Topics

Hi!
Finde dazu sonst im Forum und im Internet nix und es könnte eine einzigartige Netzwerk-Anforderung sein.

Über einen IPSec-Tunnel gibt es 2 Netzwerke:
Lokales Subnetz: 192.168.123.1/24
Remote-Netzwerk 172.20.20.1/16

Das Remote-Netzwerk hat nur einen Host, der freigeschaltet ist: 172.20.20.100 und der funktioniert nur von der IP 192.168.123.100

Damit das ganze lokale Subnetz Zugriff hat, haben wir die OpnSense auf 192.168.123.100 gesetzt und eine Outbound Source-NAT zu 172.20.20.100 gemacht. So werden alle Anfragen an den Remote-Computer von 192.168.123.100 gesendet und alle haben Zugriff, nicht nur der die eine IP-Adresse.

Das funktioniert auch.

Jetzt will ich zusätzlich externen Clients Zugriff geben und habe Wireguard gemacht mit IPs 10.0.0.1/24.
Die Wireguard-CLients haben aber keinen Zugriff auf 172.20.20.100 0der 172.20.20.1 (Remote-Firewall).
Ich glaube, das deswegen weil in den IPSec-Einstellungen bei Phase2 das Lokale Subnet als lokales Subnetz angegeben ist. Das kann ich auf Wireguard-Netzwerk ändern und schon funktioniert der Zugriff. Und zwar sogar aus beiden Netzen, lokal und per wireguard.

Wird die Opnsense neugestartet, gibts dann aber keinen Zugriff mehr, weder lokal noch per wireguard. Außerdem können Wireguard-CLients gar nicht ins Internet. Das Problem behebe ich immer indem ich eine Wireguard-Firewall Regel die alles erlaubt deaktiviere und aktiviere und schon funktioniert es wieder.

Es sollten ALLE Anfragen an 172.20.20.100 als 192.168.123.100 rausgehen. Lokales Subnetz als auch Wireguard.
Lokal funktioniert es wegen in IPSEC-Einstellungen das lokale Subnetz angegeben wird, aber dann gehts nicht per Wireguard.

Wie löse ich das Problem, sodass ALLE Netze zu 172.20.20.100 zugreifen können und das per Outbound Source-NAT als 192.168.123.100 ?
Ich komme leider nicht auf die Lösung und glaube, das Problem muss trivial einfach sein?

Lg, R

Hi!

Weiß nicht genau ob ich da einen Fehler mache:
im Peer Generator sind alle Daten korrekt hinterlegt. Sobald ich auf  Store and generate next klicke, wird der Eintrag zu den Peers hinzugefügt.

Jedoch im neu hinzugefügten Peer fehlt Endpoint Adress und Endpoint Port im Peer. Der wurde mir korrekt im Generator angezeigt.

Liegt hier in Fehle bei OpnSense vor oder mache ich was falsch?

Hi!
Leider so viel Linux hab ich nicht wirklich drauf, aber zumindest einen Screenshot konnte ich machen.
Update läuft sauber.
Sobald ich das Update von 23.1.1 auf 23.7., also das nächste Update, das mir in der Weboberfläche angezeigt wird, wird das Update brav runtergeladen und installiert und die Neustarts enden dann in einem Endlos-Loop.

Mehr versteh ich nicht, was kann ich dabei tun? Ich hab die Maschine noch im kaputten Zustand und hab mir zwischenzeitlich das Ganze als Backup mit der 23.1.1 wiederhergestellt und die funktioniert. Sobald aber das Update wieder gemacht wird, selbes Verhalten danach.

Was tun? Alles neu aufsetzen und Config von OpnSense einspielen?


search by image on phone

Hi!

Bin da eher ratlos und schleife das Thema schon etwas länger mit mir mit:

Wird von extern auf die WAN-IP mittels Port 443 geschaut, kommt man auf den korrekten Port-Forward nach intern (Mailserver).

Ist man im LAN-Net und geht auf die WAN-IP Port 443 kommt man nicht zum Mailserver. OpnSense-Administration ist auf einem anderen Port als 443 und Weiterleitung funktioniert dennoch nicht.
Habe schon versucht zusätzlich eine NAT-Weiterleitung von Lan nach Port443 zu machen zum Mailserver, aber das bleibt erfolglos.

Was muss ich tun oder einstellen, damit man vom internen Netzwerk, wenn man auf die WAN-IP geht (mit der man nach außen geht), dass man auf die Nat-Weiterleitung nach intern kommt?
Nat-Reflection ist es auch nicht, also ich komm nicht dahinter. Möglich sollte es ja sein, weil von Intern zur WAN-IP komm ich zum Admin-Interface und Pingen geht auch. Die OpnSense mag mich nur nicht von intern auf die WAN-IP nach intern weiterleiten.

Vielleicht weiß jemand wie man mein Problem lösen kann.
Danke und liebe Grüße

Hi!

Network exists of 2 sites: 192.168.1.0/24 + 192.168.2.0/24
The company bought a new location and needs to move.

