Topics

Hallo zusammen,

ich habe mich bis jetzt erfolgreich um das Thema (IPV6) gedrückt und will auch um ehrlich zu sein mich weiterhin möglichst wenig mit IPV6 auseinandersetzen. Alle Netze die ich betreue laufen auf IPv4 (sowohl Intern als auch WAN seitig; eine Übersetzung nach IPv6 soll mir schön mein Provider machen) ...

Nun zu meiner Frage/ Beobachtung:
Auf meiner OPNSense ist IPV6 komplett an jedem Interface deaktiviert. Ich habe ein Gerät (IOT mit fast keinem Zugriff) bei welchem ich einen Hostnamen + IPv4 Adresse in Unbound unter Overrides eingetragen habe. Wenn ich die Adresse jedoch von meinem IPhone anpinge (gleiches Netz (via WLAN)) wird der namen in IPv6 aufgelöst und angepingt... Die IPv4 Namensauflösung funktioniert einwandfrei und andere Geräte können ohne Probleme über die IPv4 Adresse (und dem DNS Namen) mit dem IOT Gerät kommunizieren. Wie kann das sein? Tut sich das Gerät selber publizieren (wie mDNS?)? (Zur Info: In den Einstellungen unter WLAN sehe ich bei meinem Iphone nur die ,,richtige" IPv4 Adresse und den richtigen Nameserver ....)

Was ist das Default verhalten der OPNsense wenn IPv6 deaktiviert wurde? (IPv4 Firewall greift ja hier nicht. Wird alles geblockt in andere Netze? Gibt es überhaupt VLAN's und Subnetze bei IPv6?)

Wäre es sinnvoll IPv6 an den OPNSense Interfaces zu aktivieren und einfach alles zu blocken und somit IPv4 zu erzwingen? Meine Angst ist, das ein ,,Schatten-IPv6-Netzwerk" entsteht und Geräte kommunizieren welche nicht sollen, bzw. mein Sicherheitskonzept unterwandert wird ...

Hallo,

ich habe ein extra VLAN für meine IP-Cams. Die IP Cams sind für NTP auf die OPNSense eingestellt. Der versuch die Zeit abzurufen triggert jedoch die ,, Default deny / state violation rule". Ich glaube jedoch nicht das Hikvision keinen NTP abruf hinbekommt und der Fehler bei mir in einer Misskonfiguration liegt.

Was ich probiert habe:
- Explizite Freigabe von Port 123 in den VLAN-Rules
- Erstellung einer NAT Regel auf 127.0.0.1
- Neustarten der Kammeras

Hey,
running two identical baremetal opnsenses. HA works on LAN as expected. I have an IP range from my provider (Vodafone), but have to route the traffic from the modem to the opnsenses WAN Interfaces via vlan on UniFi switches.


Edit:

If I setup a CARP VIP on WAN Interface the setup seems working. Outbound NAT works too. After a while (some hours) the wan interfaces receive and send a lot of broadcast traffic which knocks out both opnsenses.

If the two WAN Interfaces of the opnsenses are on the same network (same vlan, same IP Range and same subnet mask) a broadcast flood crash the complete network. One OPNsense and an other device (Laptop) is no problem and runs without an issue. Reply-to rule is disabled and both opnseses was rebooted after settings change. If I mark the ports as "isolated network" on the unifi switches (the opnsenses can not see each other) both opnsese are up and running with stable WAN connection, no broadcast flood.

Hallo,

hat bereits jemand Erfahrungen mit Unifi Switches und Carp.Bei mir scheint der Switch zu erkennen das 2 Geräte die gleiche IP verwenden und "blockt" dann. Oder ist dieses Verhalten nur das Ergebnis eines häufigen CARP Status-Wechsels?

Hallo,

ich versuche mein HA mit MultiWAN auszubauen ....

Kurz zur aktuellen Situation:
Momentan werden 2 OPNsense's im HA Cluster betrieben. An jeder OPNsense hängt ein separater Internetanschluß. (1x schnell und öfter mit Aussetzern und 1x langsam aber dafür stabil) Es wurden bisher für keines der beiden WAN Interfaces Carp IP's erstellt. Der ursprüngliche Plan war es eine OPNsense mit Multiwan zu betreiben und im Falle eines Ausfalles einfach manuell umzustecken .... Jedoch funktioniert HA nicht wenn eine OPNsense kein inet hat :( Nun versuche ich von meinen Providern mehrere IP Adressen zu bekommen um richtiges HA mit MultiWAN zu betreiben. Jedoch habe ich bereits von einem Provider eine definitive Absage erhalten und beim zweiten sieht es diesbezüglich auch nicht so rosig aus....

