Topics

Hi everyone,

I currently have the issue that I can no longer make updates on my OPNsense. It seems that the URLs can no longer be resolved correctly.

A quick test on the CLI confirms this. I can ping external IP addresses from the firewall but not URLs.

From the rest of the network this works without problems, but I also use an Adguard DNS server for all my devices in the network. On the OPNsense I have set 1.1.1.1 as DNS under the general settings.

However, the problem only occurred after I had created a MultiWAN configuration. I had no problems before that.

I had already posted a similar problem here in the middle of the year but unfortunately did not get an answer. At that time I was able to solve the problem by dissolving or deactivating the MultiWAN. This no longer works.

At that time, I also suspected that the gateway was not configured correctly. Now I'm thinking more of the DNS server.

Could someone possibly help me here? I'm at the end of my rope.

Thank you very much

Greetings

Joe

Hi everyone,

as already written in the headline, I have unchecked "Disable Hardware CRC" to solve another problem.

Now I can no longer connect to the firewall. Neither via WebUI nor SSH. I can no longer ping it either.

The rest of the network still seems to be running, but how do I get access to the system again?

Serial or via keyboard and monitor would work, but I have no idea how to enable hardware CRC again via the CLI.

Can anyone here help me?

Thank you very much.

Greetings
Joe

Hello Community,

I need your advice.

Yesterday I noticed that I can no longer update my OPNsense. Apparently the update servers are no longer available. Since I found this a bit strange, I tried the following:

1. changed the mirror server. --> No change except the resolved IP address.
2. pinged 1.1.1.1 from the console. --> Works without any problems.
3. i pinged "google.de". --> The IP is resolved but I can't seem to reach it.
4. i have performed a "traceroute google.de". --> Similar behavior as in point 3. IP is resolved but I can't get past the first hop.

After various searches here in the forum and via Google, I then tested various settings. For example, I deactivated IPv6 or favored IPv4, etc.

No change so far. What I find strange is that everything works perfectly behind the firewall and I have already made many updates and never had any problems. I haven't actually changed anything.

For your information. I have an FTTH connection. I have connected the WAN interface "igb1" to the ONT of the provider. I then created a VLAN with ID 7 on the OPNsense and assigned it to "igb1". Then I configured the WAN interface as a PPPoE interface with VLAN 7 as the interface. I only had to enter the user name and password there. I then got the IP address and gateway automatically.

Versions are:
OPNsense 24.1.5_2-amd64
FreeBSD 13.2-RELEASE-p11
OpenSSL 3.0.13

Can someone please explain to me what is not working. I am at a loss.

Thank you very much

Greetings
Joe

Update:
I have just noticed that the IP of the local Wireguard interface is used as the source IP when I perform a ping. This does not seem correct to me. How can I change this?

Update 2:
I have now deactivated the Wireguard server. The update has been working since then. But I still don't understand why only the local system doesn't come out or seems to use the wrong source IP.

Hi zusammen,

ich hätte mal eine Frage bezüglich einem OPNsense HA Aufbau.

Ich habe mir die Tage einmal einen solchen virtuell in meinem Homelab aufgebaut. Ich war am Anfang faul und habe als User für die Synchronisierung den "root" User genommen und für das CARP Interface eine ANY ANY Regel erstellt.

Danach schien auch alles perfekt zu funktionieren.

Weil ich das Ganze ja auch korrekt lernen möchte, habe ich mich umgeschaut welche Firewallregeln ich genau für das CARP Interface benötige und und welche Userberechtigungen ein dedizierter User benötigt.
Leider bin ich in der OPNsense Doku dazu nicht fündig geworden, weshalb ich auf die Doku von pfSense ausgewichen bin.
Als erstes habe ich auf der Master Firewall die entsprechenden Regeln auf dem Interface eingetragen und dann aktiviert. Diese Regeln sind dann scheinbar auch an die Secondary Firewall synchronisiert worden. Danach habe ich auf dem Primären System einen neuen User angelegt und diesem dann die Berechtigung für den Endpoint "/status_habackup.php" gegeben. Leider unterscheiden sich OPNsense und pfSense mittlerweile stark voneinander weshalb mir die pfSense Doku auch nicht mehr geholfen hat und ich raten musste... :-(

Scheinbar wurde dieser User aber nun nicht mehr synchronisiert weshalb ich erst annahm auch in den Firewallregeln gibt es mittlerweile einen Unterschied und ich habe wieder alles auf ANY ANY zurück gestellt.

