Topics

Pessoal...

Tenho dois firewalls em HA e configurações Wireguard. Tudo funciona perfeitamente bem no HA.
Porém o wireguard não respeita o MASTER / BACKUP ficando ativo nos dois firewalls e bagunçando minhas vpns.
Tenho que inativar o sync do wireguard no CARP e desativar o serviço no fw2 e quando ativo o preemptive (deixando o fw2 como master), tenho que desativar o wireguard no fw1 e ativar no fw2.
Sabem me dizer se existe algum patch sobre isso e algo no roadmap de correção?

Boa tarde pessoal.

Estou pensando em implementar LAGG em 02 interfaces LAN de 02 firewalls distintos (totalizando 4 portas LAN em um port-channel 1). Os dois firewalls estão em HA, os port-channels serão configurados no switch para redundância entre todo o ambiente.

Alguém aqui já implementou algo similar? Alguma indicação de LAB ou sugestão?

Bom dia pessoal.

Vou tentar explicar o problema..

Cenário: Opnsense, dual wan com failover para saída. OpenVPN fora do opnsense (na LAN), no client.conf do openvpn (dos clientes) passo meus dois IPs que estão no opnsense como remote (em ordem, principal e secundário).

Objetivo: Clientes usando os dois remotes de entrada no OpenVPN (se o principal estiver fora, o secundário assume).

Problema: Em alguns casos, precisamos realizar acessos no ip secundário pois o primário não cai por completo e caso um acesso no ip principal tenha sido feito, tenho que esperar que o State expire para realizar uma nova conexão no ip secundário.

Questão: Existe alguma forma de não gerar states (ou reduzir o tempo de wait) apenas para as regras de VPN? Isso é possível? Qual seria a melhor abordagem!

Obrigado!

Bom dia pessoal!

Estou testando uma configuração de URL rewrite (http para https) com as seguintes configurações:

Code Select Expand


HTTP Server:

http: 80 | https: 443
Server Name: exemplo.org
URL Rewriting: exemplo
TLF Certificate: exemplo.org
Cliente CA Cert: RapidSSL
HTTPS Only


Code Select Expand


URL Rewriting

Short Desc: exemplo
Original URL Pattern: / (tentei .* tambem)
New URL Patter: https://outrodominio.org/
Flag: Redirect (tentei permanent)


O que acontece: Fora da rede (na internet), funciona perfeitamente. Dentro da Rede não é exibido a pagina.
Os IPs que respondem pelo nome "exemplo.org" são os IPs externos do meu opnsense. O nginx não deveria capturar estes acessos vindos da LAN?
É necessário alguma rule para que a LAN chegue ao nginx?
Não achei nada concreto sobre estas configurações na internet.
Agradeço qualquer ajuda!

E aí pessoal, boa tarde!

Estou com um cenário curioso por aqui, estou usando um servidor OpenVPN dentro da minha LAN e faço NAT de entrada da porta 1194 nos meus dois links de internet conectados no opnsense para este OpenVPN. Quando ajusto o OpenVPN para operar em modo TCP, as regras de NAT para ambos os links externos (entrada) funcionam perfeitamente. Quando uso o OpenVPN em UDP, apenas o NAT no ip externo principal (rota default) funciona. Alguém já passou por isso ?

Estou querendo usar UDP pois a princípio tive uma melhoria de desempenho com este protocolo. Porém consegui acesso com redundância apenas em modo TCP.

Obrigado!

Bom dia pessoal, estou testando o wg com dual wan e parece que quando o link principal cai o serviço para de funcionar, pensei em criar um script para verificar o cenário de dualwan e em caso de queda, reiniciar o wg para funcionar com o link secundário.
Os clientes conectariam em um DNS com RR e usaria um keepalive para validar o endpoint do opnsense.. isso parece funcional para vocês? Quanto ao script, algo nativo que eu possa criar e usar no próprio opnsense? Obrigado!

Bom dia pessoal. Existe alguma forma de alterar a página de erro padrão para um acesso web incorreto no opnsense? Em alguns lugares indicam ajustar no Webproxy, em outros no nginx. Não usamos o webproxy por aqui. Existe alguma possibilidade de customizar essas páginas?

Imagem de exemplo em anexo.

Bom dia pessoal, perguntinha boba.. alguém já alterou o certificado ssl do acesso web ao fw para um letsencrypt mediante uso do próprio serviço dentro do opnsense? Vi que ele tem uma configuração de cron, logo deve ter algo pra renovar os certificados ssl pelo acme do letsencrypt/certbot.
Obrigado!

Bom dia pessoal, estou estudando uma otimização para rede local e me deparei com algumas pedras no caminho. Vou habilitar 3 VLANS no meu switch L2 e usar o opnsense como router L3 via trunk (entre os dois). Até aí tudo bem, quando uma VLAN quiser conversar com outra VLAN será roteada pelo opnsense. Minha duvida seria com relação a conexão entre o opnsense e a pilha de switch, seria uma porta em modo trunk com todas as VLANs passando? Como seria a comunicação entre a pilha e o opnsense? com tag de VLAN? o NAT para dentro, se esta porta for trunk, posso criar regras de entrada para qualquer VLAN que o opnsense entregará ao switch que fará a entrega no host?
Obrigado!

Boa tarde pessoal, saberiam me informar se é possível restaurar apenas as configurações do plugin os-nginx do opnsense? Estou criando uma nova configuração em outro equipamento e estou configurando o firewall do zero. Como as configurações deste plugin são gigantescas, gostaria de saber se é possível realizar a restauração apenas deste serviço. Algum link de indicação? Obrigado!