Messages

Another small update.

I got it running again. I remembered that it was not the MultiWAN story that prevented the updates but an active Wireguard config.

I have now deactivated this and everything is working again.

However, I would like to understand why I can ping external IP addresses and want URLs via the Wireguard address?

Greetings
Joe

Hi,

Backup restored and now everything works again. At least I can access the WebUI and the firewall via SSH.

/etc/resolv.conf looks like this:

Code Select Expand

domain localdomain
nameserver 127.0.0.1
nameserver 1.1.1.1
search localdomain

route -n get 1.1.1.1 shows:

Code Select Expand

root@OPNsense:~ # route -n get 1.1.1.1
   route to: 1.1.1.1
destination: 1.1.1.1
    gateway: 89.187.208.22
        fib: 0
  interface: pppoe1
      flags: <UP,GATEWAY,HOST,DONE,STATIC>
recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1492         1         0

I would spontaneously remove 127.0.0.1 as DNS.

Any other ideas?

Greetings
Joe

Hi,

@dseven: That's exactly what I've done now.

@Patrick M. Hausen: Unfortunately, the command did not work. Apparently the command was formatted incorrectly.

However, it was difficult to tell because the messages flew across the screen at high speed.

Something about a "mbuf" and "buffer overflow" or something similar.

As I said, now I can at least get back to the WebUI, but strangely enough I still can't ping the local IP, but SSH works too. Probably some cache or something.

Many thanks for your help. I will now turn to my original error...

Bye Joe

Hi,
Thank you very much for the quick reply.

Unfortunately I seem to have locked myself out when troubleshooting. I read in another post that enabling hardware CRC would have helped.

I did that and now I can no longer access the OPNsense.

When I'm further along here, I'll write you the results straight away.

Thank you very much.

Greetings
Joe

Hi everyone,

I currently have the issue that I can no longer make updates on my OPNsense. It seems that the URLs can no longer be resolved correctly.

A quick test on the CLI confirms this. I can ping external IP addresses from the firewall but not URLs.

From the rest of the network this works without problems, but I also use an Adguard DNS server for all my devices in the network. On the OPNsense I have set 1.1.1.1 as DNS under the general settings.

However, the problem only occurred after I had created a MultiWAN configuration. I had no problems before that.

I had already posted a similar problem here in the middle of the year but unfortunately did not get an answer. At that time I was able to solve the problem by dissolving or deactivating the MultiWAN. This no longer works.

At that time, I also suspected that the gateway was not configured correctly. Now I'm thinking more of the DNS server.

Could someone possibly help me here? I'm at the end of my rope.

Thank you very much

Greetings

Joe

Hi everyone,

as already written in the headline, I have unchecked "Disable Hardware CRC" to solve another problem.

Now I can no longer connect to the firewall. Neither via WebUI nor SSH. I can no longer ping it either.

The rest of the network still seems to be running, but how do I get access to the system again?

Serial or via keyboard and monitor would work, but I have no idea how to enable hardware CRC again via the CLI.

Can anyone here help me?

Thank you very much.

Greetings
Joe

Hi zusammen,

ich hätte mal eine Frage bezüglich einem OPNsense HA Aufbau.

Ich habe mir die Tage einmal einen solchen virtuell in meinem Homelab aufgebaut. Ich war am Anfang faul und habe als User für die Synchronisierung den "root" User genommen und für das CARP Interface eine ANY ANY Regel erstellt.

Danach schien auch alles perfekt zu funktionieren.

