1
German - Deutsch / Re: Verbindungsproblem zwischen opnSense Firewalls nach Update
« on: Today at 09:02:45 pm »
Die States löschen sollte reichen.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
German - Deutsch / Re: Verbindungsproblem zwischen opnSense Firewalls nach Update
« on: Today at 08:14:38 pm »Was nicht funktioniert:
Verbindungen zwischen FW01 und FW02 (beide im selben Subnetz) funktionieren nicht.
Die Verbindung von FW01 zu FW02 wird nicht aufgebaut.
Die Verbindung von FW02 zu FW01 wird ebenfalls nicht aufgebaut.
Hallo,
du meinst direkt von FW1 bspw. ein Ping auf FW2 WAN IP geht nicht, obwohl es die Regeln erlauben?
Wie sind die WANs der Geräte miteinander verbunden? Hängen die an einem Switch, oder müssen die über ein externes Gerät kommunizieren.
Ist die WAN Subnetzmaske auf beiden korrekt?
Findest sich die IP der anderen FW in der ARP Tabelle nach dem Versuch, sie zu pingen?
3
General Discussion / Re: My VM's traffic not passing thur OPNsense
« on: Today at 04:28:42 pm »
OPNsense can only see, what it gets provided from Proxmox.
It's recommended to provide virtIO network cards.
I suggested to assign different subnets to WAN and LAN. If both have IPs in the same subnet, OPNsense is not able to route any traffic.
It's recommended to provide virtIO network cards.
I suggested to assign different subnets to WAN and LAN. If both have IPs in the same subnet, OPNsense is not able to route any traffic.
4
General Discussion / Re: My VM's traffic not passing thur OPNsense
« on: Today at 12:46:37 pm »
vmbr1 is your VMs LAN network.
In Proxmox remove the IP address from vmbr1.
Connect the OPNsense WAN to vmbr0 and the LAN to vmbr1. Assign an IP to both, for the LAN you have to use a different subnet, however. The LAN IP is the default gateway for your VMs.
Connect all your VMs to vmbr1.
If you enable the DHCP server in OPNsense on LAN, the VMs get their IP, gateway and DNS settings automatically from OPNsense.
The VMs should have internet access then.
In Proxmox remove the IP address from vmbr1.
Connect the OPNsense WAN to vmbr0 and the LAN to vmbr1. Assign an IP to both, for the LAN you have to use a different subnet, however. The LAN IP is the default gateway for your VMs.
Connect all your VMs to vmbr1.
If you enable the DHCP server in OPNsense on LAN, the VMs get their IP, gateway and DNS settings automatically from OPNsense.
The VMs should have internet access then.
5
General Discussion / Re: Outbound WAN routing not working
« on: December 02, 2024, 11:37:36 pm »
The outbound NAT does only address translation.
To direct traffic out to a non-default gateway you have to add a Policy based routing rule to the Video interface. See: https://docs.opnsense.org/manual/firewall.html#policy-based-routing
To direct traffic out to a non-default gateway you have to add a Policy based routing rule to the Video interface. See: https://docs.opnsense.org/manual/firewall.html#policy-based-routing
6
General Discussion / Re: Transparent Bridge - How to get Internet Access On Additional OPT Port?
« on: December 02, 2024, 09:37:56 am »
So the ASUS router gets the public IP. I didn't watch the videos, but I don't think, they cover this.
So I'd remove the bridge and configure the public IP on the OPNsense WAN. Do you have issues with double NAT behind the ASUS? If so possibly you can set it into bridge mode.
So I'd remove the bridge and configure the public IP on the OPNsense WAN. Do you have issues with double NAT behind the ASUS? If so possibly you can set it into bridge mode.
7
German - Deutsch / Re: Suche Anleitung für passtrougth und carp bei wan
« on: December 01, 2024, 11:36:35 pm »
Ja, Switche stellen Layer 2 Verbindungen her, auch dumme, und auch Bridges.
Aber wohl nicht die Mikrotiks. Das sind Router und arbeiten auf Layer 3.
Du könntest die Mikrotiks natürlich irgendwie zusammenschalten und die Interfaces bridgen, um eine L2 Verbindung herzustellen. Der übliche Weg ist aber, einen Switch dazwischen zu schalten. Wenn absolute Redundanz erforderlich, könnten das auch 2 sein.
Dasselbe gilt für die WAN-Seite der Mikrotiks. Wofür die auch immer gebraucht werden.
Aber wohl nicht die Mikrotiks. Das sind Router und arbeiten auf Layer 3.
Du könntest die Mikrotiks natürlich irgendwie zusammenschalten und die Interfaces bridgen, um eine L2 Verbindung herzustellen. Der übliche Weg ist aber, einen Switch dazwischen zu schalten. Wenn absolute Redundanz erforderlich, könnten das auch 2 sein.
