"Recent posts
#21
German - Deutsch / Re: Keine mails nach Hosterwec...
Last post by meyergru - Today at 09:48:07 AMSystematisch testen. Wird der zu erreichende Hostname korrekt aufgelöst (nslookup)? IPv4 und IPv6 (-query=A / -query=AAAA)? Falls nein -> DNS.
Kann man den Host pingen bzw. ist der für den Dienst zuständige Port geöffnet (nmap -Pn -pX -4)? A. von der OpnSense aus und b. vom LAN aus?
Falls A nein: Routing? Falls B nein: Firewall-Regeln oder NAT?
Kann man den Host pingen bzw. ist der für den Dienst zuständige Port geöffnet (nmap -Pn -pX -4)? A. von der OpnSense aus und b. vom LAN aus?
Falls A nein: Routing? Falls B nein: Firewall-Regeln oder NAT?
#22
German - Deutsch / Re: HA Cluster - keine Web-Ver...
Last post by viragomann - Today at 09:42:11 AMQuote from: Flar69 on Today at 09:23:18 AMIst vielleicht mein Fehler, dass ich die WAN-IPs dann zusätzlich mit einer CARP-Adresse (x.x.101.3 und x.x.102.3) versehen habe?Wenn du 2 OPNsense parallel im HA betreiben möchtest, ist das schon nötig.
Quote from: Flar69 on Today at 09:23:18 AMWenn die CARP dann auf der Backup down ist bekomme ich keine Verbindung mehr zum Router?Eine mögliche Ursache dafür könnte auch sein, dass du keine Outbound NAT Regel für die FW selbst hast, also lediglich eine Regel, die alles auf die CARP umsetzt, und die ist natürlich für die Backup nicht verfügbar.
Es braucht eine Outbound NAT Regel am WAN für Source = 127.0.0.0/8, die die WAN IP als Translation verwendet.
Wenn du IPSec betreibst, brauchst du zusätzlich eine Regel für Zielport 500 mit statischem Port oberhalb dieser.
Grüße
#23
24.7, 24.10 Legacy Series / Re: How to apply manual change...
Last post by meyergru - Today at 09:41:12 AMYes, GUI and wg0.conf will agree, but eventually, the contents of config.xml will overwrite wg0.conf again, destroying your efforts.
If you want to do such a thing, use the OpnSense API like already correctly answered in answer #1.
If you want to do such a thing, use the OpnSense API like already correctly answered in answer #1.
#24
25.7, 25.10 Series / Re: Slow server download speed...
Last post by meyergru - Today at 09:36:08 AMYou should try with "iperf -P4". Also, you could look at the MTU size of your tunnel (you must deduct the VPN overhead from the normal MTU). As a first check, use 1400.
#25
Virtual private networks / Re: Wireguard Access and Globa...
Last post by meyergru - Today at 09:28:26 AMWith VPNs, there are always two firewall rules involved:
1. The one with which you allow access for the VPN daemon port. In order to allow access for your roadwarriors from anywhere, this must not be limited by a geoip rule.
2. The ones to define what these roadwarriors can do within your network once they get an IP assigned by the VPN (which would be an RFC1918 IP). These rules can be specified at WG group, network, WG instance or even at the client IP level, but at finest granularity, they can tell you which specific WG key is bein used. They do not carry any information as to which routeable IP (or which country) the client originally came from.
So, yes, you can, but this private IP obviously bears no information on location. I use this all day. There must be a way to do this, otherwise any VPN client could do either nothing or anything. You can use different WG instances for site-2-site tunnels than for roadwarriors or even have different instances for "types" of roadwarriors (like administrators vs. developers).
1. The one with which you allow access for the VPN daemon port. In order to allow access for your roadwarriors from anywhere, this must not be limited by a geoip rule.
2. The ones to define what these roadwarriors can do within your network once they get an IP assigned by the VPN (which would be an RFC1918 IP). These rules can be specified at WG group, network, WG instance or even at the client IP level, but at finest granularity, they can tell you which specific WG key is bein used. They do not carry any information as to which routeable IP (or which country) the client originally came from.
So, yes, you can, but this private IP obviously bears no information on location. I use this all day. There must be a way to do this, otherwise any VPN client could do either nothing or anything. You can use different WG instances for site-2-site tunnels than for roadwarriors or even have different instances for "types" of roadwarriors (like administrators vs. developers).
#26
German - Deutsch / Re: HA Cluster - keine Web-Ver...
