此设置应基于 proxmox，位于托管在 Proxmox 本身上的 opnsense VM 后面，该 VM 将保护 proxmox，为 VM 提供防火墙、私有 LAN 和 DHCP/DNS，并提供到 LAN 的 IPsec 连接以访问所有 VM /Proxmox 未经过 NAT。该服务器是典型的 Hetzner 服务器，因此仅在 NIC 上，但此 NIC 上有多个 IP 或/子网。

由于具有PCI 直通设置的集群阻止程序，这是我的替代方案

1. 带 1 个 NIC(eth0) 的 Proxmox 服务器
2. 3个公共1IP，IP2/3由数据中心的MAC路由（到eth0）
3. KVM 桥接设置（ eth0 无 ip，vmbr0 桥接到 eth0 和 IP1 ）
4. vmbr30、10.1.7.0/24 上的专用 LAN
5. proxmox 服务器上的护岸

为了更好地勾勒设置，我创建了这张图：（不确定它是否完美，告诉我要改进的地方）

文字说明：

Proxmox 上的网络接口

Proxmox 上的护墙

接口

政策：

OPNsense

1. WAN 是 ExternalIP2，使用 MAC-XX 连接到 vmbr0
2. LAN 为 10.1.7.1，连接到 vmbr30

什么工作：

• 基本设置工作正常，我可以使用 IP2 访问 opnsense，我可以在 IP1 上访问 proxmox，我可以在 ip3 上访问 rancher-VM——这不需要任何路由。
• 我可以将 IPSec 移动客户端连接到 OPNsense，提供从虚拟 IP 范围 172.16.0.0/24 访问 LAN (10.1.7.0/24)
• 我可以在连接 OpenVPN 时访问 10.1.7.1 ( opnsense )
• 我可以从 OPNsense(10.1.7.1) (shell) 访问 10.1.7.11 / 10.1.7.151
• 我可以从 othervm(10.1.7.151) (shell) 访问 10.1.7.11 / 10.1.7.1

什么不起作用：

a) 从 IPsec 客户端连接到 10.1.7.11/10.1.7.151 或 10.1.7.2

b) [在更新 1 中解决]从 10.1.7.1 连接到 10.1.7.2 (opnsense)

c) 好像我有异步路由，虽然我可以访问例如 10.1.7.1:8443，但我看到很多条目

d) IPSec LAN 共享将在 IPSEC 链中包含 i 规则，“从 * 到 LAN ACCEPT”——但这对我不起作用，我必须添加“从 * 到 * ACCEPT”

问题：

I）当然我想修复a）b）c）d），可能从理解c）和d）开始

II) 在此设置中添加第二个 NIC 会有所帮助吗？

III）我在proxmox主机上激活net.ipv4.ip_forward可能是一个问题（不应该路由它吗？）

当我理顺这一点时，我很想提供一个综合指南，介绍如何在 Proxmox 上将 OPNsense 作为具有专用网络的设备运行，使用 HAproxe+LE 将一些服务传递到外部世界，并使用 IPsec 访问专用局域网

更新1：

从 proxmox 上的 vmbr0 中删除up ip route add 10.1.7.0/24 via IP2 dev vmbr0解决了 proxmox 既不能访问 10.1.7.0/24 也不能从 LAN 网络访问的问题。

更新2：

我创建了一个使用 pci-passthrough 的更新/更改设置。目标是相同的 - 它降低了复杂性 -见这里

此设置应基于 proxmox，位于托管在 Proxmox 本身上的 opnsense VM 后面，该 VM 将保护 proxmox，为 VM 提供防火墙、私有 LAN 和 DHCP/DNS，并提供到 LAN 的 IPsec 连接以访问所有 VM /Proxmox 未经过 NAT。该服务器是典型的 Hetzner 服务器，因此仅在 NIC 上，但此 NIC 上有多个 IP 或/子网。

1. 带 1 个 NIC(eth0) 的 Proxmox 服务器
2. 3个公共1IP，IP2/3由数据中心的MAC路由（到eth0）
3. eth0 通过 PCI 直通到 OPNsense KVM
4. vmbr30、10.1.7.0/24 上的专用网络
5. IPsec 移动客户端连接 (172.16.0.0/24) 到 LAN

为了更好地概述设置，我创建了这个 [绘图] [1]：（不确定它是否完美，告诉我要改进的地方）

问题：

如何使用 PCI-Passthrough 而不是桥接模式来设置这样的场景。

跟进

I) Why i cannot access PROXMOX.2 but access VMEXT.11 (ARP?)