Dasselbe gilt für die WAN-Seite der Mikrotiks. Wofür die auch immer gebraucht werden.
8
General Discussion / Re: Transparent Bridge - How to get Internet Access On Additional OPT Port?
« on: December 01, 2024, 10:46:12 pm »
This requires, that you assign an IP to the bridge or to OUT and NAT the WORK subnet to it.
I assume, that your "ISP modem" is a router in fact, so that you have a private subnet between it and the ASUS router.
So you have to add the ISP router as an upstream gateway. Then assign an IP to OUT and state this as gateway below.
I assume, that your "ISP modem" is a router in fact, so that you have a private subnet between it and the ASUS router.
So you have to add the ISP router as an upstream gateway. Then assign an IP to OUT and state this as gateway below.
9
German - Deutsch / Re: Suche Anleitung für passtrougth und carp bei wan
« on: December 01, 2024, 10:38:19 pm »
Hallo,
ja, CARP braucht normalerweise statische IPs. Und das sollten gleich 3 je Subnetz sein, also auch am WAN.
Mit etwas mehr Aufwand lässt sich das aber auch mit einem privaten Subnetz am WAN lösen.
Voraussetzung ist auch, dass die Interfaces der beiden OPNsense, die sich eine CARP VIP teilen, auf Layer 2 miteinander kommunizieren können. Das scheint über die Mikrotiks nicht gegeben zu sein.
Welche Funktion haben die eigentlich?
Die Erfordernis von 3 IPs je Subnetz nehmen die dir auch nicht ab. VRRP hat dieselben Voraussetzungen, funktioniert auch ganz ähnlich.
ja, CARP braucht normalerweise statische IPs. Und das sollten gleich 3 je Subnetz sein, also auch am WAN.
Mit etwas mehr Aufwand lässt sich das aber auch mit einem privaten Subnetz am WAN lösen.
Voraussetzung ist auch, dass die Interfaces der beiden OPNsense, die sich eine CARP VIP teilen, auf Layer 2 miteinander kommunizieren können. Das scheint über die Mikrotiks nicht gegeben zu sein.
Welche Funktion haben die eigentlich?
Die Erfordernis von 3 IPs je Subnetz nehmen die dir auch nicht ab. VRRP hat dieselben Voraussetzungen, funktioniert auch ganz ähnlich.
10
Virtual private networks / Re: Ipsec with 1:n NAT and virtual IP
« on: December 01, 2024, 08:36:35 pm »I kept getting this error when no virtual ip alias was assignedSo you have configured a "new connection".
- that's bit different topic, but seems like opnsense uses the "Local addresses" textbox in ipsec not only for p1 auth,
I don't know, if NAT works with that. I even cannot see, where you can state the p2 local network in these settings.
I talked about legacy tunnel settings with p1 and p2.
11
German - Deutsch / Re: OPNVPN Client feste IP zuweisen
« on: November 29, 2024, 11:43:17 am »
Hallo,
ist das ein Legacy Server?
TLS oder User Auth?
Tunnelnetzwerk und Lokales Netzwerk sind identisch??
Ich geh mal von einem Legacy Server aus.
Der Common Name im CSO muss mit dem im Zertifikat übereinstimmen.
Mit "Force CSO Login Matching" in den Servereinstellungen lässt sich dieses auf den Username umstellen.
Das Lokale Netzwerk muss mit einer Netzwerkadresse angegeben werden. Wenn das aber bereits in der Serverkonfiguration angegeben ist und der Client keine anderen Netzwerke braucht, muss im CSO es nicht nochmals angegeben werden.
Die in Tunnelnetzwerk gesetzte IP Adresse sollte der Client dennoch erhalten. Wenn das nicht funktioniert, stelle in der Server Einstellungen den "Verbosity level" auf 4 und verbinde den Client neu. Die Anwendung des CSO müsste dann geloggt werden.
Falls nicht, dürfte mit dem Common Name was nicht passen.
ist das ein Legacy Server?
TLS oder User Auth?
Ich ahbe schon versucht in der Client-spezifische Konfiguration den Common Name und das ipv4 Tunnelnetzwerk anzugeben, aber der Client bekommt dennoch eine zufällige IP.Den Common Name des Client Zertifikats?
Quote
Was mache ich denn da falsch?
VPN: OpenVPN: Client-spezifische Konfiguration
Tunnelnetzwerk und Lokales Netzwerk sind identisch??
Ich geh mal von einem Legacy Server aus.
Der Common Name im CSO muss mit dem im Zertifikat übereinstimmen.
Mit "Force CSO Login Matching" in den Servereinstellungen lässt sich dieses auf den Username umstellen.