Last post by Flar69 - Today at 09:23:18 AMIch habe mich jetzt mal an einer Zeichnung versucht.
Vielen Dank übrigens für die guten Vorlagen.
Jede Sense hat auch eine eigene WAN-IP zu Router.
Die Sense1 hat also eine x.x.101.1 für Wan1 und eine x.x.102.1 für Wan2
Die Sense2 hat dann eine x.x.101.2 für Wan1 und eine x.x.102.2 für Wan2
Ist vielleicht mein Fehler, dass ich die WAN-IPs dann zusätzlich mit einer CARP-Adresse (x.x.101.3 und x.x.102.3) versehen habe?
Wenn die CARP dann auf der Backup down ist bekomme ich keine Verbindung mehr zum Router?
Mit Dank und Gruss
Ralf
Vielen Dank übrigens für die guten Vorlagen.
Code Select
WAN WAN
: :
: CableProvider : DSL-Provider
: :
.---+---. .--+--.
WAN | Cable | Modems | DSL | WAN2
'---+---' '--+--'
| |
Ethernet | | PPPoE
| |
.----+-----------------------+----.
| | Router (MultiWan) | |
'----+-----------------------+----'
x.x.101.4/24 | | x.x.102.4/24
| |
.----+------. .-----+-----.
| Switch 1 | | Switch 2 |
'--+-----+--' '--+-----+--'
CARP x.x.101.3 | | x.x.102.1 | | CARP x.x.102.3
| | +-------------+ |
| | | |
| +--|-------------+ |
| | x.x.101.2 | |
x.x.101.1 | +--+ | | x.x.102.2
| | | |
.--+-----+--. PFSync .--+-----+--.
| OPNsense1 |----------| OPNsense2 |
'----+------' '----+------'
| CARP |
+--------+ +------+
| |
| |
.--+------+--.
| LAN-Switch |
'-----+------'
|
...-----+-----...
(Clients/Servers)
Jede Sense hat auch eine eigene WAN-IP zu Router.
Die Sense1 hat also eine x.x.101.1 für Wan1 und eine x.x.102.1 für Wan2
Die Sense2 hat dann eine x.x.101.2 für Wan1 und eine x.x.102.2 für Wan2
Ist vielleicht mein Fehler, dass ich die WAN-IPs dann zusätzlich mit einer CARP-Adresse (x.x.101.3 und x.x.102.3) versehen habe?
Wenn die CARP dann auf der Backup down ist bekomme ich keine Verbindung mehr zum Router?
Mit Dank und Gruss
Ralf
#27
Virtual private networks / Re: VIP (IP Alias) on VTI
Last post by bashfulaudi - Today at 09:08:31 AMThe IPSec Virtual Tunnel Interface (VTI) is a route-based interface. Packets are first routed into the tunnel and then encrypted/decrypted. VIP requires NAT on the first interface that receives packets, which VTI cannot meet.
#28
25.7, 25.10 Series / Re: Feature Requst: KEA DHCPv6...
Last post by Monviech (Cedrik) - Today at 08:22:43 AMYou can close the issue and open a new one following the template.
The more focused your request is on a simple topic, also generally with a configuration example and/or documentation, the more likely it will be a feature request.
If its mixing lots of different concepts/features and its a long wall of text it most likely doesnt get that much attention.
Put yourself in the shoes of somebody triaging 10 issues every day, the ones with a simple direction are more likely to get picked up.
The more focused your request is on a simple topic, also generally with a configuration example and/or documentation, the more likely it will be a feature request.
If its mixing lots of different concepts/features and its a long wall of text it most likely doesnt get that much attention.
Put yourself in the shoes of somebody triaging 10 issues every day, the ones with a simple direction are more likely to get picked up.
#29
German - Deutsch / Re: Opnsense DNS Warum funktio...
Last post by The_Master - Today at 08:22:27 AMDanke für die Hilfe.
Ich bin hinter den Fehler gekommen den ich unabsichtlich gemacht habe. Ich hole aber etwas aus.
Habe ja geschrieben das ich von Tomato Firmware komme und dort auch DNSMASQ verwendet wird. Soweit so gut.
Im gleichen Atemzug habe ich mich auch in Opnsense an DNSMASQ gewagt und dort DHCP eingestellt. Auch das haben die VMs ohne Probleme übernommen.
Habe dann auch den Rat befolgt mit der Domain. Auch hier wurden die Änderungen übernommen. -> geshen in ipconfig /all.
