Topics

1

Virtual private networks / Using Remote Site as WAN for local Machine

« on: November 18, 2023, 09:58:17 pm »

Hello folks.

The guys at Plex Media Server decided to ban all Hetzner IP's because that will shutdown piracy for sure 
Well, to work around this ban, I want my VM at Hetzner to talk to the Public using the Public IP of my Home.
I'll attach a Diagram to show what I am looking for.

I have a working WireGuard Tunnel between Hetzner and my Home.
I'm just trying to figure out how to get the Traffic to the other Site and *then* to the Internet.
Outbound NAT, Routing, both?

2

23.1 Legacy Series / IPsec (23.1) behind CGNAT

« on: March 07, 2023, 11:21:13 pm »

Hi,

i recently moved and my DSL is not ready yet.
I have an unlimited telekom business SIM and using an Teltonika TRB500 gateway in bridge mode.
I get a CGNAT IP at my WAN interface in OPNsense.

Before I used an VTI Tunnel and it worked great, but I had fiber and an (not offcially but never changed) static IP on my client side.
Now I need to use the cellular connection behind CGNAT as client.
I read this will work when the server only listens to connections and my client side initiates the tunnel.

What happens is, the server receives packets, and tries to send one back.
The one that is sent back never reaches the client and so the tunnel times out.

I really don't know what could be messing up right now, the client never sees any incoming traffic whatsoever from the server.

I'll post my configs tomorrow when I'm at a real computer... mobile right now.
Maybe someone can find culprit with me, many thanks!

3

German - Deutsch / HA - Mehrere CARP VIPs auf WAN Interface

« on: August 04, 2020, 01:44:34 pm »

Hallo!

Ich bin auf ein neues Problemchen gestoßen.
Dieser Post hier beschreibt mein Problem quasi 1:1 : https://forum.opnsense.org/index.php?topic=5249.0

Ich habe mehrere Subnetze vom Provider (Hetzner Colocation) gestellt bekommen und möchte nun eine *zusätzliche* IP aus einem der anderen Subnetze als VIP an meine OPNsense Firewalls (HA-Aufbau) klemmen.

Wie im Post beschrieben habe ich auf der 1. FW eine neue VIP angelegt in neuer VHID auf dem Interface WAN mit dem Typ CARP.
Die 1. FW hat auch den Zustand MASTER und die 2. FW wird als BACKUP angezeigt. Soweit so gut.
Ich kann die neue IP allerdings nicht erreichen, nicht mal per ICMP - und dafür existiert eine floating rule die ICMP Pings global erlaubt. Im Live Log ist auch gar kein Traffic sichtbar an diese IP.

Wo könnte denn hier der Hase im Pfeffer liegen?
Ich hänge mal ein Bild an, falls die Beschreibung nicht ganz treffend ist. 

VG
Felix

4

German - Deutsch / CARP, VLANs und LAGG - beide Firewalls sind Master

« on: July 27, 2020, 03:24:35 pm »

Hallo zusammen!

Ich zermarter mir seit Wochen den Grips an einem HA-Konstrukt, welches ich gerne irgendwann produktiv nehmen möchte.

Ich beschreibe zunächst mal die Umgebung. Folgende Hardware wurde für die beiden FW's angeschafft:
https://www.servershop-bayern.de/de/supermicro-1u-up-xeon-d-server-vmware-ready
Ausgewählt wurde der Prozessor Intel Xeon D-1518 6MB / 4x 2.2GHz / 8 Threads / 35W und 32GB RAM im Konfigurator.

Dazu wurden noch identische Intel SSDs verbaut, welche noch im Büro rum flogen.
Die Hardware ist also 1:1 die Gleiche.

Die Firewalls haben 2 1G und 2 10G RJ-45 Schnittstellen - igb0 & 1 und ix0 & 1.
EDIT: igb0 ist auf beiden FWs das HA-Interface für pfsync und XMLRPC - die FWs sind hier direkt durch ein Kabel verbunden.

Angeschlossen sind die Firewalls an 2 baugleiche Netgear M4300 8X8F mit jeweils identischer Config.
ix0 ist an dem einem Switch angeschlossen und ix1 an dem Anderen.
Die Switche haben eine zusätzliche Verbindung untereinander für Spanning Tree (Variante RSTP).
Einer der beiden 10G Switche wurde als Root-Bridge konfiguriert.
Die Ports an denen die ix0/1 Schnittstellen hängen sind jeweils als VLAN Trunks konfiguriert.

Dann gibt es noch 2 weitere Switche: Netgear GC752X 52-Port Switche (50x 1G, 2x 10G).
Die 10G Ports der GC752er sind an beiden M4300ern angeschlossen und es wurde ebenfalls RSTP erfolgreich konfiguriert.

An 3 Ports auf den GC752ern sind die WAN Ports konfiguriert als Access Ports mit VLAN 666 (untagged) und entsprechender PVID 666. Dort hängen die WAN Schnittstellen der FWs (jeweils igb1) dran, sowie der Uplink vom Rechenzentrum.

