Topics

1

German - Deutsch / Multiwan -Verbindungsabbrüche

« on: March 14, 2020, 06:27:17 am »

Hallo, mein Setup sieht wie folgt aus:

              WAN                   WAN
                 :                        :
                 : DSL-Provider       : DSL-Provider
                 :                        :
             .---+---.                 .--+--.
         WAN | DSL |           | DSL | WAN2
             '---+---'                 '--+--'
                 |                        |
                |  Stat public IP     |Dyn Public IP
                 +------| OPNsense |------+
                             |       |
                      LAN |       | LAN
                             |       |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers) 10.1.1.0/24 und 192.168.4.0/24

Ich habe zwei Gateways mit Überwachung konfiguriert und die entsprechende Gateway Group angelegt.

Problem ist, wenn ich beide WAN links in das gleiche Tier 1 konfiguriere, dann habe ich Verbindungsabbrüche. Eigentlich sollte doch ein Session Based Load Balancing funktionieren? Konfiguriere ich die beide links in unterschiedliche Tiers, kann ich beide nutzen, z.B. wenn ich für bestimmte Server/Clients/Ports Policy Based Routing konfiguriere.

Unter System -> Settings -> General habe ich "allow default gateway Switching" aktiviert.
Unter Firewall -> Settings -> Advanced habe ich "use sticky connections" aktiviert.

Auf dem LAN Interface gibt es eine PBR Regel: LAN -> any -> pass -> Gateway "WAN links Group"

Outbound NAT (Hybrid Rules) auto-generiert jeweils auf dem jeweiligen WAN Interface (Also 2x): LAN -> Source Port: any -> Dest: any -> Dest Port: any -> NAT Address: WAN interface Address -> NAT Port: any -> Static Port: No

Trotzdem habe ich die genannten Probleme.

Ich weiß tatsächlich nicht mehr, wo ich noch schauen könnte. Hat jemand eine Idee?

2

German - Deutsch / Wireguard Multiwan

« on: March 05, 2020, 10:28:22 am »

Hallo,

ich habe ein Problem, dass keine Daten durch den Wireguard Tunnel geroutet werden. Mein Setup sieht so aus:

Code: [Select]


              WAN                      WAN
                 :                        :
                 : DSL-Provider       : DSL-Provider
                 :                        :
             .---+---.                 .--+--.
         WAN | DSL |           | DSL | WAN2
             '---+---'                 '--+--'
                 |                        |
                |  Stat public IP     |Public IP
                 +------| OPNsense |------+
                             |       |
                      LAN |       | LAN
                             |       |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers) 10.1.1.0/24 und 192.168.4.0/24



Ich habe den Wireguard Server aufgesetzt und Clients entsprechend konfiguriert.
Ich hatte Wireguard schon einmal aufgesetzt, als ich nur eine Leitung hatte.

Jetzt mit 2 Leitungen wird mein Tunnel im client log zwar als "Connected" angezeigt, allerdings werden keine Daten geroutet. "TLS handshake initialization started" und diese läuft dann in einen Timeout. Der Tunnel terminiert über den DSLer mit statischer IP Adresse und muss ja darüber auch wieder raus.

Inbound allow Regel UDP auf WG Server Port auf "This Firewall" ist gesetzt, allowed IPs sind testweise jeweils die kompletten /24 Netze aus den beiden LANs und aus dem virtuelle WG Netz.

Ich vermute stark, dass ich irgendwo im outbound NAT noch ein Thema habe, stehe aber auf dem Schlauch.
Kann mir jemand einmal kurz mit den notwendigen Regeln (ggfls. Routen) helfen?

wupperi

3

German - Deutsch / 2x Telekom VDSL / unterschiedliche ISP

« on: February 28, 2020, 10:50:42 am »

Hallo,

ich habe folgendes Setup mit 2 WAN links.