Hier noch meine möglichen Szenarien:
(1) Mein zweiter Provider gibt mir mehrere WAN IP Adressen und ich kan auf der Master OPNsense MultiWAN fahren und habe auf der Slave nur einfaches WAN.

(2) Ich hänge hinter das Modem des Providers mit nur einer WAN IP einen einfacher Router und beide OPNsenses an das LAN Netz des Routers, die CARP IP entsprechend als Exposed Host. Entsteht hier ein Double NAT Problem? (Für den 2 Anschluss u.U. das gleiche Verfahren ....)

(3) Ich versuche mittels der WAN Carp IP DHCP zum Modem hinzubekommen. Die realen Interfaces bekommen ,,Piraten"-IP's im Netz des Providers, welche im Idealfall nie auffallen, da der kpl Datenverkehr über die CARP IP geht.

(4) Beide OPNsenses mit jeweils einem realen Anschluss betreiben und mich auf dem Master zwischen schnell oder stabil entscheiden .... (so wie aktuell ....)

(5) Die Master OPNsense mit beiden Internet Anschlüssen betreiben und der Slave OPNSense, mittels eines ,,nur" auf der Master erstellten Interfaces, Internet zur Verfügung zu stellen. (Fällt die Master aus, hat auch die Slave kein Inet und es müsste ebenfalls manuell umgesteckt werden.) (Auch hier entsteht ein Double NAT)

Habe ich eine Möglichkeit vergessen? Welche Möglichkeit würdet ihr wählen bzw. macht wahrscheinlich am wenigsten Probleme? Gibt es besondere Fallstricke bei den einzelnen Möglichkeiten?

Ich hoffe der Text war nicht allzu verwirrend. Danke im Vorraus für die Hilfe.

Hallo,

kurz zu meinem aktuellen Setup:

Netzwerk über 2 Gebäude verteilt. Die Gebäude sind mit 2 Glasfaserleitungen verbunden. In dem Gebäude wo mein Internet ankommt ist Null Infrastruktur, dem entsprechend schlecht ist meine OPNsense untergebracht (aktuell glüht Sie und ich befürchte den Hitzetot ...). Über ein Glasfaserkabel ist der Switch dieses Gebäuder mit dem Hauptnetzwerk verbunden über das 2 Glasfaser die OPNsense. Früher hatte ich Internet via Medienkonverter in das andere Gebäude geschickt. Dieses Setup ist aber doch sehr ,,wackelig" gewesen, weswegen die Sense wieder in das Nebengebäude gezogen ist wo das Internet ankommt.

Nun zu meiner (,,dummen") Idee: Ich will auf dem Switch für Internet ein VLAN einrichten und mittels dieses VLAN das Internet in das andere Gebäude ,,routen" wo der WAN anschluss der Sense  am Hauptswitch ebenfalls an das entsprechende VLAN ankommt. Ich denke das das dumm ist, da internet dann vor der Firewall über die selben Switches wie das ,,Produktiv-LAN" läuft.

Wie ist eure Meinung .... Non-Sense? Sicherheitsalbtraum oder kann man so machen?

Hallo,

ich bekomme von meinem FTTH Anbieter eine statische Public IP (z.B. 47.11.8.47). In der Sense wird jedoch eine andere IP angezeigt aus dem gleichen IP Bereich. Die andere IP (z.B. 47.11.8.15/22) weißt mir das Modem des Anbieters via DHCP zu. Kann ich die statische IP einfach fest in der OPNsense einstellen (hier z.B. 47.11.8.47/22).

BTW. Ich habe die OPNsense neu aufsetzen gemusst und alles händisch neu eingestellt. Früher/ In der alten Version hat er, die mir zugewiesene Public IP 47.11.8.47 angezeigt. Ich weiß halt nicht, ob der Provider etwas geändert hat, ich etwas anderst konfiguriert habe oder sich bei der OPNsense etwas geändert hat.

Hallo,

ich plane ein HA Setup, jedoch haben die zur Verfügung stehenden OPNSense Boxen unterschiedliche Hardware (unterschiedliche Bezeichnung ix/mlx .... und eine unterschiedliche Anzahl an Netzwerkinterfaces). Wenn die Reihenfolge der Erstellung passt (lan; wan;opt1 = lan; opt2 = VLAN1; opt3=lan2 ....) funktioniert dann die HA Synchonisierung oder gebe ich mir damit die Kugel?

Hi,

I used Sensei in "Passive Mode" for Monitoring my LAN interface. Akamai blocked all devices on this interface. (After chosing a vlan Akamai stop blocking devices on Lan interface). Any way that I can monitor my Lan interface without getting the lan devices blocked by Akamai?

