Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Perun

#31
naja ich habe an dem Iface ne Rule die alles an dem IFace zu der Wireguard GW leitet... da sollte doch auch alles von der src IP an dem iface auch über tunnel geschickt werden oder nicht?
#32
Hallo,

ich habe 2 WG Verbindungen (Mullvad) in verschiedene Länder. Dies funktioniert soweit für einzelne Hosts aus meinem LAN (getestet).

Was ich seltsam finde, wenn ich sowas wie "curl --interface wg1 $url" oder "curl --interface $mullvad_iface_ip $url" an der Konsole ausführe greift er immer mit meiner "normalen" public IP und nicht mit der IP aus dem jeweiligem Ende des WG Tunnels...
Wieso? Was könnte mir da fehlen?

Es gibt je eine FW Rule für alle nicht private IP Hosts als Ziel auf jeweiligem Mullvad Interface mit GW über das Mullvad Interface und je eine NAT Rule die alles am Mullvad Iface auf die Iface Adresse NATed. Wie gesagt Hosts aus dem LAN funktionieren mit so einer Rule aber wieso nicht die IP's die direkt am wgX Interface hängen?

Auf Anfrage kann ich auch mehr Infos liefern...

Vielen Dank für eure Antworten im Voraus!
#33
Quote from: br0ken.pipe on November 01, 2021, 12:01:43 PM
Quote from: mimugmail on November 01, 2021, 10:26:33 AM
But the Firewall see the packet first at LAN inbound direction

thanks, that makes sense.

Here are the rules:

On LAN:
Action: Block
Interface LAN
Direction: in
Protocol: any
Source LAN net
Destination: My Firewall Alias


On WAN:
Action: Block
Interface: WAN
Direction: in
Protocol: Any
Source: My Firewall Alias
Destination: Any

it is ok to make "floating rules" for multiple interfaces?
something like this:

Action: Block
Interface LAN1, LAN2, LAN3, VPN1, VPN2
Direction: in
Protocol: any
Source any
Destination: My Firewall Alias exclude LAN1, LAN2, LAN3, VPN1, VPN2
#34
High availability / Re: Wireguard + CARP
April 08, 2023, 09:25:19 PM
you mean this here?

https://gist.github.com/jprenken/18ca7bf14ddae547ae0fdf6f56d72573

I disable Wireguard on the backup router and wait till the patches are added to a release...
#35
High availability / Wireguard + CARP
April 07, 2023, 02:57:16 PM
Hi

I've a problem with CARP and Wireguard. If my fallback opnsense runs (CARP Backup) then seems that Wireguard lost some UDP datagramms. If I turn it off, then it works ok.
It seems the lose of the datagramms depends on the keepalive interval.
Does someone know such a problem?

Greetz
#36
23.1 Legacy Series / Problems with CARP - bug?
February 01, 2023, 06:50:41 PM
Hi

I have problems since 23.x with one CARP interface. I've 4 of them and one starts on the fallback opnsense initiali in BACKUP status and then after 4-5s it changes to MASTER (with active master on the primary opnsense).
3 other CARP interfaces doesnt have this problem.

I dont have changed the configuration, only update from last 22.x to 22.1 and after this to 22.1_6
It is a known bug?

Greetz

#37
hat sich erledigt ;)

Falls jemand das gleiche Problem haben sollte:
in HAproxy/RS als src ip die IP der opnsense eintragen
in DSM Weiterleitung http->https ausmachen wenn auch SSL Terminierung an der opnsense passieren soll...

Greetz
#38
Hi,

hat jemand die obige Konfiguration am laufen? Irgendwie will es hier nicht... Andere Dienste von der Syno (z.B. nextcloud über webstation) kein Problem. Bei dem Mail Plus Client bekomme ich so eine Seite angezeigt wenn ich es von außen anspreche:

<!DOCTYPE html>
<html>
  <script type="text/javascript">
    var uri = location.pathname + location.search + location.hash;
    var URL = 'https://' + location.hostname + '' + uri;
    location.replace(URL);
  </script>
</html>

ich denke da ist was mit JS was nicht richtig interpretiert wird... HAt jemand sowas am laufen und kann helfen? Configauszug reicht ;)

Vielen Dank im Voraus!
Greetz
#39
German - Deutsch / Re: MultiWAN und IPv6
March 03, 2021, 01:01:32 PM
Ja beide Upstream Gateway sind im selben VLAN. Die Gateways sind erst mal IPv4 seitig statisch konfiguriert.
Wenn ich das richtig verstanden habe werden die Präfixe dynamisch zugewiesen (Vodafone und 1und1)
#40
German - Deutsch / MultiWAN und IPv6
February 20, 2021, 03:02:46 PM
Hallo

ich muss aus bestimmten Gründen beide Borderrouter die mit den IPS's verbunden sind in ein gleiches VLAN packen. Bei 2 verschiedenen VLANs war es kein Problem IPv6 von beiden ISP's zu den 2 Interfaces via DHCPv6 zugewiesen zu bekommen.
Jetzt aber soll ich 1 Interface haben, was dann mit beiden Borderroutern kommunizieren soll. IPv4 Gatewaytechnisch scheint es bei Opnsense kein Problem sein.
Aber was ist mit IPv6? Wie kann die gleiche Schnittstelle 2x DHCP IPv6 Adresse bekommen... Geht es?
Oder muss ich eine Art Alias IP einrichten und die getrennt behandeln?

Hat jemand schon mal sowas gemacht und kann ein bisschen Licht ins Dunkel bringen? :D

Greetz
#41
Alles hinbekommen! Danke noch mal für deine Anleitung!
#42
bist du sicher das die Einstellung:

server:
        tls-cert-bundle: /etc/ssl/cert.pem

korrekt ist? Da sind doch die Certs der opnsense drinnen... Sollte sies nicht auf /usr/local/share/certs/ca-root-nss.crt zeigen wo die root CA's drinnen sind?
#43
Danke für deine schnelle Antwort. Habe erst richtig gelesen dass die http://www.dnssec-failed.org/ eine Fehler ergeben SOLL heheheh Aber nicht desto trotz ich habe immer noch nen "Wurm" drinnen... Die Webseiten die du genannt hast sind auch deutlich besser zum testen :) Danke noch mal!
#44
vielen Dank für die Anleitung!

Ein Problem habe ich noch, die Auflösung von: www.dnssec-failed.org funktioniert nur auf opnsense selbst. Die Domain löst nur auf wenn man DNSSEC benutzt.
Wenn ich auf nem Linux Client via host die Domain auflösen will, funktioniert es nicht obwohl als resolver die opnsense Kiste eingetragen ist... Wieso?
Ich muss doch intern zwischen clients und opnsense kein DNSSEC benutzen oder? Nur wenn's nach "Außen" geht dann soll DNSSEC benutzt werden.
Denke ich irgendwie falsch?
#45
same issue here... how can I apply the patch?