Von da an ging aber gar nichts mehr. Ich habe etliche verschiedene Dinge probiert, aber wenn ich manuell eine Synchronisation anstoße tut sich ewig gar nicht und dann bekomme ich die Meldung das die Backup Firewall entweder nicht eingerichtet oder nicht erreichbar ist...

Eingerichtet ist sie definitiv und pingbar über das CARP Netzwerk ist sie auch.

Ich verstehe das ehrlich gesagt nicht und würde mich freuen wenn mir jemand das Verhalten erklären könnte. Im schlimmsten Fall kann ich die beiden virtuellen Systeme ja wieder auf Factory Default setzen und von vorne beginnen. Allerdings kann das ja immer wieder passieren und ich würde gerne wissen wieso???

Hilfe ist sehr willkommen.

Vielen Dank

Joe 

Hi zusammen,

ich habe gerade in unserem Demolab ein Update der OPNsense von 20.1.3 auf 20.1.4 gemacht und seit dem Neustart der Firewall keinen Internetzugang mehr für die Clients.
Ein Ping vom WAN Interface aus an beispielsweise 1.1.1.1 funktioniert. Lasse ich das Interface allerdinsg auf "Default" komme ich nicht raus.
Wir haben insgesamt 5 öffentliche IPs auf der WAN Schnittstelle:
xxx.xxx.xxx.170 direkt auf der WAN Schnittstelle
xxx.xxx.xxx.172-174 als virtuelle IP auf der WAN Schnittstelle
Gateway ist die xxx.xxx.xxx.169

LAN seitig gibt es nur die 10.10.2.2 der OPNsense und die 10.10.2.10 welches unser Layer3 Switch ist. 10.10.2.0/24 ist dabei unser Transfernetz auf all die anderen Netzwerke (172.16.0.0/12).

Routen sehen so aus:

Code Select Expand

Internet:
Destination        Gateway            Flags     Netif Expire
default            xxx.xxx.xxx.169      UGS        bce1
10.10.2.0/24       link#2             U          bce1
TSC-OPNsense-01    link#2             UHS         lo0
10.10.100.0/24     10.10.100.2        UGS      ovpns1
10.10.100.1        link#12            UHS         lo0
10.10.100.2        link#12            UH       ovpns1
10.10.101.0/24     10.10.101.2        UGS      ovpns2
10.10.101.1        link#13            UHS         lo0
10.10.101.2        link#13            UH       ovpns2
10.10.102.0/24     10.10.102.2        UGS      ovpns3
10.10.102.1        link#14            UHS         lo0
10.10.102.2        link#14            UH       ovpns3
localhost          link#7             UH          lo0
172.16.0.0/12      10.10.2.10         UGS        bce1
172.24.71.128/28   xxx.xxx.xxx.169      US         bce1
192.168.200.0/24   link#3             U           ix0
TSC-OPNsense-01    link#3             UHS         lo0
xxx.xxx.xxx.168/29   link#2             U          bce1
TSC-OPNsense-01    link#5             UHS         lo0
xxx.xxx.xxx.172      link#2             UHS         lo0
xxx.xxx.xxx.173      link#5             UHS         lo0
xxx.xxx.xxx.174      link#5             UHS         lo0


Sieht für mich erst einmal gut aus. Persönlich sehe ich eher ein Problem beim NAT. Allerdings weiß ich nicht wie ich da ansetzen kann. Wenn ich das richtig sehe sind keine automatischen NAT Regeln erstellt worden.

Bitte ich bräuchte wirklich dringend Hilfe...

Vielen Dank

Gruß

Joe

Hi, everybody,
we have here in our lab an OPNsense Firewall with the latest software.
There are three ports (LAN, WAN, VPN). At the WAN port our ISP has switched us a total of 5 usable external IP addresses.
The first of these IP addresses uses our WAN interface directly. Another one I would like to use to set up an IPsec VPN. Unfortunately I seem to miss something.
I have entered the additional IP as a virtual IP and selected it as interface in the IPsec settings. After that I checked the firewall rules of the WAN interface. Unfortunately the VPN rules do not seem to be created automatically. Therefore I created them manually.
But I still can't get a tunnel.
Does anyone have an idea what else I could look at?

BTW. Another IPsec VPN which is directly on the WAN interface works fine. There the firewall rules are created automatically.

Thanks a lot

Greeting

Joe

Hallo zusammen,

ich sitze gerade mit meinem Kollegen zusammen und wir überlegen uns für unser Demolab gerade ein neues Netzwerkdesign. Als Firewall soll OPNsense zum Einsatz kommen.