Hallo,

aus irgendeinem Grund werde ich von Akamai geblocked. Die WAN IP ist von Akamai nicht gblacklisted und es ist kein Proxy aktiv. Die Namensauflösung funktioniert, ich kann die betreffenden Seiten z.B. bild.de jedoch nicht im Browser aufrufen.

hier noch ein traceroute Aufruf von bild.de:

Code Select Expand


# /usr/sbin/traceroute -w 2 -m '18' -s '192.168.6.1'   'bild.de'
traceroute: Warning: bild.de has multiple addresses; using 145.243.248.20
traceroute to bild.de (145.243.248.20) from 192.168.6.1, 18 hops max, 40 byte packets
1  ip5b42c5fe.dynamic.kabel-deutschland.de (91.66.197.254)  10.907 ms  12.475 ms  9.010 ms
2  ip5886d806.static.kabel-deutschland.de (88.134.216.6)  10.136 ms  9.135 ms  10.008 ms
3  ip5886c386.static.kabel-deutschland.de (88.134.195.134)  12.994 ms  14.181 ms  16.945 ms
4  145.254.3.56 (145.254.3.56)  22.026 ms  20.645 ms  17.985 ms
5  145.254.2.179 (145.254.2.179)  16.079 ms  17.001 ms  15.945 ms
6  akamai.prolexic.com (80.81.193.70)  16.006 ms  19.673 ms  18.946 ms
7  po110.bs-a.sech-fra.netarch.akamai.com (72.52.48.192)  16.036 ms  22.343 ms
    po110.bs-b.sech-fra.netarch.akamai.com (72.52.48.200)  19.994 ms
8  a72-52-1-155.deploy.static.akamaitechnologies.com (72.52.1.155)  19.289 ms  18.733 ms  18.896 ms
9  ae121.access-a.sech-fra.netarch.akamai.com (72.52.48.205)  18.140 ms
    ae120.access-a.sech-fra.netarch.akamai.com (72.52.48.197)  18.101 ms
    ae121.access-a.sech-fra.netarch.akamai.com (72.52.48.205)  23.713 ms
10  a72-52-63-24.deploy.static.akamaitechnologies.com (72.52.63.24)  17.877 ms
    a72-52-63-22.deploy.static.akamaitechnologies.com (72.52.63.22)  13.727 ms
    a72-52-63-19.deploy.static.akamaitechnologies.com (72.52.63.19)  18.156 ms
11  a72-52-52-196.deploy.static.akamaitechnologies.com (72.52.52.196)  18.162 ms  18.747 ms
    a209-200-162-40.deploy.static.akamaitechnologies.com (209.200.162.40)  19.967 ms
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *


[edit]
Ein Vlan mit nur 3 rechnern drin wird nicht blockiert. Im blockierten Vlan sind die Rechner in einer Active Directory.


Hat jemand ein Hinweis für mich?


=> Sensei (im Passive Mode) auf ein anders nicht benutztes vlan gesetzt und es geht alles wie es soll

Hallo,

ich versuche nun schon länger Multiwan mit Loadbalancing sauber zum laufen zu bekommen. Ich bekomme es nicht hin das die DNS Firewall Rule greift. Mit der default Allow-All Rule mit dem default Gateway geht alles. Sobald ich ausgehenden Netzwerktraffic über die WAN-Gruppe leiten will und DNS auf die Firewall bekomme ich DNS Probleme.

Hat jemand einen Tipp für mich?

Danke  im Vorraus.

edit: OPNsense_Services ist Port 53,853,123

Hallo,

bin gerade Wireguard VPN am testen .... war sogar einer meiner Hauptgründe mich für OPNsense zu entscheiden :D .... Funktioniert eigentlich  soweit so gut. Manchmal muss ich jedoch Neu starten, da anders kein Handshake funktioniert. Ist hier irgendetwas bekannt?

Hallo,
ich bin mich momentran mit dem Thema "High Availibilty" am beschäftigen. Was mir jedoch unklar ist, wie ich meine 2 WAN an die 2 OPNsense's anschließe. Glaube nicht das hier ein normaler Switch funktioniert, um z.B. ein Glasfasermodem im Bridge-Modus an 2 Firewalls anzuschließen.

Hier mal wie ich denke das es sein sollte. Beide WAN Anschlüsse an beide OPNsense's. Aber wie schließe ich ein Modem an 2 Firewalls????

Code Select Expand



                WAN                           WAN
                 :                            :
                 : Kabeldeutschland          : Glasfaser-Provider
                 :                           :
             .---+---.                .--+--.
         Kabelmodem |                / Modem Glasfaser zu Ethernet
             '---+---'     \       /       '--+--'
                 |          \ ????/       |
                              \   /          |
                 |             / \          |
            .----+----.     /     \ .----+----.
            | OPNsense1 |         | OPNSense2 |
            '----+----'              '----+----'
                   |                    |
                   |                    |
                   |      .----------.   |
                 +------| Virituelle OPNsense |------+