II) 这就是为什么我需要一个从 * 到 * IPSEC 链规则来运行 ipsec。这很可能是一个非常荒谬的问题。

III) I tried to handle the 2 additional external IPs by adding virtual ips in OPNsense, adding a 1:1 nat to the internal LAN ip and opening the firewall for the ports needed ( for each private lan IP ) - but yet i could not get it running. The question is, should each private IP have a seperate MAC or not? What is specifically needed to get a multi-ip setup on WAN

我试图在网络上平均分配每个 IP 的流量。我已经看到了一个使用 monowall 的实现，它带有一个简单的复选框，用于均匀分配带宽，但是由于 monowall 已停产，我正在求助于 pfSense 或 Opnsense。使用 pfSense，它似乎无法正常工作，并且在应用防火墙规则来完成这项工作时存在延迟。Opnsense 也与 pfSense 非常相似，因为它是它的一个分支，所以我看不到一个可行的解决方案。有谁知道如何使用 pfSense 或 Opnsense 来做到这一点？

大家好，我希望你们都很棒！

我会尽量做到抽象和清晰。

我正在使用 Mac 上的 Virtual Box 开发 OPNsense，过去一切正常，我可以简单地通过我的终端在 mac 上使用

但是，并没有从哪里出来的消息

已经出现，我不再可以从我的终端登录我的 opnsense。我尝试了许多解决方案，包括：

1)

无论我使用什么端口号都会产生相同的问题，消息只会包含我使用过的端口号。

2) 更改我的私人 sshd_config

我尝试从 sshd 启用 DNS，我什至复制了另一台可以正常工作的计算机的 sshd_config 和 ssh_config 文件，并将其替换到我的 mac 中，但它不起作用。

3）我已经在我的虚拟盒子的网络设置中尝试了端口转发，并将访客端口指定为 22，将主机端口指定为 2222。

4）我尝试了不同的本地IP地址。

5）我将我的 opnsense 恢复为出厂设置，多次重新启动，重新安装，重新启动计算机 100 次 :)

我想指出，当我转到以下位置时，opnsense 在浏览器中运行良好：

我可以登录并做我需要的一切，只有当我尝试使用带有 ssh 的终端登录时它才不起作用。

有人可以帮助我吗？

先谢谢大家了！

我已经在 Opensense（基于 FreeBSD 的防火墙和路由平台）中安装了 openvas9。但是当我在 CLI 中输入“omp”时，会显示以下错误。

我是 OPENVAS 的新手。

• 我有一个在 OPNsense 防火墙后面运行的 Web 应用程序
• 该防火墙允许所有 https 流量到 api.mailgun.net
• webapp 调用 api.mailgun.net 但分辨率与防火墙不同

似乎 api.mailgun.net 会定期解析为一组不同的 IP。我试图寻找已知的 IP，但找不到任何东西。

I installed 3proxy on freebsd(11.2-RELEASE-p10-HBSD FreeBSD ) which is whith opnsense from ports, but I cannot autoload it after restart service 3proxy start - works nice I make /usr/local/etc/rc.d/3proxy -rwxr-xr-x 1 root wheel 653 Feb 26 20:35 3proxy

then added line here /etc/rc.conf

But after restart I also see that service is down - how can I do this?

I also thought about crontab and @reboot. Please help me

如果我想设置一个包含两个节点的 opnSense HA 集群，那么设置这样一个环境的最佳实践是什么。

我的首选方法是：

1. 设置第一个节点 IP
2. 设置物理接口
3. 设置链路聚合
4. 设置 VLAN
5. 设置所需的服务

现在我不清楚（以及文档中），我是否可以使用第二个设置 CARP（HA）以及所有这些设置是否会自动同步到第二个节点？

或者我是否还需要为第二个节点重新设置所有配置，然后再设置 CARP？如果后一种情况是事实，我需要在第二个节点上冗余设置一些东西：

• 这些是什么东西，需要手动完成？
• 有没有办法从第一个/主手动导出这些设置并重新导入到第二个节点？

我是 Opnsense 的新手，但我已经配置好了大部分东西。

我遇到的问题是设置 OpenVPN 并通过互联网连接到它。

虽然我没有在 Mac 上进行设置（我正在尝试从 Windows 10 连接），但我认为此处的说明足以让我完成大部分工作，然后我只需导出客户端文件而不是 Viscoscity 配置.

我已经设置了服务器并（我相信）添加了正确的防火墙规则作为该过程的一部分。

当我去 connect 时，我认为生成的 .ovpn 文件应该足够了，因为它包含嵌入的证书。但是长文件说：

我的 .ovpn 文件看起来像这样（从 VPN > 客户端导出生成）

如果嵌入了证书信息，为什么它要求 CA 文件 - 我如何连接到服务器？

我有一个 OPNSense 防火墙设置，HAproxy 位于我的 WAN 接口上，以反向代理我的 Web 服务器。
我的应用程序（外包）的问题是它的 URL 参数中有很多 unicode 字符。在安装 OPNsense 之前，我运行的是 ISA server 2006，没有任何问题。

正如我在其文档中所读到的，HAProxy 仅支持 ASCII 字符。但是，我有很多非 ascii 字符，这些字符是通过设计在 URL 中作为 URL 参数编写的。
这些字符包括阿拉伯字符和特殊的法语字符。
HAProxy 认为这些字符非法，使 HTTP 请求无效并返回错误代码 400（无效请求）。经过几天的调试和检查日志，我认为这是 HAProxy 的正常行为。
我尝试过的一件事是让 HAProxy 接受这些字符，但没有成功。

在尝试另一个反向代理引擎之前的最后一个方法是尝试在 Javascript 中对这些字符进行编码。但是一旦我对它们进行编码，我如何在 HAProxy 配置中解码它们？
我得到的 HTTP 响应也是 404 未找到，因为编码的 URL 参数没有被正确解码。
有什么建议么 ？