Soviel zur Hardware. Ich hänge auch ein Diagramm an um das etwas zu veranschaulichen.

Software-seitig ist auf beiden Maschinen OPNsense installiert und aktualisiert worden auf folgende Version:
OPNsense 20.1.9-amd64
FreeBSD 11.2-RELEASE-p20-HBSD
OpenSSL 1.1.1g 21 Apr 2020

(Auszug aus dem OPNsense Dashboard - auf beiden FW's identisch.)

Die folgenden Schritte sind auf beiden FWs identisch ausgeführt worden, abgesehen von ggfs. IPs:

Ich habe dann erstmal ein LAGG Interface aus ix0 und ix1 gebildet im Round-Robin Modus.
Auf dem resultierenden lagg0 Interface habe ich meine VLANs angelegt, auszugsweise 10,12 und 15.

Ich habe die WAN Schnittstelle und das Upstream Gateway konfiguriert auf Schnittstelle igb1 und erfolgreich eine Internet-Verbindung herstellen können. Hinweis: die WAN Ports liegen am Switch untagged auf, daher keine extra Konfiguration bzgl. VLANs notwendig hier.

Auf den einzelnen lagg0_vlanXY Interfaces habe ich die entsprechenden Subnetze hinterlegt.
FW 1 hat stets die .2 als IP und FW 2 die .3 - bspw. 10.254.10.2 / 10.254.10.3.

Nachdem das erledigt war habe ich nach dieser Anleitung versucht das HA-Konstrukt aufzubauen:
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten

Die CARP Virtual IPs habe ich für WAN, VLAN 10,12 und 15 angelegt, jeweils auf die .1 des entsprechenden Subnetzes. (Mit Ausnahme WAN, da wurde es .6, da .1 des Public Subnets vom Rechenzentrums Provider als Upstream Gateway zur Verfügung gestellt wurde.)

Ich habe ebenfalls darauf geachtet auf allen Switchen Multicast / IGMP Snooping zu aktivieren, soweit ich konnte.

Nun zur Problematik... die FW1 ist MASTER für die WAN VIP und die FW2 BACKUP - perfekt.
Ich kann auch zwischen den beiden umschalten soweit. Hin und zurück, ohne Probleme.

Allerdings versagt das Konstrukt bei den VLAN Interfaces vollständig. Beide Firewalls sind permanent MASTER.
Wenn ich die VIPs anspreche, lande ich stets beim Master und wenn ich diesen bspw. herunterfahre oder sonst irgendwie einen Failover provoziere, ist die VIP nicht länger erreichbar.

Ich habe massig Lesestoff zu Problemen mit CARP im Zusammenspiel mit LAGGs und VLANs gefunden.
Die Hardware-Anordnung der Interfaces (OPTx) ist auf beiden Kisten identisch, das habe ich mehrfach überprüft.
Auch habe ich mal die komplette Config gezogen, bearbeitet und drüben eingespielt um ganz sicher zu gehen. Kein Erfolg.

Ich habe auf beiden Kisten die Tunables "net.inet.carp.senderr_demotion_factor = 0" und "net.inet.carp.ifdown_demotion_factor = 0" konfiguriert und mit sysctl überprüft. Auch mit Reboots etc. um sicher zu gehen. Ebenfalls kein Erfolg.
Ich kann sogar in den CARP Maintenance Mode gehen oder CARP abschalten - außer der WAN VHID rührt sich gefühlt nichts. Natürlich steht da dann "disabled" wenn ich CARP abschalte, aber beim Enablen sofort wieder MASTER. Beim Maintenance Mode tut sich gar nichts.

Aktuell habe ich die LAGG Interfaces komplett aufgelöst und die VLANs auf ix1 umzogen auf beiden FWs.
Wieder mit Config Import/Export um Probleme bei der Anordnung etc. zu vermeiden. Die Tunables noch immer gesetzt. Leider noch immer kein Erfolg.

Mein nächster Schritt wird sein aus den Trunks an den Switchen untagged Ports in einem Test-VLAN zu machen und die FWs daran zu hängen um auch VLANs aus der Gleichung zu entfernen.
Wenn das klappt, super! Problem ist, ich kann und will auf die VLANs nicht verzichten.

Drum bitte ich euch um Hilfe bei diesem Problem - was kann ich tun um das Konstrukt mit den VLAN Interfaces (und falls möglich, mit dem LAGG Interface) ans Laufen zu bekommen?

Aus den Posts die ich gelesen habe geht hervor, dass es wohl technisch möglichst ist bzw. ein paar Leute das funktional im Betrieb haben, ich habe also noch Hoffnung!

Wenn ich noch irgendwelche Infos bereitstellen kann die zur Lösung des Problems beitragen, sagt es bitte. 

Ansonsten danke ich euch schon mal für eure Zeit und freue mich auf die Antworten! 

Viele Grüße
Felix