Messages

1

Virtual private networks / Re: No HTTPS over OpenVPN Site-to-Site Tunnel

« on: December 28, 2021, 10:59:25 am »

The local OPNsense on Site B should have an IP in the same subnet as the HTTPS server, correct?

Check if you are able to ping some IP in Site A from the HTTPS server or check the routing table of that server.
The requests would only look the same for the HTTPS server perspective if you would do NAT which I assume you are not doing.

2

Virtual private networks / Re: Gateway for OpenVPN Site to Site

« on: December 27, 2021, 05:17:41 pm »

Both WAN lines have different public IPs I guess? What is written in the ovpn files on the clients? Are there multiple lines similar like this "remote x.x.x.x 1194"?
The client usually tries to connect to the servers in that order. Sounds like the 5G IP/hostname is listed as the first "remote" line. If this is the case just swap both entries.

3

Virtual private networks / Re: No HTTPS over OpenVPN Site-to-Site Tunnel

« on: December 27, 2021, 05:09:43 pm »

Sounds like the server you're trying to reach on port 443 is not sending the packets back the same route they are coming from. Is the OPNsense on Site B the default gateway for that server? If not you need to tell the server on Site B to use the OPNSense as a gateway for the originating network (Site A).

4

German - Deutsch / Re: OPNsense / *sense (Online) Usergroup?

« on: November 05, 2021, 08:52:58 pm »

Hi, ich war ne Weile nicht hier unterwegs. Gibt es im November wieder ein UG Online-Treffen? Würde mich freuen.

5

German - Deutsch / Re: UniFi AP mit OPNsense

« on: April 24, 2021, 02:48:16 pm »

Kann man schon so machen. Benutzt Du IPv6? Wenn nicht, abschalten.

Statt der Block Regel hättest du auch einen Alias anlegen können, wo alle privaten Netzwerke drin sind: 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16

Und dieses per Destination invert bei der untersten Wifigast als Destination angeben. Dann kann das Gäste-WLAN alles im Internet aber nichts bei Dir lokal. Die Regel für DNS würde ja trotzdem greifen, da sie zuerst überprüft wird.

6

German - Deutsch / Re: Netzwerkumstrukturierung Fritzbox > OpnSense

« on: April 24, 2021, 02:41:14 pm »

Rückfrage dazu:
- Was ist eine TI Box?
- was wird aktuell über die Fritzbox abgewickelt: Telefonie, Fernsehen(IPTV)?
- wie willst Du das WLAN zukünftig aufbauen? Soll das die abgelöste Fritzbox machen?

Ich bin eher dafür die Fritzbox als Internetgateway zu behalten, wenn IPTV und Telefonie darüber laufen. Ich setze die OPNsense in einem solchen Fall eine Ebene dahinter. Alle Switches sollten dann VLAN-fähig sein, dann kann man im ganzen Haus nach Wahl das Fritzbox-Netz oder eines der OPNsense Netze an einem jeweiligen Netzwerkport oder in einem bestimmten WLAN anbieten.

Ein weiterer Vorteil ist, dass man das im laufenden Betrieb umbauen kann und kaum Downtime hat. Man zieht einfach jedes Themengebiet für sich isoliert um, wie man eben Zeit hat.

Doppeltes NAT sollte man vermeiden, daher müsste man auf der Fritzbox lediglich ein paar statische Routen setzen (nicht schwierig) und ggf Ports vom WAN an die OPNsense durchreichen.


Um das VLAN-handling übersichtlich zu gestalten empfehle ich eine Controller-basierte WLAN- und Switch-Lösung, wie das Unifi System. So hat man ganzheitlich die Übersicht, welche VLANs es gibt und wo sie zur Verfügung stehen. Wenn man sowas an jedem Switch isoliert konfiguriert, verzettelt man sich leider oft.

7

21.1 Legacy Series / Re: Update 21.1.5 dead opnsense

« on: April 22, 2021, 03:38:46 pm »

Dangerous? I don't think so. Adguard works much better than Sensei and without consuming any hardware resources unlike Sensei. Wireguard-kmod works much better than the Opnsense implementation of wireguard. Much more stable and with far superior performance.

Don't have any stability issues with the OPNsense implementation of WireGuard. Can't say anything bad about the perfomance as the clients are maxing out their bandwidth.

8

Hardware and Performance / Re: Wich Hardware, akt. ZOTAC ZBOX CI329, but Realtec LAN is bad

« on: April 22, 2021, 02:43:08 pm »

Try to put a switch between WAN port and fibre-modem. Maybe that helps.

9

German - Deutsch / Re: UniFi AP mit OPNsense

« on: April 22, 2021, 08:17:10 am »

Ich nehme an das neue Netz fehlt beim Outbound NAT in der Regel. Kann das sein?

10

21.1 Legacy Series / Re: Update 21.1.5 dead opnsense

« on: April 21, 2021, 07:27:44 pm »

I updated 4 boxes today. All 4 went perfectly.

Are you able to see something on the console directly?

11

Hardware and Performance / Re: Wich Hardware, akt. ZOTAC ZBOX CI329, but Realtec LAN is bad

« on: April 21, 2021, 02:23:20 pm »

I have multiple of those boxes running at customers (for smaller branch offices).
Don't have any issue with the NICs. Even with VLANs, no problem. Maybe it's the combination of CI329 and the switch?

Do you have all hardware-features disabled? Hardware CRC, LRO and TSO?

12

German - Deutsch / Re: kleine günstige Privatwolke mit echter Firewall und andere Denkanstöße

« on: April 21, 2021, 12:15:55 pm »

Automatisiert habe ich da nichts. Wäre ein manueller Vorgang in meinem Fall.

13

Hardware and Performance / Re: Epyc embedded

« on: April 20, 2021, 03:04:16 pm »

Mulitple VMs. Windows Servers and Linux servers.

14

Hardware and Performance / Re: Epyc embedded

« on: April 18, 2021, 06:34:26 pm »

I'm running a M11SDV-8CT-LN4F with ESXi and OPNsense virtualized. Really happy with it.

15

General Discussion / Re: Running Virtualbox ON OPNSense

« on: April 18, 2021, 05:57:53 pm »

I'd recommend going the other route:
install a hypervisor on bare metal (i.e. ProxMox) and run all needed VMs including the OPNsense box virtualized. You'll always have a hard time updating an appliance like OPNsense with custom software.

Having a hypervisor gives you the opportunity to make snapshots prior to updating OPNsense. Saved me a couple of times from reinstalling.