Das Lokale Netzwerk muss mit einer Netzwerkadresse angegeben werden. Wenn das aber bereits in der Serverkonfiguration angegeben ist und der Client keine anderen Netzwerke braucht, muss im CSO es nicht nochmals angegeben werden.
Die in Tunnelnetzwerk gesetzte IP Adresse sollte der Client dennoch erhalten. Wenn das nicht funktioniert, stelle in der Server Einstellungen den "Verbosity level" auf 4 und verbinde den Client neu. Die Anwendung des CSO müsste dann geloggt werden.
Falls nicht, dürfte mit dem Common Name was nicht passen.
12
Virtual private networks / Re: Ipsec with 1:n NAT and virtual IP
« on: November 28, 2024, 08:11:49 pm »
Did you try to reconnect the p1?
Is the stated IP configured as local in the p2?
Is the stated IP configured as local in the p2?
13
Virtual private networks / Re: IPSec tunnel is up but no traffic (no bytes in or bytes out)
« on: November 28, 2024, 04:56:51 pm »
Seems to be a p1 issue.
You have to state the outside public IP as "My identifier" on both sites.
You have to state the outside public IP as "My identifier" on both sites.
14
Virtual private networks / Re: IPSec tunnel is up but no traffic (no bytes in or bytes out)
« on: November 28, 2024, 04:24:04 pm »
Did you even allow remote access in Azure?
15
German - Deutsch / Re: HAproxy Konfiguration
« on: November 28, 2024, 01:49:07 pm »
@meyergru
Geschafft!
Es braucht 2 Regeln. Das ging für mich aus deiner Erklärung nicht hervor und führte zur Unklarheit.
Eine für das http-request-redirect und eine weitere, die auf das Map File verweist und ich im Frontend eingebunden werden kann.
Ich kann auch noch bestätigen, dass Wildcards wie www.* (hab ich tatsächlich eingebaut
) im Map File funktionieren.
Ich muss, nachdem ich dieses eingerichtet habe, nochmal bekräftigen, die GUI ist alles andere als übersichtlich. Um einen Überblick zu bekommen, musste ich mir alle für den Zweck benötigen Konfigurationsteile heraus schreiben, das Backend, die beiden Regeln, das Frontend.
Eine GUI sollte eigentlich die Konfiguration erleichtern. Aber in dieser sind die Kategorien dermaßen zerpflückt, dass die Zusammenhänge vollkommen verloren gehen. Die verwendeten, vom HAproxy Konfig File abweichenden Bezeichnungen für die einzelnen Funktionen tun dann ein Übriges.
Das mit dem Map File ist klar, dass dies einen gesonderten Platz in der Konfig hat, weil es verschiedene Zwecke erfüllen kann. Aber ein Backend Pool da, zwei Regeln dort, im Frontend einbinden...
Gewiss, wenn man es ein paar mal gemacht hat, geht es einem wahrscheinlich problemlos von der Hand, aber für einen Neuling ist das nicht zu durchschauen.
Ja, man muss es ja nicht nutzen... Aber die Software nicht zu nutzen kann ja nicht die Intuition der Entwickler sein.
Wie auch immer, ich habe einiges gelernt.
Vielen Dank für die Unterstützung.
Grüße
Geschafft!
Es braucht 2 Regeln. Das ging für mich aus deiner Erklärung nicht hervor und führte zur Unklarheit.
Eine für das http-request-redirect und eine weitere, die auf das Map File verweist und ich im Frontend eingebunden werden kann.
Ich kann auch noch bestätigen, dass Wildcards wie www.* (hab ich tatsächlich eingebaut
) im Map File funktionieren.Ich muss, nachdem ich dieses eingerichtet habe, nochmal bekräftigen, die GUI ist alles andere als übersichtlich. Um einen Überblick zu bekommen, musste ich mir alle für den Zweck benötigen Konfigurationsteile heraus schreiben, das Backend, die beiden Regeln, das Frontend.
Eine GUI sollte eigentlich die Konfiguration erleichtern. Aber in dieser sind die Kategorien dermaßen zerpflückt, dass die Zusammenhänge vollkommen verloren gehen. Die verwendeten, vom HAproxy Konfig File abweichenden Bezeichnungen für die einzelnen Funktionen tun dann ein Übriges.
Das mit dem Map File ist klar, dass dies einen gesonderten Platz in der Konfig hat, weil es verschiedene Zwecke erfüllen kann. Aber ein Backend Pool da, zwei Regeln dort, im Frontend einbinden...
Gewiss, wenn man es ein paar mal gemacht hat, geht es einem wahrscheinlich problemlos von der Hand, aber für einen Neuling ist das nicht zu durchschauen.
Ja, man muss es ja nicht nutzen... Aber die Software nicht zu nutzen kann ja nicht die Intuition der Entwickler sein.
Wie auch immer, ich habe einiges gelernt.
Vielen Dank für die Unterstützung.
Grüße