20, 2024, 09:30:39 pm

My Printer, Switch, etc. don't have a firewall.

Do those devices have the default gateway set properly pointing to OPNsense?

Virtual private networks / Re: Can reach OPNsense and internet but no LAN ressources

« on: November 20, 2024, 03:00:50 pm »

Note that your LAN devices will block access from outside of the LAN by their own firewalls by default.

24.7 Production Series / Re: Securing Bootloader

« on: November 20, 2024, 02:43:25 pm »

Not happy with the answer you got here: https://forum.opnsense.org/index.php?topic=44122.0;topicseen?

I installed OPNsense with GELI few months ago. I cannot recall, how exactly I did it, but as I remember, it was not as hard.

And it works perfectly.

German - Deutsch / Re: LAN-Client Konnektivitätsprobleme nach einem neustart

« on: November 20, 2024, 01:15:07 pm »

Quote from: pioneer10 on November 20, 2024, 09:19:02 am

Das macht sich z.B. dadurch bemerkbar, das ich direkt nach dem Boot eines Linux-Containers keine DNS-Anfragen absetzen kann.
Code: [Select]
SRV-FIX-01:~# dig webserver01.sp-dev.intern ;; communications error to 172.16.214.1#53: connection refused ;; communications error to 172.16.214.1#53: connection refused ;; communications error to 172.16.214.1#53: connection refused

Was sieht OPNsense, wenn das Problem auftritt?
Sieht sie überhaupt die Anfragen??

Ich würde das mal mit Packet Capture untersuchen.

Finden sich im System Log verdächtige Einträge?

German - Deutsch / Re: OPENVPN als Client, ohne den gesamten Traffic

« on: November 19, 2024, 07:26:51 pm »

Verstehe nichts davon.

Quote from: WWestermann on November 19, 2024, 06:16:45 pm

Ich habe jetzt die beiden Netze als "Route" eingetragen

Hast du 2 lokale Netze?
Also Route?

In der Server Konfig wie im Beispiel ist das anzugeben.

Quote

der OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wo?
Und was ist letzteres?
Eine Firewall Regel am OpenVPN Interface braucht es, die den Zugriff erlaubt.
Wenn du diesen einschränken möchtest, dann auf die Tunnel Netzwerk als Quelle.

Quote

Wobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.

??
Der gesamte Upstream des Clients?

Wenn es ins Detail gehen soll, musst du schon mehr Details zum Setup liefern. Ohne die VPN Server Konfig, die Client Konfigs und die Subnetze zu kennen, gehen die Fragen zu weit.

German - Deutsch / Re: DNS Auflösung im internen Netz nicht möglich

« on: November 18, 2024, 11:25:37 pm »

Mit "Suchdomain eintragen" hatte ich nicht gemeint, zum Auflösen mitgeben, sondern statisch in den PC Einstellungen setzen.

In /etc/resolv.conf steht "search" mglw. schon in einer Zeile, aber ohne Wert. Falls nicht, schreibe es dazu und hänge die lokale Domäne an. Also

Code: [Select]

search <domain>

German - Deutsch / Re: OPENVPN als Client, ohne den gesamten Traffic

« on: November 18, 2024, 07:06:19 pm »

Quote from: WWestermann on November 18, 2024, 06:13:59 pm

[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]

Direkt ist nicht möglich?

In der OpenVPN Server Konfig benötigst du:

Code: [Select]

client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

General Discussion / Re: newbie stuck on multi-wan

« on: November 17, 2024, 10:39:22 pm »

Quote from: opensensical on November 16, 2024, 01:19:02 am

When I go to INTERFACES > ASSIGNMENTS and add an interface, there isn't a way to identify it as a WAN.
So, how does opnsense know if the data is coming or going?

OPNsense basically doesn't differ. On any interface traffic can go in and out, as long as the rules allow it.
So what is a WAN, depends primarily on the firewall rules.

On a WAN interface you probably want to check "block private networks" if you don't need it, which again adds filter rule to block it.
And if it has an upstream gateway you have to state it in the interface settings. This adds outbound NAT rules to this interface.

Quote

I did a speed test and my upload speed was capped with the slowest of the two services.
WAN has 500/500
WAN2 has 500/10
The upload speed was 600/10
So I gained a bit on download and lost a ton on upload.

How did you configure the gateway group?

If both gateways have the same tier and weight, OPNsense just go out on any of them and the connection will stick on this gateway. If cannot use both in parallel.
If you want to prefer one line you have to set the weight accordingly.
Did you even read the "Unequal Balancing (Weight)" in the docs article you mentioned above?

Tutorials and FAQs / Re: traffic blocked Default deny / state violation rule

« on: November 17, 2024, 07:11:07 pm »

Network mask 255.255.255.255 on the HA lead the device to send any packet to the default gateway, while other devices with a correct mask access it directly.
I guess, its mask should rather be 255.255.255.0.

Tutorials and FAQs / Re: traffic blocked Default deny / state violation rule

« on: November 17, 2024, 06:42:03 pm »

So is one of the devices in multiple network segments?

If not, this could also happen due to a wrong network mask on the HA.

German - Deutsch / Re: DNS Auflösung im internen Netz nicht möglich

« on: November 17, 2024, 06:37:36 pm »

Es könnte an anderer oder fehlender Suchdomain liegen.

Um das herauszufinden, hänge an den Hostnamen den Domainnamen an, den du der OPNsense in den General Settings gegeben hast, dran.
Funktioniert das, sucht dein PC in einer anderen Domain und du müsstest da die DNS Suchdomain eintragen.

Tutorials and FAQs / Re: traffic blocked Default deny / state violation rule

« on: November 17, 2024, 06:02:48 pm »

The SYN-ACK flag indicates, that the SYN flag didn't pass your OPNsense.
This probably might be an asymmetric routing issue.

This can happen, if one of the involved devices is multi-homed.

Maybe you can provide some details about your network to clarify the issue.

24.7 Production Series / Re: DynDNS and MX-record

« on: November 17, 2024, 05:28:25 pm »

But you can specify the host name of your dynacmic IP as MX, which is static. So there should be no need to update it.

German - Deutsch / Re: DNS Auflösung im internen Netz nicht möglich

« on: November 17, 2024, 05:25:13 pm »

Quote from: ziegler on November 17, 2024, 05:15:35 pm

Vom PC mit DHCP erreiche ich diesen jetzt auch per Name, jedoch umgekehrt nicht.

Auf die Erreichbarkeit eines Hosts haben vor allem Firewalls und Router Einfluss. Also hier mal die OPNsense, die dazwischen liegt, aber auch die Firewall am Ziel-Host selbst.

Also klären wir hier besser mal, ob der Hostname aufgelöst werden kann, um die Dinge auseinander halten zu können.

Wird die richtige IP angezeigt, wenn du den Hostnamen pingst?
Falls nicht, könnten nslookup oder dig detailliertere Informationen liefern, wie bspw. welcher Server abgefragt wird.
Falls doch, liegt es an den Firewalls, vermutlich an der des Zielgeräts.

Pages: [1] 2 3 ... 13