OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Shihatsu »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Shihatsu

Pages: [1] 2
1
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 13, 2022, 07:34:02 pm »
Nochmals, ganz freundlich und als Bitte: hilf bitte jemand anderem, du schaffst das, ganz bestimmt, du must dich nicht mehr mit meinem rumgeheule beschäftigen, denn ich werde dir sicherlich nicht mehr antworten und würde dich bitten dieses Thema und mein Anliegen nicht weiter zu beschädigen, danke!

2
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 10, 2022, 06:27:45 pm »
Quote from: NilsS on May 10, 2022, 04:55:13 pm
zu 2. er schrieb VLAN und VLAN fähiger Switch, daher uninteressant geht auch mit 1 Port
zu 3 und 4. jede sense verhält sich in den Netzen der FB und LTE Router wie ein ganz normaler PC. Portforwading auf die einzelnen Hosts ist nicht nötig, lediglich auf die CARP IP im jeweiligen Netz.

Du wirst bei allen Setups immer den CPE als SPOF haben, solange du nicht vom Provider ein VRRP Setup aufgestellt bekommst.
Als redundanz für den Ausfall der FB kannst du dir einfach eine zweite hinstellen, default Netz jeder FB ist das 192.168.178.x daher kannst du die einfach tauschen, nur den exposed Host auf die CARP IP setzen und Zugang konfigurierien bzw. Autoprovisioning nutzen

Der Switch wäre genauso ein SPOF, könntest du aber auch mittels MLAG fähigen switchen mit besagten r210 mit 2Ports nutzen, wäre aber sicher bloated, denn auch da ließe sich für den ausfall ein zweites gerät mit gleicher config hinstellen.

Es geht nach oben immer viel, Frage ist ob es sich lohnt.
Danke, endlich mal jemand der sich mit der eigentlichen Fragestellung beschäftigt, welch Wohltat!
Ja, das CPE / Modem / Router / whatever ist natürlich nicht redundant, daher davon 2. Wenn ich das am Ende alles so aufgesetzt kriege wie ich mir das vorstelle setze ich vielleicht einen 2ten Switch ein. Eine "Reserve" Fritzbox liegt im Rack, LTE habe ich testweise auch mal durch ein Telefon mit USB-Tethering simuliert.
Ich glaube ich habe mitlerweile auch MultiWAN mit CARP fertig, werde das noch ausführlich testen - offenbar kam es hier auf die richtige Reihenfolge an: Erst MultiWAN, dann carpen. Oder ich habe bisher etwas falsch gemacht, ich weiß es nicht, aber fürs erste scheint es zu laufen.
Als nächstes kümmere ich mich dann um den bzw. die VPN Tunnel. Dazu wird es dann wohl 2 VPN Server pro OPNsense, aber wie gesagt: Soweit bin ich noch nicht. Erst einmal will ich jetzt sicher gehen das das jetztige Setup sauber stabil läuft.

3
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 10, 2022, 06:15:55 pm »
Ich hab mit diesen beiden Dells schon Carp am laufen gehabt, daraus erschließt sich einem denkenden Menschen das sie dafür vorbereitet sind - ja, das schließt eine zusätzliche Netzwerkkarte in beiden ein, und das setzt auch voraus das ich die Anleitung gelesen habe. Ich hatte auch schon Mulitwan am laufen, auch das schrieb ich - wenn man jetzt 1 und 1 zusammen zählt stellt man vielleicht fest das der wAP das unterstützt - das war übrigens der Kaufgrund für genau dieses GErät: 2 als WAN verwendbare RJ45 Gigabit Ports. Die Fritzbox eignet sich durchaus dafür, wie ich mitlerweile aus einem anderen Forum gelernt habe.
Fazit: Du liest meine Posts nicht sorgfältig, das NERVT - bitte beteilige dich nicht mehr an diesem Thema.