All clients use a printer at 192.168.1.10

For the move, half of all clients are moving, half of it staying in the old location. The printer moves to the new location.

The problem: I cant use the 192.168.1.10 IP-Adress within the 192.168.10.0/24 network because it has a site2site vpn to 192.168.1.0/24. so virtual-ip doesnt work cause the subnet goes via vpn to the old location.

The thing is, we dont want to change printer settings at each client (>100)

My idea would be that and each location, I add something like a route/ip-alias for the printer and change the printers IP so it will be reachable at the new location: 192.168.10.10
old location: if a client within the old location connects to 192.168.1.10, it should route via vpn to new location to 192.168.10.10 - is that possible?
new location: if a client within the new location connects to 192.168.1.10, it should not route via vpn to old location but redirect to 192.168.10.10.

Is that possible anyways? Or any better solution?

Hi!

Ich nutze üblicherweise eine Windows-Maschine mit 2 Netzwerkkarten: 1x WAN, 1x LAN
Darauf installiert ist SoftEther VPN Server installiert. Dieser funktioniert wie folgt:
Ein User erhält L2TP shared Key, Username und Passwort. Der User hinterlegt diese Daten im Windows/Apple/Linux/allenSystemen und eine Verbindung funktioniert, sodass der User eine interne IP-Adresse vom internen DHCP-Server erhält. Keine Fake-IP im VPN-Netz.

Dasselbe würde ich gerne mit OpnSense abbilden.
Es gibt weiterhin shared-key, user und Passwort und ein User erhält eine interne IP durch den internen Dhcp, nur nicht über eine eigene Windows-Maschine mit eigener WAN sondern mit Opnsense.

Ich habe das in Opnsense nicht geschafft und egal was ich einstelle, es klappt nicht.
Kann das Opnsense überhaupt oder ist das nur für um 2 Standorte miteinander zu vernetzen?

Lg, Roman

Hi!

Wir haben folgendes Verhalten und müssten das in Opnsense einstellen. Mit einem billigen Hardware-Router wäre das ebenfalls möglich, da schien dies Einstellung standard zu sein. In Opnsense nicht.

Folgendes:
Ext-IP: 1.2.3.4
Int-IP: 10.10.10.100/24
Port: 15000

Wird innerhalb des Netzwerks die WAN-IP+Port angesprochen, findet ein Timeout statt.
1.2.3.4:15000 -> Timeout innerhalb des Netzwerks
Von Extern erscheint die gewünschte Webseite.
Intern kann die Webseite nur aufgerufen werden, in dem 10.10.10.100:15000 aufgerufen wird.

Es sollte so sein, dass wenn die externe-IP intern aufgerufen wird mit Port, dass die Webseite kommt, eben so wie extern.

Die Verwendung eines Hostnamens ist nicht möglich. Damit könnte ich es intern und extern regeln. Leider muss es aber eine IP-Adresse sein, die die externe-IP+Port darstellt. Die Programmeinstellung gilt für die internen Zugriffe und die externen. Extern funktioniert es, aber die eigentliche interne Verwendung/Zugriff ist nicht möglich.

Ich bin mir sicher, dass es nur eine Einstellung irgendwie in Configuration oder Firewall->Advanced ist oder ähnliches, aber egal was ich aktiviere/deaktiviere, es tut nix.

Falls ich mein gewünschtes Verhalten auch mit einer Route zustande bringen könnte, würde ich mich über Hilfe dazu freuen.

Vielen Dank im Voraus!!!!!

Hi!

Komische Situation, die bisher nur mit Opnsense vorkam. Ich vermute, dass es irgendeine Checkbox gibt, die das alles gut macht. Bogon Network usw ist das leider nicht.

Wir haben 8 IP-Adressen in unserem WAN-Netzwerk.

217.149.169.33
bis 217.149.169.46
Subnetz 255.255.255.240

Wir haben ein Opnsense bei 217.149.169.35 und ein Opnsense bei 217.149.169.36 und wieder ein weiteres Opnsense bei 217.149.169.37
Alle 3 Gateways funktionieren.
Wenn man aber nun aus dem Netzwerk 217.149.169.35 zum Netzwerk 217.149.169.37 verbinden möchte (RDP), dann funktioniert das nicht und es gibt keine Rückmeldung.

Wenn man aus einem anderen externen Netzwerk (zB 212.174.121.41) probiert, funktioniert die NAT Weiterleitung ohne Probleme.

Was genau machen wir falsch, dass die Weiterleitung nicht funktioniert?

Es gibt eine Windows-Maschine, die direkt im WAN hängt mit einem Netzadapter und die funktioniert mittels RDP. Auch eine weitere IP-Adresse 217.149.169.39 mit Zyxel-Firewall funktioniert mit Weiterleitung.

Es sind nur die Opnsense-Maschinen, die nicht richtig NAT machen, wenn man im selben WAN-Subnetz ist.

Weiß jemand, was hier umgestellt werden muss, sodass eine Verbindung auch innerhalb desselben WAN-Netzes funktioniert?

Danke!