Messages

Dear all!

I am trying to access the following functionality right now and then to use CRON to poll in intervals of 5-20s:

- monitor CARP status (I can do that with BSD shell script and ifconfig)
- check if WAN is enabled or disabled (there is a PPPoE on WAN)
- enable or disable WAN (and dependent PPPoE connection), based on CARP status
- (in case this is needed) make interfaces aware that their status was changed

I am struggling with the pfSense documentation of this, already waded through the GIT sources.

I only just started with OPNsense (I hope you do not mind, I just use the tool that does the job) and think I cannot expect better documentation, but perhaps better pointers at what to do in this forum.

You might already guess it.. the result should be a PPPoE-CARP-like setup, just without HA, but also with (slower but automatic) failover on the WAN, where the CARP Backup automatically stats or stops its PPPoE connection when it becomes Master.

(Also: for both pfSense and OPNsense, the Dial-on-Demand option on the PPPoE connection is just not doing anything - or I have failed to block some traffic, but believe me, I have blocked everything at least by firewall rules apart from the anti-lockout-rule. If it was working, it should also do exactly what I am looking for.)

Thanks!!

This works on pfSense, I just checked in opnSense and the file is gone, not knowing much about BSD I cannot comment on a workaround. Perhaps this works as a starting point for you:

https://forum.pfsense.org/index.php?topic=60233.0#msg324124

Code Select Expand

/usr/local/sbin/pfSctl -c 'interface reload wan'

It is only for restarting PPPoE though, probably just disabling and enabling the interface does the same trick.

Your options should be:

1) run the PPPoE in the router, then you have issues like NATting and similar that you need to enable in the router as well as the *sense configuration changing
2) initiate PPPoE connection only from one of the firewalls, preferably the one being CARP master. Generally, this should work with some combination of Dial-on-Demand and disabling the gateway monitoring, I have not been able to make this work though. Also, I do not think you will get HA here, just moderate availability with a failover taking several seconds.

Little old school ;) but working, thanks!

Hello!

I am trying to view the PPPoE (PPP) logs, and I am searching for a view that is similar to the pfSense equivalent. It should exist in opnSense too, at least I found this screenshot:

http://screenshots.portforward.com/routers/OPNsense/15.1.12-i386/Status_System_Logs_VPN_PPPoE_Raw.htm

but not how to get there.

How do I get to a more extensive view of the logs? (I only found System/Log File, but a lot is missing there and it looks completely different from above screenshot.) Everything else seems to be split all over the place, but I have not found yet what I want.

Using opensense 17.1.

Many thanks!

Die IP des Routers hatte ich geändert, weil er erst von früher eine lokale IP im LAN hatte (die IP spielt im Bridge Modus ja keine Rolle). Da konnte ich also der *sense keine IP in demselben Subnetz geben. Also (noch) ein neues Subnetz aufgemacht für das Interface.

Als Gateway hatte er funktioniert, k. A. warum der Rest nicht ging, da hatte ich nach einigen Stunden aufgegeben. (Fehlersuche, wenn man gerade den Internetanschluß verkonfiguriert hat, dauert ewig.. war auch der 10. Fehler beim versuchten Umbau).

Dann werde ich diese Tage nochmal einen Anlauf starten.

Wenn das mit DMZ/doppeltem NAT ordentlich laufen sollte, bin ich ja mal gespannt, das ganze soll ja dann in CARP bzw. HA enden, und einen zweiten Router (LTE) möchte ich auch noch anschließen, falls mit dem VDSL mal was sein sollte.

@Jens
Ups.. ich bitte um Verzeihung!
Zumindest habe ich dein Geschlecht nicht verwechselt, das ist mir in letzter Zeit auch schonmal passiert, beim schnellen Überlesen von Namen..

Ja, DMZ gab es auch, aber du hast recht, daran hatte ich gar nicht gedacht. An sich müßte ich die lokale WAN IP der *sense als DMZ Rechner eintragen. Vielleicht probiere ich das nochmal. Macht so etwas eine IPSEC Verbindung nicht.. instabiler? Ich frage, weil ich so schon an einigen Verbindungen ordentlich lange rumgefrickelt habe, bis sie (halbwegs) stabil liefen. Da sind 10 unbekannte Firewalls auf der jeweils anderen Seite..

Es ist übrigens ein Telekom Zyxel. Von den Optionen her scheint er ok zu sein, nur unendlich langsam in der Oberfläche, und ich bin die Fritzboxen gewohnt, da weiß ich mittlerweile, an welcher (teilweise auch unerwarteten) Stelle ich etwas finde.

Ein anderes Problem, das ich hatte, war, dass ich in dem Setup mit NAT und ohne Bridge dann den Zyxel aus dem LAN nicht mehr erreichen konnte. Ich hatte mir dafür vorher extra noch ein 2. Interface auf das WAN gelegt und die IP vom Zyxel verschoben, das ich dann jedoch wieder gelöscht hatte. Aber das sollte das kleinste Problem sein, irgendetwas noch nicht korrekt konfiguriert.

@Jörg
Danke!

Ich habe gestern den Router so umgestellt, dass er selber PPPoE macht, und dann per NAT alles auf die Firewall IP umgeleitet - bzw. alle Ports, wo das ging, einer im 30000er Bereich war reserviert.

Jetzt habe ich aber mit IPSEC Probleme, alle Verbindungen zeigen NAT-D an, und einige funktionieren nicht mehr.

Noch eine Verständnisfrage: es gibt doch nur externe (VDSL) Router? Sowas als Karte oder USB Stick gibt es doch seit 56k/ISDN Zeiten nicht mehr? Weil du von einem externen Router sprichst.

Hallo Jörg,

bist du schon weiter mit dem CARP Teil?

Ich möchte genau dasselbe machen.

Habe aktuell statische IP via PPPoE, damit die Firewall auch die statische IP hat, dort enden einige IPSEC Verbindungen, auch OpenVPN zur Einwahl.

Jetzt würde ich gerne CARP benutzen, da schonmal eine Firewall "ausfällt", d. h. bei mir, der Host startet neu (Firewall ist virtualisiert), aber auch ein Hardware-Fehler ist ja durchaus denkbar.

Viele Grüße
andi

Hallo,

genau dasselbe frage ich mich auch.

Mein Vertrag hat auch nur eine öffentliche IP, eine 2. Firewall als Fallback wäre jedoch sehr schön.

Viele Grüße
andi