4
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 08, 2022, 05:41:10 pm »
Nein, die Anforderungen fehlen nicht:
MultiWAN, Multinetz, CARP + VPN auf Basis von OPNsense. Steht da. Wenn ich das nicht auf Basis von OPNsense machen wollen würde, wäre ich nicht hier, wenn was rausfliegen kann, gerne, aber mit Sicherheit NICHT die OPNsense die den Kern meines Netzwerks als Router abbildet. Magst du mir vielleicht noch was hilfreiches dazu schreiben wie man meine neuen Anforderungen erfüllen kann? Dazu hast du noch kein Wort verloren - das was du machst nennt sich im Forensprachgebrauch "derailen" - magst du das bitte lassen? Danke!

5
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 08, 2022, 05:15:52 pm »
Ich hab hier 10 VLANs, 2 relativ getrennte physische Netze, MultiWAN Setup und Multi-Firewall-Setup im Failover. Ich hab relativ gut ausgearbeitete Firewallregeln auf den verschiedenen Netzen. Ich nutze meine OPNSense durchaus, danke der Nachfrage. ISt für meine Anfrage aber völlig unerheblich, ich hab ja recht deutlich geschrieben was ich will.
Magst du auch Hilfe anbieten oder stellst du erst einmal nur die Anforderung an sich in Frage? Wenn ersteres: Lass mal hören. Wenn letzteres: Mach das doch bitte woanders - du liest meine Anforderungen nur zur Hälfte, ignorierst die andere und stellst die gelesene in Frage. Keine Plan was du dir davon versprichst, mich störts jedenfalls. Das ist keine Hilfe, in keiner Form.

6
German - Deutsch / Re: Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 08, 2022, 03:46:24 pm »
Eine Fritzbox scheitert spätestens an VLANs - die hast du irgendwie überlesen. Genauso CARP-Failover und MultiWAN. Letzteres kann sie zwar, aber bleibt dabei SPOF - genau das will ich ja umgehen mittels Failover und MultiWAN.

7
German - Deutsch / Netzwerk neu aufsetzen - MultiWAN, Failover, VPN, Telefon, weiteres...
« on: May 08, 2022, 02:21:32 pm »
Moin!
Ich möchte mein Netzwerk neu aufbauen, was die Konnektivität nach außen angeht.
Im Moment habe ich VDSL von der Telekom an einer Fritzbox, an der Fritzbox hängen meine Telefone, hinter der Fritzbox hängt meine OPNSense. Nicht als exposed host oder PPOE passthrough, sie bietet nur einfach ein Netz an, das die OPNSense als WAN benutzt. WLAN, DHCP oder sonstiges von der Fritzbox wird nicht genutzt, nur WAN und Telefon.
Über die OPNSense mache ich DHCP und DNS, außerdem sind dort meine VLANs definiert. Dieses Setup läuft soweit.
Was ich auch schon hatte, aber im Moment nicht, aber da möchte ich wieder hin, sind 2 OPNSenses im CARP-Failover.
Was ich ebenfalls schon hatte, allerdings nicht funktionell zusammen mit CARP, war DUAL-WAN (DSL+LTE).
Bis hier hin soweit alles klar, aber jetzt kommen ein paar neue Anforderungen:
Ich möchte ein paar Mobilgeräte dauerhaft in meinem Netz haben, damit ich einerseits mit diesen Mobilgeräte Ressourcen in meinem Netz verwenden kann, und anderseits den Netzverkehr dieser Geräte kontrollieren kann (Adblock, Webfilter für Kinder, ...). Also erste neue Anforderung: VPN.
Außerdem würde ich gerne Failover UND Multiwan zusammen nutzen. Meine bisherigen Versuche in diese Richtung waren aber eher weniger geil. Also zweite neue Anforderung: Multiwan + CARP.
Und natürlich - das ist die dritte - aber nicht neue - Anforderung würde ich gerne meine Fritz-Telefone weiterhin nutzen.
Meine beiden OPNSenses laufen auf DELL 210ern, meine Fritzbox ist eine 7530, mein LTE-Zugang stellt ein Mikrotik wAP AC LTE 6 her und als Switch dahinter nutze ich einen Mikrotik CRS 328.
Wie würdet ihr meine Anforderungen umsetzen? Ich kann auch notfalls andere / neue Hardware anschaffen (z.B. ein anderes Modem oder so...), aber was nicht muss muss ja nicht...