Leider stehen wir beide gerade wie der "Ochs vorm Berg" und kommen nicht weiter.

Folgendes soll aufgebaut werden:

OPNsense als Firewall zw. dem ISP und unserem Lab. In unserem Lab existieren jede Menge /24 Netzwerke aus dem Bereich 172.16.0.0/16. Das Routing zwischen diesen Netzwerken soll ein VRRP Verbund aus zwei L3 Switchen machen. Das funktioniert auch ganz gut. Die OPNsense wäre dann an diese beiden Switche über ein Transfernetz (10.10.2.0/24) angeschlossen.
Daneben soll es ein dediziertes OOB Management Interface für die OPNsense geben. All unsere Geräte haben in irgendeiner Form eine dedizierte Management Schnittstelle mit dem IP Bereich 172.18.0.0/16.
Um auch aus unserer Produktivumgebung auf unser Lab zu kommen existiert auch ein Transfernetzwerk nämlich das 10.10.1.0/24 Netz.

Wir hätten jetzt gedacht wir legen für jedes dieser Netze einen physikalischen Port auf der OPNsense an und erstellen außerdem passende Gateways für die jeweiligen Netze.

Leider happert es hier ein wenig. Wir kämpfen hier mit den Default-Gateway und Metriken und meistens schiessen wir uns selbst ab und müssen um weiter zu kommen ein Backup einspielen.

Vielleicht kann uns einer mal seine Augen leihen und mit drüber schauen. Vielleicht sehen wir den Wald vor lauter Bäumen nicht mehr... :-)

Vielen Dank

Gruß

Joe

Hello Community,
I'm about to take a closer look at the Sensei plugin for OPNsense.
In general I think it's great that the developers offer it freely as a community variant. Thank you very much for that.
But I have also just looked at the prices for the Premium Subscription. If I see that correctly, I find the website a bit confusing, there is only the annual fee of almost 500,-€ as the smallest unit. This starts with 25 users.

Would it be possible, or maybe it already exists and I just don't see it, to offer a SOHO or Home variant?

I was thinking of a home license for max. 5-10 users and a price which also appeals to home users (about 50-80,-€ per year???).
The SOHO license then for 10-25 users and the price adjusted accordingly somewhere in between.

I am aware that many home and SOHO users may be able to do without the premium features. However, there are certainly many who would like to use these features and are a little deterred by the price.

Maybe an idea, which it is worth to think about.

Many thanks

BOSSJoe

Hallo zusammen,

ich könnte einmal eure Hilfe gebrauchen bezüglich Netzwerkdesign. Ich habe hier ein Bestandssetup und komme irgendwie nicht ganz weiter. Wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht... ::)

Folgendes ist gegeben:

-2 Gebäude (eigentlich sogar 3, allerdings ist das 3. mit dem 2. per Glasfaser verbunden und im gleichen Subnetz)
-zwischen dem Hauptgebäude besteht schon immer eine WLAN Richtfunkverbindung zu einem der Nebengebäude
-Die Nebengebäude sind per Glasfaser miteinander vernetzt (gleiches Subnetz)
-das Häuptgebäude hat einen Internetzugang die Nebengebäude keinen
-Alles in einem Subnetz (192.168.0.0/24), außer GastWLAN (seperates VLAN mit eigenem Subnetz 172.23.0.0/24)
-In den Nebengebäuden sind eigentlich nur VoIP Geräte und Access Points sowie Switche

- Neu hinzu gekommen ist ein seperates Nebengebäude welches zwei bis drei Büroarbeitsplätze hat
- Dieses Gebäude war bisher per VPN angebunden und hat einen eigenen Internetzugang sowie ein eigenes Subnetz (192.168.178.0/24)
- Durch die niedrige Uploadrate der Internetzugänge und die gute Performance der WLAN Richtfunk Geschichte hat man sich entschlossen auch dieses Gebäude per WLAN einzubinden und den dortigen Internetzugang als Backup zu verwenden

Ich hab das ganze mal versucht als Diagramm darzustellen:



