OPNsense Forum
International Forums => German - Deutsch => Topic started by: kenobits on November 20, 2020, 04:33:07 pm
-
Hallo zusammen,
ich bin noch recht neu in der Thematik, bitte also "newbie" Fehler zu verzeihen und wenn ich was fachlich falsch bezeichnet habe, gerne darauf hinweisen, man lernt ja dann mit ;)
Folgendes Problem:
wir haben eine neue OpenSense die als Firewall und OpenVPN-Server für Home-Office User herhalten soll. Dafür habe ich bereits einen Server und User nach folgender Anleitung erstellt: https://docs.opnsense.org/manual/how-tos/sslvpn_client.html
Der Verbindungsaufbau funktioniert auch, allerdings kann ich dann nur noch auf die OpenSense zugreifen, alle anderen Server im VPN-Netz sind nicht erreichbar
auf der Firewall WAN-seitig habe ich den Port 1194 erlaubt (ist auch so in der konfig) und testweise auch erstmal alles auf erlaubt gestellt (abgesehen von den automatisch erstellten Regeln der opensense) (eigentlich bräuchte ich doch keine Erlaubnis für WAN, zum OpenVPN-Server muss ja nichts durchgereicht werden, die FW ist ja schon der Server)
im OpenVPN-Tab habe ich alles erlaubt
NAT-Outbounding ist aktiviert
als local Network habe ich unser Netz angegeben(10er) und zum Tunneln ein anderes privates Netz (169.54.0.0/16), dazu noch einen DNS-Server aus dem lokalen Netz
Habt ihr eine Idee wo man hier ansetzen kann?
Ich bin mit meinem Latein langsam am Ende
-
Bitte einen grafischen netzwerkplan
Gesendet von iPhone mit Tapatalk Pro
-
Hallo bei OPNsense! :-)
Der Verbindungsaufbau funktioniert auch, allerdings kann ich dann nur noch auf die OpenSense zugreifen,
Also du gibts am remote client in den Browser die 10.0.0.1 ein (IP deiner OPNsense im LAN, vermute ich) und kommst an die GUI?
alle anderen Server im VPN-Netz sind nicht erreichbar
Damit meinst du die Server in deinem 10er LAN Netz, korrekt?
Mach mal ein pacakge capture (Interfaces -> Diagnostics -> Package Capture) auf dem LAN und schau, was da von deinem remote client ankommt und ob was von den "Servern" zurückkommt...
-
Hallo
anderes privates Netz (169.54.0.0/16),
bist du dir da sicher?
Hast du die Firewallregeln auf den OpenVPN interface gemacht?
-
Sorry für die späte Antwort und vielen Dank für die Antworten :)
Bitte einen grafischen netzwerkplan
Das ist ein bisschen schwierig, ich versuchs mal so prägant wie möglich schriftlich dazustellen:
Homeoffice User --Tunnel-Netzwerk(hab dafür jetzt die 169.54.0.0/16 gewählt)-->OpenVPN-Server bzw. Firewall (IP: 10.7.15.3) --> Rechner im Netzwerk 10.7.15.0
Also du gibts am remote client in den Browser die 10.0.0.1 ein (IP deiner OPNsense im LAN, vermute ich) und kommst an die GUI?
die 10.7.15.3, aber ja genau ich komm dann auf die GUI im LAN
und genau die anderen Server im gleichen Netz im LAN sind nicht erreichbar - den Test für ich morgen in der Arbeit durch und meld mich dann mit den Ergebnissen :)
Hallo
bist du dir da sicher?
Hast du die Firewallregeln auf den OpenVPN interface gemacht?
also steht zumindest so in der config und ich bekomm auch eine IP aus dem Netz zugewiesen
die Fireallregeln hab ich gemacht und kann sie nach belieben ändern, das Ding läuft noch nicht produktiv
-
" und zum Tunneln ein anderes privates Netz (169.54.0.0/16),"
https://en.wikipedia.org/wiki/Private_network
In IPv4, link-local addresses are codified in RFC 6890 and RFC 3927. Their utility is in zero configuration networking when Dynamic Host Configuration Protocol (DHCP) services are not available and manual configuration by a network administrator is not desirable. The block 169.254.0.0/16 was allocated for this purpose. If a host on an IEEE 802 (Ethernet) network cannot obtain a network address via DHCP, an address from 169.254.1.0 to 169.254.254.255[Note 2] may be assigned pseudorandomly. The standard prescribes that address collisions must be handled gracefully.
Maybe?
-
Tatsache, hab die 192.168.0.0/16 als Tunnelnetzwerk genommen - bekomme dann auch erwartungsgemäß die 192.168.0.2 als IP, komm jetzt allerdings auf alle Server drauf - ich werd mal testen, wenns noch mal probleme gibt meld ich mich
Danke euch, ihr habt einem junior Admin grad ziemlich weiter geholfen :)
-
Wenn nicht die halbe Welt in dein VPN verbinden soll, reicht auch ein /26 oder kleiner, gerne was Aussergewöhnliches als erste IP, das gibt am Ende weniger Kollisionen. 192.168.x.x ist ja schon das private Netz im LAN von Hinz und Kunz...
-
Danke :)
was wäre denn ein geeignetes ungewöhnliches Netzwerk?
10er fällt bei uns komplett raus, da kommts zu konflikten
-
Danke :)
was wäre denn ein geeignetes ungewöhnliches Netzwerk?
10er fällt bei uns komplett raus, da kommts zu konflikten
172.16-32.X.X/24 z.B
Meine bis 32 oder 31