8
21.7 Legacy Series / Re: VLANs, HA/Carp, Unbound and now MultiWAN - the latter not working with VLANs
« on: December 09, 2021, 02:06:46 pm »
Quote from: Skaamy on December 09, 2021, 10:43:15 am
Hello,

I've a similar config, no issue with VLANs but with CARP/HA. Can you tell me if it behave the same for you ?

Config is :
- 2 WAN with a gateway group
- CARP configured for WAN/LAN

When my first WAN goes down, it does no use the second one, but CARP is taking the advantage and all my traffic is handled by the second OPNSense.

Thanks in advance if you can tell me how it works for you...
Heya, a fellow painstaker... Yeah, behaves the same, and I think it is the "correct" behaviour. I will tinker a bit with it later on and will share my information, my idea is the following: CARP1 has WAN1 als T1 and WAN2 as T2 and CARP2 has WAN2 as T1 and WAN1 as T2.
I guess MultiWAN and CARP need to be updated, because this scenario is highly undocumented.

9
21.7 Legacy Series / Re: VLANs, HA/Carp, Unbound and now MultiWAN - the latter not working with VLANs
« on: December 08, 2021, 09:09:24 pm »
For naybody who may come into the same problem: the firewall rules (the access to all rule) need to be changed to gatewaygroup, but a rule has to be added also - and this one does not use "gateway group" as gateway, but the standard asterix, and this one must towar all VLANs. Me is dumb, thank you.

10
21.7 Legacy Series / VLANs, HA/Carp, Unbound and now MultiWAN - the latter not working with VLANs
« on: December 08, 2021, 10:03:52 am »
So my Setup was basically this:
Fritzbox with DSL.
Two OPNsense connectect to the Fritzbox, both in CARP HA setup - working fine:
https://www.thomas-krenn.com/en/wiki/OPNsense_HA_Cluster_configuration
A Mikrotik Switch connected to the OPNsenses and everything else, including WiFi-AP.
The OPNsense had 12 networks with the repective interfaces: LAN, WAN, CARP, VLAN10,20,...90.
I have Unbound DNS running for my naming solution.
Until here everything is working fine.

Now I added a seceond WAN port on OPNsense 1, which stands for a second Gateway - MultiWAN setup to get additional Redundancy - have a mayor incidence with my DSL provider. I used the following guide mostly:
https://docs.opnsense.org/manual/how-tos/multiwan.html
It is working fine for my LAN, but all my VLANs are not working. I have done the following:
  • Add the second gateway and make it work - when I did this I did not check the VLAN functionality. I assume it is not working. But LAN is working fine, so the gateway is doing its job (It is a Fritzbox 6820LTE, but will be replaced soon). In the same step I added monitoring IPs (DNS of quad9) and unchecked "Disable Gateway Monitoring" and "Mark Gateway as Down".
  • Creating a gateway group, adding trigger, priority and tiers
  • Changing the "Default Access to all rule" of LAN and a first VLAN to Gateway group from *
  • I did not change DNS under System ‣ Settings ‣ General because I use Unbound (tried this ofc, does not fix my error)
  • I allready had a DNS allow rule, because I also have a "disallow external DNS" (to avoid devices use not Unbound)
So, after I ahve done all of this I can access the Internet and everything in Lan, but nothing in VLAN. What do I miss, where to look? I can ping the VLANs from the respective OPNsense (Interface Diagnosis). I cannot access the respective "other" Fritzbox, only the active one which is connected to my current Gateway.

11
21.7 Legacy Series / Re: Howto use printer in one vlan from a different vlan
« on: November 23, 2021, 07:17:42 pm »
Uhm, thank you, but what should I look here for? The WiFi is as I said an Omada Controller controlled EAP 660 HD, which fully supports VLANs, and which is fully working for everything else (like sharing Filesystems accross VLANS/LAN, getting access to internet or not, according to the rules of the respective VLAN in the OPNsense Firewall). WiFi is working quite okay, don't know what to check - and I can access the printers WebUI, as mentioned before.
Any suggestion where to check logfiles?