OPNsense 20.1.1-amd64

Internet -----> VDSL175 (Telekom mit t-online login) via ISP1 ------> Vigor165 bridging ----> cat6 -----> OPNSense ibg4 pppoe0

Internet -----> VDSL100 (Telekom Vorleistungsprodukt) via ISP2 -------> anderer Vigor165 briding ----> cat6 -----> OPNsense igb5 pppoe1

Gateways sind entsprechend eingerichtet, ebenso eine Gateway Group, beide Gateways in Tier 1.

Ich habe jetzt das Problem, dass die PPPoE Dialer völlig unvorhersehbar nach einem reboot entweder:

a) gar keine PPPoE Session aufbauen
b) nur einer von beiden eine Session aufbaut
c) und völlig komisch, die PPPoE dialer "springen", d.h. auf einmal ist mein PPPoE Login vom ibg4 pppoe0 auf dem Anschluss, der auf igb5 und pppoe1 konfiguriert ist. D.h. ich bekomme eine IP von ISP1 auf dem Anschluss von ISP2


Auf ISP1 (T-Online) habe ich über den Telekom Kundencenter konfiguriert, dass Username und Login ausgewertet werden.

Interessanterweise wird mir auch bspw igb5/pppoe1 als "up" angezeigt, obwohl das Interface igb5 down ist, wenn ich bspw. aus dem VDSL Modem, welches an igb5 angeschlossen ist das cat6 Kabel ziehe. Also das physikalische Interface erkennt down, aber der dialer erkennt up (kriegt dann aber keine IP Adresse)

Sieht irgendwie so aus, als wären die dialer nicht "hart" an das physikalische Interface gebunden?

Komme an dieser Stelle gerade nicht mehr weiter.
Hat jemand eine Idee?

4

German - Deutsch / Port Weiterleitung in IPSEC Tunnel

« on: December 27, 2019, 01:28:29 pm »

Hallo in die Runde,

der Engländer sagt, "banging my head against the wall"... :-)
Ich kriege folgende Herausforderung nicht hin:

Ich habe zwei OPNsense Firewalls.

FW-A: (Beim hoster, virtuelle OPNsense auf Esxi)
-> hat extern ein statisches /28 IPv4 Netz.
-> LAN Netz (A)
-> DMZ Netz (A)

Die öffentlichen, statischen IP Adressen sind als virtuelle IPs auf das externe Interface gebunden.

FW-B (Bei mir zu Hause, auf physikalischer HW)
-> extern DynDNS
-> LAN Netz (B)

Zwischen den beiden läuft ein gerouteter IPSEC Tunnel mit Gateways.
Ping zwischen LAN(A) und LAN(B), bzw LAN(B) und DMZ(A) geht. Tunnel geht also und routing durch den Tunnel passt. Regeln für das IPSEC interface sind beidseitig any any allow.

Jetzt sollen aber services die im LAN(B) bei mir zu Hause stehen, aus dem Internet erreicht werden.
Ich habe also eine Portweiterleitung auf der FW(A) eingerichtet:

Quelle (any) --- Ziel (öffentliche statische IP Adresse, Port 80 bspw) ---> Weiterleitung auf (private LAN(B) Server adresse, Zielport 80)
FW Regel automatisch erstellen lassen.

D.h. nach meinem Verständnis:
Die Anfrage schlägt als Ziel auf der öffentlichen IP der FW(A) auf, Ziel wird genattet auf die private Adresse im LAN(B) und durch den Tunnel transportiert.

Ich bekomme aber - egal was ich mache - keine Verbindung hin.
In der Liveansicht sehe ich, dass Pakete (public Quell-IP -> private server IP) durchgelassen.

Ich vermute, dass Problem ist, dass das Antwortpaket meines Server im LAN(B) an die ursprüngliche anfragende öffentliche IP Adresse geht, und quasi durch meine FW(B) zu Hause ins Internet will. Das wäre dann asymmetrisch und in der FW(B) sollte es geblockt werden, wegen fehlendem state... 

Ist mein Verdacht richtig? Wie kann ich das lösen?
Danke vorab für Eure Hilfe.


wupperi