Was soll gemacht werden:
- beide Netzwerke sollen bis auf weitere bestehen bleiben
- beide Netze sollen uneingeschränkt miteinander kommunizieren (eventuell werde ich das noch ein bisschen beschränken)
- Die Gebäude benutzen weiterhin ihre jeweiligen Internetzugänge, bei einem Ausfall kann aber der jeweils andere Zugang mitgenutzt werden
- das Netzwerk sollte Zukunftsfähig sein (zu dem VLAN für das GästeWLAN werden wahrscheinlich noch weitere VLANs kommen, eigenes VoIP VLAN, etc...)
- im Zuge des Netzumbaus wird im Hauptgebäude eine opnSense HA Lösung implemetiert, welche eine weitere Backupinternetleitung über LTE bekommt (das Unternehmen benötigt dringenst immer einen funktionierenden Internetzugang, da viele Dienste mit Cloudanbietern geregelt sind)

Bei den verwendeten Geräten handelt es sich um:

Hauptgebäude:
- aktuell Eigenbau pfSense mit zwei NICs (wird gegen eine opnSense HA Lösung auf Appliance Basis getauscht, btw. ich suche noch nachpassender Hardware)
- Cisco SG300 Switche
- Ubiquiti Lite Beam AC Gen2 (https://www.ubnt.com/airmax/litebeam-ac-gen2/)

Nebengebäude alt:
- Cisco SG300 Switche
- Ubiquiti NanoBeam5 AC - 16 kein Gen2 (https://www.ubnt.com/airmax/nanobeam-ac-gen2/)

Könnte mir bitte jemand grob auf die Sprünge helfen? Ich stehe glaube ich grad total auf dem Schlauch wie ich das am sinnvollsten umsetzen kann.

Vielen Dank

Joe

Hi zusammen,

ich habe mich die Tage wieder mal ein bisschen mit dem Thema VPN und OPNsense tiefgehender beschäftigt und unter anderem diese:

https://nguvu.org/pfsense/pfsense-2.3-setup/

und diese:

https://nguvu.org/pfsense/pfsense-multi-vpn-wan/

Anleitung bei mir umgesetzt.

Leider ist seitdem meine OPNsense sehr träge und bis Befehle in der WebGUI umgesetzt werden kann es bis zu ein paar Minuten dauern. Auch habe ich bis zu 4 komplette Netzabbrüche bei welchen ich aus heiterem Himmel keinen Zugang mehr zum Internet habe. Ich vermute derzeit das die OpenVPN Clientdienste einfach neu starten, weil ich nach ca. 2 Minuten wieder Zugriff habe.

Meine OPNsense Box ist diese hier:

http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C4-Bundles/APU2C4-19-Rack-Bundle-Netzteil-SSD-Board-Gehaeuse::28815.html

mit OPNsense 17.1 und den neuesten Updates.

Dashboard zeigt keine besondere Auslastung und ich habe sogar schon RAM Disk aktiviert.

Momentan fürchte ich habe ich entweder einen Fehler in der Konfig oder die SSD in diesem Bundle ist zu lahm...

Hat das auch schon mal jemand umgesetzt und kann mir einen Tipp geben?

Vielen Dank

Joe

Hallo zusammen,

ich habe da mal eine etwas generelle Frage und hoffe bei euch damit richtig aufgehoben zu sein... ;D

Folgendes:

Ich habe hier eine Synology Diskstation mit einer Dockerinstallation. Hierauf laufen verschiedene Container welche alle über eine Webgui verfügen.

Momentan erreiche ich diese über die unterschiedlichen Ports, also etwa so:

Applikation A --> 192.168.0.1:32700
Applikation B --> 192.168.0.1:32701
etc...

Ich möchte jetzt folgendes erreichen. Einmal sollen diese GUIs von extern erreichbar sein (fixe IP vorhanden, Domain beim Registrar registriert aber Namenssever noch nicht eingerichtet). Ideal wäre eine Namensaulösung wie diese:

Applikation A --> appa.meinendomain.de
Applikation B --> appb.meinendomain.de
etc...

Außerdem sollen die Seiten auch intern per Namen erreichbar sein. Idealerweise genau so wie oben, geht aber auch so in etwa:

Applikation A --> diskstation/appa
Applikation B --> diskstation/appb
etc...

Ich hab mich jetzt einmal ein wenig schlau gemacht und glaube mit einem Reverse Proxy das richtige Tool gefunden zu haben. Was mir noch nicht ganz klar ist, an welcher Stelle im Netz wäre der den sinnvoll. Bzw. brauche ich vielleicht sogar zwei Proxys einmal intern und einmal extern?

Am liebsten wäre mir außerdem ein SSL Zertifikat mit Let´s Encrypt, speziell für die externen Zugriffe. Das Thema Sicherheit muss hier natürlich ganz hoch gehalten werden.