Trotzdem waren die Geräte nicht mit dem von mir vergeben Alias Erreichbar. Egal ob mit Domain Anhang oder ohne. Mehrere Settings durchgetestet. Sogar die Opnsense komplett Reset und NEU installiert.
Nichts hat geholfen.
----------------------------------------------------------
Nun zu meinem Fehler! Und zugleich eine Bitte an die GUI Abteilung :)
Ich habe ja DHCP per DNSMASQ ausgegeben. Und auch in DNSMASQ die LEASE bekommen. Jetzt gibt es da einen Butten STATIC Lease! Damit kann man Static Lease erstellen mit Alias.
ABER DNS macht ja nicht DNSMASQ sondern UNBOUND!! Weil DNSMASQ hat den Port auf 0. Der macht ja kein DNS :)
Klar wenn DNSMASQ meine Static Lease kennt aber Unbound nicht das ich keinen Ping bekomme!
Deswegen bitte in der Wiki oder in der GUI selbst entweder riesen groß -> bitte dann UNBOUND Lease nehmen oder die Funktion/Tab sperren!
Ich weiß es war mein Fehler.
Habe es direkt zum Anlass genommen DNSMASQ links liegen zu lassen und auf KEA DHCP und Unbound DNS zu wechseln.
Sollte mein vorgehen KOMPLETT Falsch sein bitte direkt sagen. Ich will nicht einen Fehler mit einem Fehler korrigieren.
Werde die Tage nun nochmals alles auf Default oder neu installieren da ich doch einiges "getestet" habe und dann langsam alles von Tomato auf Opnsense übernehmen.
Danke nochmals für die Hilfe.
PS: ICH HASSE FRITZBOXEN. Ich will sie nicht ich habe sie nicht, kurz die Dinger sind ein graus.
Ich bin hinter den Fehler gekommen den ich unabsichtlich gemacht habe. Ich hole aber etwas aus.
Habe ja geschrieben das ich von Tomato Firmware komme und dort auch DNSMASQ verwendet wird. Soweit so gut.
Im gleichen Atemzug habe ich mich auch in Opnsense an DNSMASQ gewagt und dort DHCP eingestellt. Auch das haben die VMs ohne Probleme übernommen.
Habe dann auch den Rat befolgt mit der Domain. Auch hier wurden die Änderungen übernommen. -> geshen in ipconfig /all.
Trotzdem waren die Geräte nicht mit dem von mir vergeben Alias Erreichbar. Egal ob mit Domain Anhang oder ohne. Mehrere Settings durchgetestet. Sogar die Opnsense komplett Reset und NEU installiert.
Nichts hat geholfen.
----------------------------------------------------------
Nun zu meinem Fehler! Und zugleich eine Bitte an die GUI Abteilung :)
Ich habe ja DHCP per DNSMASQ ausgegeben. Und auch in DNSMASQ die LEASE bekommen. Jetzt gibt es da einen Butten STATIC Lease! Damit kann man Static Lease erstellen mit Alias.
ABER DNS macht ja nicht DNSMASQ sondern UNBOUND!! Weil DNSMASQ hat den Port auf 0. Der macht ja kein DNS :)
Klar wenn DNSMASQ meine Static Lease kennt aber Unbound nicht das ich keinen Ping bekomme!
Deswegen bitte in der Wiki oder in der GUI selbst entweder riesen groß -> bitte dann UNBOUND Lease nehmen oder die Funktion/Tab sperren!
Ich weiß es war mein Fehler.
Habe es direkt zum Anlass genommen DNSMASQ links liegen zu lassen und auf KEA DHCP und Unbound DNS zu wechseln.
Sollte mein vorgehen KOMPLETT Falsch sein bitte direkt sagen. Ich will nicht einen Fehler mit einem Fehler korrigieren.
Werde die Tage nun nochmals alles auf Default oder neu installieren da ich doch einiges "getestet" habe und dann langsam alles von Tomato auf Opnsense übernehmen.
Danke nochmals für die Hilfe.
PS: ICH HASSE FRITZBOXEN. Ich will sie nicht ich habe sie nicht, kurz die Dinger sind ein graus.
#30
German - Deutsch / Re: VOIP mit SWN NEumünster, F...
Last post by derMike - Today at 07:32:59 AMMoin Maurice,
ich werde es am WE einmal austesten ob ich es damit zum laufen bekomme. Vielen Dank für den Tipp.
Gruß der Mike
ich werde es am WE einmal austesten ob ich es damit zum laufen bekomme. Vielen Dank für den Tipp.
Gruß der Mike