Weil ich das Ganze ja auch korrekt lernen möchte, habe ich mich umgeschaut welche Firewallregeln ich genau für das CARP Interface benötige und und welche Userberechtigungen ein dedizierter User benötigt.
Leider bin ich in der OPNsense Doku dazu nicht fündig geworden, weshalb ich auf die Doku von pfSense ausgewichen bin.
Als erstes habe ich auf der Master Firewall die entsprechenden Regeln auf dem Interface eingetragen und dann aktiviert. Diese Regeln sind dann scheinbar auch an die Secondary Firewall synchronisiert worden. Danach habe ich auf dem Primären System einen neuen User angelegt und diesem dann die Berechtigung für den Endpoint "/status_habackup.php" gegeben. Leider unterscheiden sich OPNsense und pfSense mittlerweile stark voneinander weshalb mir die pfSense Doku auch nicht mehr geholfen hat und ich raten musste... :-(

Scheinbar wurde dieser User aber nun nicht mehr synchronisiert weshalb ich erst annahm auch in den Firewallregeln gibt es mittlerweile einen Unterschied und ich habe wieder alles auf ANY ANY zurück gestellt.

Von da an ging aber gar nichts mehr. Ich habe etliche verschiedene Dinge probiert, aber wenn ich manuell eine Synchronisation anstoße tut sich ewig gar nicht und dann bekomme ich die Meldung das die Backup Firewall entweder nicht eingerichtet oder nicht erreichbar ist...

Eingerichtet ist sie definitiv und pingbar über das CARP Netzwerk ist sie auch.

Ich verstehe das ehrlich gesagt nicht und würde mich freuen wenn mir jemand das Verhalten erklären könnte. Im schlimmsten Fall kann ich die beiden virtuellen Systeme ja wieder auf Factory Default setzen und von vorne beginnen. Allerdings kann das ja immer wieder passieren und ich würde gerne wissen wieso???

Hilfe ist sehr willkommen.

Vielen Dank

Joe 

Hi zusammen,
ich bin jetzt einen Schritt weiter. Zumindest funktioniert jetzt wieder alles. Allerdings würde ich das gerne verstehen. Aktuell macht das verhalten für mich keinen Sinn...

Ich habe eben noch einmal die Virtual IPs auf der WAN Schnittstelle geprüft und dabei festgestellt, das eine der virtuellen externen IPs anstelle des WAN Interface, das LAN Interface eingerichtet hatte. Das habe ich geändert und es ging erst einmal überhaupt nichts mehr. (Gar kein Ping mehr nach extern, auch von der WAN Schnittstelle nicht mehr).
Danach habe ich die Routingeinträge geprüft und festgestellt das ich keinen Default Routing Eintrag mehr hatte. Also auch hier noch einmal das entsprechende Gateway überprüft. Hier hat allerdings alles gepasst.
Trotzdem habe ich die Konfig noch einmal abgespeichert und aktiviert.

Seitdem geht auch wieder alles...

Kann mir das bitte einer erklären?

Vielen Dank

Joe

Hi zusammen,

ich habe gerade in unserem Demolab ein Update der OPNsense von 20.1.3 auf 20.1.4 gemacht und seit dem Neustart der Firewall keinen Internetzugang mehr für die Clients.
Ein Ping vom WAN Interface aus an beispielsweise 1.1.1.1 funktioniert. Lasse ich das Interface allerdinsg auf "Default" komme ich nicht raus.
Wir haben insgesamt 5 öffentliche IPs auf der WAN Schnittstelle:
xxx.xxx.xxx.170 direkt auf der WAN Schnittstelle
xxx.xxx.xxx.172-174 als virtuelle IP auf der WAN Schnittstelle
Gateway ist die xxx.xxx.xxx.169

LAN seitig gibt es nur die 10.10.2.2 der OPNsense und die 10.10.2.10 welches unser Layer3 Switch ist. 10.10.2.0/24 ist dabei unser Transfernetz auf all die anderen Netzwerke (172.16.0.0/12).

