WAN mit virtuellen IP's -> OPNsense kommt nicht ins Internet

[bforpc]

Hallo,

meine OPNsense hat ein Wan Interface, auf welchem mehrere öffentliche IP's liegen.
Diese werden für verschiedene VM's hinter der FW geroutet. Soweit so gut und funktional.

Allerdings kommt die OPNsense selbst nicht mehr ins Internet, um z.B. ein Update zu machen.
Ich habe  die IP's auch alle als Gateway angelegt, bringt aber nichts. Die FW hat keinen Zugang.
Wo kann ich das einstellen, welches GW die OPNsense nutzen soll/darf?

Bfo

[Monviech (Cedrik)]

Bei der Gateway Priorität kann die Zahl heruntergesetzt werden, um ein bestimmtes Gateway auf (active) zu setzen. Dieses benutzt die Firewall für die Internet Verbindung. Also z.B. Priority 240, das ist dann bevorzugt gegenüber denen die 255 haben.

[bforpc]

Mooin,

danke für den Hinweis. Mein Problem ist aber nicht "welches" GW benutzt wird, sondern das scheinbar gar keines benutzt wird.
Denn es wäre egal, über welches GW die FW raus geht, Hauptsache, sie kann ins Internet.

Bfo

[Patrick M. Hausen]

Warum legst du die eigenen Adressen der Firewall als Gateways an? Gateways sind die externen Router, über die die Firewall irgendwelche Netze erreicht. Im Normalfall genau einer für IPv4 - der vom ISP.

[bforpc]

Moin,

nochmal zur Erklärung:
Ich habe 5 öffentliche IP's  - und die verschiedenen VM's dürfen nicht alle über ein  GW raus gehen. Jede über seines.

Was mich zu meiner ursprünglichen Frage bring: die OPNsense kann nicht ins Internet - wie behebe ich das?

Bfo

[Patrick M. Hausen]

Das mit den VMs machst du mit NAT Regeln. Die OPNsense darf nur den Gateway des ISP haben.

[bforpc]

Dann bin ich mit meinem Latein am Ende.
Wichtig ist natürlich, dass die jeweiligen Server mit der entsprechenden IP raus gehen.
Nicht das der Mailserver mit IP1 eingehend und IP2 ausgehend kommuniziert.

Ich lösche jetzt alle GW (ausser dem ISP)... mal sehen.

mfg
Bfo

[Patrick M. Hausen]

Genau. Und dann legst du für deine virtuellen IP-Adressen Aliase an, legst für deine internen Server Aliase an, und baust NAT-Regeln:

Interface: WAN
Source: Interner Server #1
Destination: any
NAT: Virtuelle IP-Adresse #1

Feddich.

[bforpc]

Hallo pmhausen,

danke für deine Nachricht.
Ich habe jetzt nur ein GW (und ein 2. für IPv6) - die VM's haben outbound Regeln für deren ausgehende IP's - aber die OPNsense kommt immer noch nicht ins Internet.
Noch irgendwelche Tipps?

Bfo

[Patrick M. Hausen]

Kannst du den Gateway des ISP von der OPNsense aus anpingen? Was passiert bei "ping 8.8.8.8"? Wie sind die Nameserver für die OPNsense konfiguriert?

Zeig doch mal deine Interface-Konfiguration von WAN.

[bforpc]

Hallo,

Problem gelöst.
Auf der OPNsense waren 4 virtuelle IP's installiert, aber vom ISP waren nur noch 3 aktiv. Und genau diese inaktive, war in der OPNsense als GW eingetragen.
Wiedermal ein typisches "Anfängerproblem" :-)
Danke für deine Unterstützung.

Jan

[Patrick M. Hausen]

Lokale Adressen der OPNsense sind niemals ein Gateway. Ein Gateway ist immer ein externes System, an das die OPNsense Pakete schickt.

[bforpc]

Jain ... zunächst habe ich gar nichts von "lokalen" Adressen als GW geschrieben und eine lokale Adresse kann GW sein, wenn die FW selbst hinter einer Bridge liegt und nur von dieser Adresse angesprochen werden würde.
Wie auch immer, das Problem ist gelöst.

Bfo

[Patrick M. Hausen]

Du hast geschrieben, du hast VIPs als GW eingetragen. Das sind Adressen, die lokal auf einem Interface der OPNsense liegen. Diese sind niemals ein Gateway in der OPNsense.

[bforpc]

Sorry, Missverständnis.
Ich verwechselte gerade lokale Adressen mit "privaten" Adressen.

Thx.
Bfo