Vielleicht kann mir jemand ein paar Tipps geben und meine Gedanken in die richtige Richtung schubsen. Momentan sehe ich glaube ich den Wald vor lauter Bäumen nicht.

Gerade fällt mir ein, ein Reverse Proxy bei einem externen Hoster wäre ja auch eine Option, oder?

Vielen Dank schon einmal für eure Hilfe,

Gruß

Joe

Hallo zusammen,

wir planen bei uns in der Firma den Umzug von pfSense zu OPNsense und würden gerne die Gelegenheit nutzen unseren Netzwerkaufbau zu optimieren. Das Netzwerk um das es geht ist ein Netzwerk in unserem Demolab, das heißt es gibt keine Produktivsysteme. Allerdings arbeiten viele meiner Kollegen in diesem Netz um Projekte vorzubereiten, es ist also eher semiproduktiv.  :o

Ich hatte hier schon einmal eine ähnliche Frage gestellt allerdings ist seither ein wenig Zeit vergangen und ich würde gerne noch einmal um eure Hilfe bitten...

https://forum.opnsense.org/index.php?topic=2559.msg8272#msg8272

Also worum geht es genau. Wir haben eine OPNsense Firewall mit eingerichtetem CARP. Die WAN Schnittstelle geht in unser richtiges Produktivnetz und von dort dann ins Internet. Die LAN Schnittstelle besteht aus einer "HauptIP" (172.16.0.100/19) und mehreren Virtuellen IPs (172.16.32.1/19; 172.16.64.1/19;...).

Jede dieser IP Adressen stellt somit das Gateway für eines der Subnetze unserer einzelnen Teams dar.

Das "Routing" erfolgt dabei über Firewallregeln. Wenn ich das recht verstanden habe kann ich eine statische Route eintragen und alles würde zwischen den Subnetzen ungefiltert geroutet oder ich mache das über die Firewallregeln und kann genau definieren was ich in die einzelnen Subnetze durchlasse und was nicht. Korrigiert mich bitte wenn ich das falsch verstanden habe...!

Meine Frage ist jetzt, ist das so wie wir das noch machen überhaupt sinnvoll oder gibt es eventuell eine bessere Alternative. VLANs haben wir schon in Betracht gezogen, das würde aber das Netz ungleich komplexer machen wie wir fürchten!

Das Problem das wir halt haben ist, das dieses Netzwerk immer weiter wächst und auch immer komplexer wird und wir derzeit auch schon unschöne Effekte haben. Beispielsweise haben erhalten manche unserer VMs nach einem neustart eine APIPA Adresse obwohl sie eine statische Adresse haben. Erst ein deaktivieren und wieder aktivieren lässt das Phänomen verschwinden.
Auch haben wir aktuell das Thema das wir ein komplett getrenntes Netzwerk aufbauen wollen. Dafür habe ich den IP Bereich 172.23.0.0/16 augesucht und eine entsprechende Virtuelle IP (172.23.0.1/16) eingerichtet. Die einzelnen Maschinen innerhalb dieses Netzwerkes funktionieren, allerdings wenn ich einen Uplink zu unserem Demolab einrichte habe ich auf den anderen Virtuellen IPs (172.16.32.1/19,....) Ping abbrüche und Paketverluste. Auf der HauptIP (172.16.0.0/19) funktioniert alles. Kann sich das einer erklären?

Wir haben schon alles gecheckt, doppelte IPs, Loops, etc.... Und ich weiß nicht weiter...

Vielen Dank Gruß

Joe

Hallo zusammen,

ich hätte mal eine Frage.

Wir wollen demnächst bei uns in der Firma auf eine hochverfügbare Router/Firewall Lösung auf Basis von opnSense und CARP setzen. Ich konnte das testweise auch schon einrichten und es läuft soweit auch ganz gut.

Leider haben wir hier 8 verschiedene Subnetze im Netzwerk und an der Firewall Hardware "nur" zwei 10Gbit/s Ports LAN seitig. Geplant war diese zu einem LACP Trunk zusammenzufassen und dann darauf virtuelle IPs anzulegen. Bei unserer derzeitigen Lösung auf Basis von pfSense funktioniert das gut.

Mir ist allerdings aufgefallen das die VIPs in der HA Lösung nicht auf den Backupserver übernommen werden. Nur die CARP VIPs werden repliziert.

Kann ich trotzdem die Lösung wie geplant umsetzen? Und wenn ja wie???

Vielen Dank

Joe