12
21.7 Legacy Series / Howto use printer in one vlan from a different vlan
« on: November 22, 2021, 10:04:25 am »
Heya!
I have some issues with my VLAN-setup.
My Setup be the following:
2 Dell PowerEdge R210 with OPNsense 21.7.5-amd64 behind a Fritzbox, Failover with Carp, LAN, WAN, CARP, several VLANs
As Switch a Mikrotik CRS328 is used, as well as a TPlink EAP 660 HD WiFi Accesspoint
A Canon printer works for paperwork and is attached to the network via WiFi.
I have several VLANs, in which I segment groups of devices, for example mobile devices, devices of the kids and so on. Some of these VLANs are also available as different WLANs via the AP.
Until recently I did not yet move my printer into one of the VLANs, it was still in my LAN, and it was accessible from every VLAN that had access via Firewall rules to LAN. Now i moved my printer to a VLAN which has access to the internal VLANS and LAN, but not to the Internet. I cannot access the printer anymore in menas of "printing services", but I can access the web ui of the printer.
I googled a bit and found the MDNS repeater plugin, installed and configured it on both OPNsense instances for all respective networks (LAN and two VLANs, one with the printer in it, the other for mobile devices),  and added the needed firewall rules in the two VLANs (LAN has "access all" default rule:
Pass    IPv4 TCP/UDP    VLANx    5353    224.0.0.251/24
Pass    IPv6 TCP/UDP    VLANx    5353    ff02::fb/64
But I cannout find the printer in any printer dialog from any other network. What should I do for troubleshooting?

13
German - Deutsch / Re: Moin, CARP und VLANS - wie umsetzen?
« on: July 11, 2021, 04:35:54 pm »
Huhu, wie kann man hier ein Thema als gelöst markieren?
Die Lösung ist recht einfach. Man muss DHCP auf beiden Geräte konfigurieren und aktivieren und danach synchen - nicht auf dem MAster und dann auf den Backup synchen. Muss man wissen. Nunja. Danke!

14
German - Deutsch / Re: Moin, CARP und VLANS - wie umsetzen?
« on: July 09, 2021, 08:42:16 pm »
Klar, gerne, alles was hilft!
Das hier ist vom MAster, bis auf die andere Failover-IP ist das identisch. Fehlt noch was bzw. was soll ich noch liefern?

15
German - Deutsch / Re: Moin, CARP und VLANS - wie umsetzen?
« on: July 09, 2021, 07:10:27 pm »
Huhu, ich muss das nochmal hochholen. Wie krieg ich DHCP auf den VLANs sauber aktiviert?
Ich richte die VLANs mit Carp folgendermassen ein:

  • VLAN hinzufügen *2
  • Interface assignen *2
  • Interface aktivieren *2
  • VIP aktivieren *1 (nur auf dem Master)

Dann kommen die Firewall Rules:
Kopie der "Default Access Rule von LAN für VLANs und Outbound NAT.
Dann synche ich den Master zum Backup.
Wenn ich da rein jetzt einen Rechner hänge, kann der sauber seine beiden OPNsense pingen und hat DNS und Route ins Internet. Wenn ich jetzt aber DHCP4 auf dem Master aktiviere und dann synche und dann daran einen Rechner hänge, kriegt der keine IP und kommt nicht ins Internet (logisch).
Der DHCP Status sieht dann wie folgt aus:
Code: [Select]
dhcp_lan (LAN) normal 2021/07/09 16:54:30 UTC normal 2021/07/09 17:03:11 UTC
dhcp_opt2 (VLAN_10) recover 2021/07/09 17:03:11 UTC unknown-state 2021/07/09 17:03:11 UTC
Das passt auch zum log:
Code: [Select]
2021-07-09T19:06:58 dhcpd[48361] DHCPDISCOVER from 00:15:58:80:31:82 via bce1_vlan10: not responding (recovering)
Was ist hier falsch konfiguriert? Ich bin mir sicher das es an meiner Dummheit liegt...

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2022 All rights reserved
  • SMF 2.0.18 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2