Routen sehen so aus:

Code Select Expand

Internet:
Destination        Gateway            Flags     Netif Expire
default            xxx.xxx.xxx.169      UGS        bce1
10.10.2.0/24       link#2             U          bce1
TSC-OPNsense-01    link#2             UHS         lo0
10.10.100.0/24     10.10.100.2        UGS      ovpns1
10.10.100.1        link#12            UHS         lo0
10.10.100.2        link#12            UH       ovpns1
10.10.101.0/24     10.10.101.2        UGS      ovpns2
10.10.101.1        link#13            UHS         lo0
10.10.101.2        link#13            UH       ovpns2
10.10.102.0/24     10.10.102.2        UGS      ovpns3
10.10.102.1        link#14            UHS         lo0
10.10.102.2        link#14            UH       ovpns3
localhost          link#7             UH          lo0
172.16.0.0/12      10.10.2.10         UGS        bce1
172.24.71.128/28   xxx.xxx.xxx.169      US         bce1
192.168.200.0/24   link#3             U           ix0
TSC-OPNsense-01    link#3             UHS         lo0
xxx.xxx.xxx.168/29   link#2             U          bce1
TSC-OPNsense-01    link#5             UHS         lo0
xxx.xxx.xxx.172      link#2             UHS         lo0
xxx.xxx.xxx.173      link#5             UHS         lo0
xxx.xxx.xxx.174      link#5             UHS         lo0


Sieht für mich erst einmal gut aus. Persönlich sehe ich eher ein Problem beim NAT. Allerdings weiß ich nicht wie ich da ansetzen kann. Wenn ich das richtig sehe sind keine automatischen NAT Regeln erstellt worden.

Bitte ich bräuchte wirklich dringend Hilfe...

Vielen Dank

Gruß

Joe

Hello,
thank you for the quick response.

I would like to make the screenshots for you. However, this is already almost productive and I would have to make almost all relevant information unrecognizable.
However, I have the tunnel running now (my counterpart on the second site has initiated the connection). However, I can't get it to the remote network to be routed.
A traceroute shows that the default gateway is taken.

What could be the reason for this?

Thanks a lot

Greeting

Joe

Hi, everybody,
we have here in our lab an OPNsense Firewall with the latest software.
There are three ports (LAN, WAN, VPN). At the WAN port our ISP has switched us a total of 5 usable external IP addresses.
The first of these IP addresses uses our WAN interface directly. Another one I would like to use to set up an IPsec VPN. Unfortunately I seem to miss something.
I have entered the additional IP as a virtual IP and selected it as interface in the IPsec settings. After that I checked the firewall rules of the WAN interface. Unfortunately the VPN rules do not seem to be created automatically. Therefore I created them manually.
But I still can't get a tunnel.
Does anyone have an idea what else I could look at?

BTW. Another IPsec VPN which is directly on the WAN interface works fine. There the firewall rules are created automatically.

Thanks a lot

Greeting

Joe

So jetzt hab ich auch ein "kleines" ::) Netzwerkdiagramm aufgemalt. Ich hoffe es macht den Aufbau ein wenig verständlicher.
Vielleicht kurz zur Erklärung. Die ganzen 172er Netze sind zumeist VMs an ihren jeweiligen virtuellen Switchen. Diese hab ich jetzt mal weggelassen, sonst wäre es zu kompliziert geworden. Routing zwischen diesen ganzen Netzen machen die beiden L3 Switche. Die OPNsense kümmern sich nur um das was von extern kommt, vom Produktivnetz, VPN usw.
Das 172.18.0.0/16 Netz ist ausschliesslich Management. Also OOB Schnittstellen von Switchen, iDRAC, usw. Und nun möchte ich halt einen dedizierten physikalischen Port für das Management an der OPNsense haben.

Ich glaube auch, das wir schon einen Schritt weiter sind. Wir hatten das Problem das wir beim testen immer irgendwie aus dem falschen Netz kamen. Wir haben jetzt einmal eine etwas zusammengestuzte Testumgebung zusammengebaut. Hier scheint alles zu funktionieren.

Uns hat speziell das Verständnis von Gateways (Upstream-Gateway), Priorität und statischen Routen etwas verwirrt.

