Clients über WAN2

[Sabo]

Guten Morgen,

ich bin von Sophos auf OPNsense umgestiegen und bin so weit auch gut damit gestartet.
HAproxy, VPN usw. funktioniert alles und ins Internet komme ich auch ;D

Nun habe ich aber 2 WAN Verbindungen, von dem natürlich eine als Standard fungiert. Bei der Sophos habe ich aber einzelne Clients über WAN2 hinausgeschickt. Kann mir jemand sagen, wie das bei OPNsense geht?

Grüße
Dennis

[micneu]

Dazu findest du einige Beiträge im Forum, einfach die Forum suche nutzen


Gesendet von iPhone mit Tapatalk Pro

[Sabo]

Hi micneu,

ja irgendwie finde ich nicht das was ich versuche, oder ich Suche einfach nicht richtig. Ich habe da was (ähnliches gefunden) über outbound nat und hab das mal versucht.

Schnittstelle   Quelle   Quellport   Ziel   Zielport   NAT Adresse   NAT Port   Statischer Port
WAN                  webserv    *              *      *               WAN2               *               NEIN

Ja dann habe ich tatsächlich die IP von WAN2 aber das Internet ist grotten langsam und ich kann kaum etwas aufrufen. ??? Vielleicht hat da ja wer einen Denkansatz für mich.

Grüße
Dennis

[Patrick M. Hausen]

Du brauchst eine "allow" Firewall-Regel auf LAN, bei der du explizit den Gateway setzt.

[Sabo]

Hi pmhausen,

ja so ein wenig vermisse ich meine Sophos gerade  ;D

FIREWALL: REGELN: LAN

eingehend

Protokoll   Quelle   Port   Ziel   Port   Gateway
   IPv4 *   webserv    *   *   *   WANTEST_PPPOE

so in etwa?
Grüße
Dennis

[Patrick M. Hausen]

Lese ich das richtig:

Protokoll: IPv4
Quelle: *
Port: webserv

Das würde wahrscheinlich nicht funktionieren. Was steht denn in "webserv" für ein numerischer Wert drin? Und "Quelle: *" gilt dann natürlich für alle deine Clients in dem LAN ...

Also wenn du einen einzelnen Client über einen anderen GW schicken willst, dann:

Quelle: dieser Client
Port: *
Ziel: *
Port: *
Action: allow
Gateway: der gewünschte GW

[Sabo]

Also ich habe gemacht,

FIREWALL: REGELN: LAN (eingehend)

Quelle: webserv (Alias Host mit IP Webserver)
Port: *
Ziel: *
Port: *
Action: allow
Gateway: WAN2

leider keine Änderung, ich verstehe das ganze ja auch so das durch die (Default allow LAN to any rule) der webserver auf WAN rausgehen will und dann vom outbound nat abgegriffen wird und über WAN2 geschickt wird.
Geht es jetzt mit der LAN Regel um den Rückweg?

Grüße Dennis

[Bob.Dig]

Setze das Outbound NAT zurück auf automatisch und nein, damit machst Du kein policy based routing (PBR).
Auch zwingt man einen gewöhnlichen Webserver nicht auf ein bestimmtes Gateway, der soll doch darüber antworten, worüber er angesprochen wurde...

[Sabo]

Hi Bob.Dig,

also nochmal zum Verständnis, ich habe ja mein LAN und 2x WAN. Webserver egal den habe ich nur zum testen gerade weil ich mit VPN drauf komme. Eigentlich will ich normale PCs über WAN2 jagen.

ALSO: Webserver WAN1 ist ja standardmäßig auch so und wird über die HA angesprochen. Und meinen PC zb. sollen aus LAN über WAN2 rausgehen.

Grüße
Dennis

[Bob.Dig]

Ok, dafür machst Du eine Regel auf dem LAN, die als Quelle deinen PC führt und die als Ziel einen invertierten RFC1918-Alias enthält. In dieser Regel muss dann auch das besagte Gateway explizit gesetzt sein und die Regel muss über den meisten anderen Regeln stehen. Good Luck.

[Sabo]

Hi Bob.Dig,

okok wir kommen der Sache näher ^^

Ok, dafür machst Du eine Regel auf dem LAN (OK!)
die als Quelle deinen PC führt (OK!)
und die als Ziel einen invertierten RFC1918-Alias enthält. (WTF!  :o)
In dieser Regel muss dann auch das besagte Gateway explizit gesetzt sein (OK!)
die Regel muss über den meisten anderen Regeln stehen. (OK!)

OK Aliase klar aber sowas wie RFC1918 gibt es nicht zur Auswahl und was genau muss dann im Alias drin stehen?

Sorry das alles noch verwirrend für mich.
Grüße Dennis

[Bob.Dig]

OK Aliase klar aber sowas wie RFC1918 gibt es nicht zur Auswahl und was genau muss dann im Alias drin stehen?

Hier https://docs.netgate.com/pfsense/en/latest/recipes/rfc1918-egress.html#steps-to-block-rfc-1918-traffic-from-leaving-the-wan-interface wird so ein Alias z.B. erwähnt, der Rest dort ist nicht von Interesse. Nachdem Du den Alias erstellt hast, musst Du diesen in der besagten Regel verwenden und invertieren.

[Sabo]

Hi,
also ich habe den Alias so wie in deinem Link eingerichtet.


FIREWALL: REGELN: LAN In angelegt

Schnittstelle: LAN
Richtung: IN
TCP/IP Version: IPv4
Protokoll: any
Quelle: Der Rechner
Ziel / Umkehren: X (Hacken drin!)
Ziel: rfc1918 (Alias wie angelegt)
Gateway: WAN2 ausgewählt!

auf dem Server ist bei der Abfrage root@webserv:~# wget -O - -q icanhazip.com auch einmal die richtige  IP von WAN2 aufgetaucht.

Ping auf google sieht so aus!

--- google.de ping statistics ---
40 packets transmitted, 1 received, 97.5% packet loss, time 39883ms
rtt min/avg/max/mdev = 4.396/4.396/4.396/0.000 ms

root@webserv:~# nslookup google.de
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   google.de
Address: 142.250.185.227
Name:   google.de
Address: 2a00:1450:4001:808::2003

Irgendwas ist noch nicht richtig  :-[

Grüße Dennis

[Bob.Dig]

Hast Du denn das Outbound NAT auch zurückgesetzt? Zeige mal einen Screenshot deiner Regeln. Was gibt es noch für Variablen, irgendwas mit HA und eventuell mehr...
Was soll die DNS-Anfrage belegen?

[Sabo]

Du hast eine PM

Was soll die DNS-Anfrage belegen?
Gute Frage da eher nix  :D