Wenn wir das jetzt korrekt verstehen, ist nur das ISP Gateway ein Upstream-Gateway (0.0.0.0/0). Alle anderen nicht. Statische Routen müssen auch keine angelegt werden, wir haben ja in jedem Netzwerk ein physischen Beinchen.

Benötigen wir noch eine Priority für die jeweiligen Gateways?

Wen es interessiert:

Diese Umgebung ist tatsächlich eine Lab-Umgebung. Auch wenn hier viel Wert auf Redundanz gelegt wurde soll hier hauptsächlich die Machbarkeit gezeigt werden. Nichtdesto trotz ist gerade dieser Bereich des Netzwerks unser Rückrat im Demolab und sollte funktionieren.
Wir betreiben rund 400 VMs für die verschiedensten Szenarien, inkl. Schulungen, etc. Meine Kollegen und auch externe Partner verbinden sich per VPN ins Lab und demonstrieren Kunden beispielsweise verschiedene Produkte.
Ich sage immer, das alles ist "Semi-Produktiv"  :o ;D

Gruß

Joe

Hi banym,

ja das dachte ich mir auch. Ich hatte erst eine ASCII Grafik welche aber total sche... dargestellt wurde. Gerade bastel ich eine Grafik in Visio...

Gruß

Joe

Hallo zusammen,

ich sitze gerade mit meinem Kollegen zusammen und wir überlegen uns für unser Demolab gerade ein neues Netzwerkdesign. Als Firewall soll OPNsense zum Einsatz kommen.

Leider stehen wir beide gerade wie der "Ochs vorm Berg" und kommen nicht weiter.

Folgendes soll aufgebaut werden:

OPNsense als Firewall zw. dem ISP und unserem Lab. In unserem Lab existieren jede Menge /24 Netzwerke aus dem Bereich 172.16.0.0/16. Das Routing zwischen diesen Netzwerken soll ein VRRP Verbund aus zwei L3 Switchen machen. Das funktioniert auch ganz gut. Die OPNsense wäre dann an diese beiden Switche über ein Transfernetz (10.10.2.0/24) angeschlossen.
Daneben soll es ein dediziertes OOB Management Interface für die OPNsense geben. All unsere Geräte haben in irgendeiner Form eine dedizierte Management Schnittstelle mit dem IP Bereich 172.18.0.0/16.
Um auch aus unserer Produktivumgebung auf unser Lab zu kommen existiert auch ein Transfernetzwerk nämlich das 10.10.1.0/24 Netz.

Wir hätten jetzt gedacht wir legen für jedes dieser Netze einen physikalischen Port auf der OPNsense an und erstellen außerdem passende Gateways für die jeweiligen Netze.

Leider happert es hier ein wenig. Wir kämpfen hier mit den Default-Gateway und Metriken und meistens schiessen wir uns selbst ab und müssen um weiter zu kommen ein Backup einspielen.

Vielleicht kann uns einer mal seine Augen leihen und mit drüber schauen. Vielleicht sehen wir den Wald vor lauter Bäumen nicht mehr... :-)

Vielen Dank

Gruß

Joe

Hello Community,
I'm about to take a closer look at the Sensei plugin for OPNsense.
In general I think it's great that the developers offer it freely as a community variant. Thank you very much for that.
But I have also just looked at the prices for the Premium Subscription. If I see that correctly, I find the website a bit confusing, there is only the annual fee of almost 500,-€ as the smallest unit. This starts with 25 users.

Would it be possible, or maybe it already exists and I just don't see it, to offer a SOHO or Home variant?

I was thinking of a home license for max. 5-10 users and a price which also appeals to home users (about 50-80,-€ per year???).
The SOHO license then for 10-25 users and the price adjusted accordingly somewhere in between.

I am aware that many home and SOHO users may be able to do without the premium features. However, there are certainly many who would like to use these features and are a little deterred by the price.

Maybe an idea, which it is worth to think about.

Many thanks

BOSSJoe