OPNsense Forum
International Forums => German - Deutsch => Topic started by: FCA-Flori on February 24, 2024, 01:21:16 am
-
Hallo in die Runde,
Lange Zeit war ich nur stiller Leser, habe mir diverse Youtube-Tutorials und Anleitungen im Netz angeschaut und war final von der Idee so angefixt, dass ich vor rund 4 Wochen eine OPNsense auf einer eigenen kleinen Kiste (China-Böller mit Intel N5105, 16GB RAM und 4 LAN-Ports) installiert habe.
Die Installation war aber in meinen Augen auch schon das einfachste der ganzen Situation und ich bin mittlerweile etwas am Verzweifeln. Sämtliche Anleitungen, die ich im Netz und sonst auch hier in diesem Forum finde, bringen mich nicht wirklich weiter, bzw. nicht ans Ziel.
Meine Vorstellung von meinem Netzwerk ist eine Aufteilung in drei min. Adressbereiche (Heimnetz, IoT-Netz, Gäste-Netz) mit einigen Diensten, die ich per Docker auf Unraid am laufen habe von außen erreichbar zu machen (HomeAssistant, Nextcloud, usw…) - aktuell habe ich „nur“ ein Heimnetz, da ich noch keinen VLAN-Router habe, bzw. noch nicht integriert habe!
Ich möchte aber von außen auf meine Dienste zugreifen können – am liebsten sowohl per VPN (OpenVPN oder WireGuard) als auch HTTPS durch den HAProxy.
Aber egal ob ich einen VPN-Zugang auf meinem Android-Handy einrichte, oder HAProxy (inkl. Zertifikaten) – es klappt nicht wirklich.
Zur Ausgangssituation:
DSL (250MBit) → FritzBox (IP: 192.168.1.10) → OPNsense ETH0 (WAN-IP: 192.168.1.1) → OPNsense ETH3 (LAN-IP: 192.168.2.0/24)
Ich habe auf der FritzBox als Portfreigabe die Ports 80, 443 und 1194 (OpenVPN) eingerichtet, DynDNS bei IPv64.net einen Account und sowohl in der FritzBox als auch OPNsense eingetragen (dynamisches DNS auch als OK und die IP wird angezeigt).
Am Account an sich liegt es m.E. nicht, da ich im ACME-Client Zertifikate angelegt bekomme, die ich auch verwenden kann.
Meine Frage ist jetzt: bin ich wirklich zu doof die Anleitungen im Internet zu befolgen, oder muss ich sonst noch irgendwelche Routen/Einstellungen/Freigaben/Voodoo-Zauber in der FritzBox / OPNsense einrichten? Ich habe allerdings außer dem „exposed Host“ keine weiteren Infos gelesen, dass an der FritzBox noch was eingestellt werden muss.
Hab ich irgendwelche Einstellungen in der OPNsense vergessen (wovon ich eigentlich schon ausgehe 🙈).
Mein Problem mit den Anleitungen ist allerdings auch, dass es gefühlt bei jedem Update der OPNsense die beschriebenen Programme nicht mehr gibt oder diese andere Punkte zum Auswählen haben und somit die Bilder oder Videos für mich als begeisterten Anfänger schon Probleme darstellen, wenn Vorgabe und Realität nicht übereinstimmen 😉.
Folgende Punkte habe ich bereits probiert / als Problem in Verdacht:
• ausgehendes NAT: Ich habe auch schon die verschiedenen Modi „ausgehendes NAT“ durchprobiert – irgendwie klappt wohl nur die „Hybride Erstellung ausgehender NAT Regeln“ – wenn ich das ausgehende NAT der OPNsense deaktiviere, habe ich keine Verbindung mehr!
• AdGuard (ist auf der OPNsense installiert und konfiguriert): habe ich deinstalliert und alles auf den jungfräulichen Zustand gebracht – kein Erfolg.
• Die OPNsense ist auch nicht als exposed Host in der FritzBox freigegeben.
Das war jetzt wirklich viel – sorry für den Haufen 😮
Für Hilfestellungen jeglicher Art bin ich Euch jetzt schon dankbar 👍
Edit, bzw. Erklärung: ich brauche hier mehr oder weniger "nur" eine Aufklärung, ob meine Grundeinstellungen soweit passen - meines Erachtens eben nicht. Sollten die dann passen, werde ich mich weiter mit Anleitungen und Einträgen "durchwurschteln"...😎
Zudem ist mir noch eingefallen, dass die erstellten Seiten per HAProxy z.B. "unraid....ipv64.net" aus dem WLAN erreichbar sind, per mobile Daten vom Handy aus aber nicht.
-
Keine Ahnung was du genau eingerichtet hast.
Daher nur grundsätzlich am Beispiel von OpenVPN
* WAN: private Netzwerke nicht blocken
* WAN regeln: ist OpenVPN (udp 1194) erlaubt?
* OpenVPN: lauscht der auf WAN?
Da die FB die Netze hinter dem Router nicht kennt musst du auch eine statische Route dort eintragen. Sonst funktioniert es nur mit outbound nat auf opnsense. Da du eine private wann IP nutzt macht die Automatik das nicht.
Sicher gibt es da Videos dazu wie man das macht
-
Hi,
habe ähnliche konfig. FritzBox (FB) und dahinter eine esxi vm mit opnsense.
In der FB habe ich die opnsense ip als exposed host eingetragen. Die FB filtert somit nicht. das soll alles opnsense machen. dyndns macht ausschließlich opnsense. Ich habe noch in der dmz (2.eth anschluß) einen mailserver, hängen, der smtp anbietet sowie eine weboberfläche zum emial handling.
Dafür verwende ich nginx proxy. haproxy habe ich nicht installiert. nginx hört auf port 443 und leitet das zum port 80 des mailservers. das zertifikat handling macht somit ausschließlich nginx auf der opnsense mit dem acme client.
ich habe mehrere zertifakte für webmail.mydomain.xx ftp.mydomain.xx usw. nginx proxy kann dann anhand dieser domains auf die enzelnen upstream server in der dmz verzweigen.
in der firewall alias section:
definiere einen alias namen webaccess mit dem content 80 und 443
weitere aliase, je nach Bedarf e.g. für ftp ical usw.
in der firewall rules WAN section jeweils einen entry erzeugen:
protocol:IP4 Source:* Port:* Destination:WAN address Port:webaccess Gateway:* Schedule:*
NAT brauchst du für die einzelnen nginx upstream server nicht. Brauchst du nur für services die den nginx proxy nicht verwenden. e.g. ftp
-
installiere auch das crowdsec plugin.
-
danke erstmal für den ganzen Input - wie gesagt, wenn ich das ausgehende NAT deaktiviere, habe ich kein Internet mehr... aber dann werde ich wohl um den exposed Host nicht drum rum kommen ;)
CrowdSec werde ich mal installieren - danke für den Hinweis.
Ich werde wieder Bericht erstatten, wie es ging und wo ich wieder neue Probleme habe/hatte/haben werde ... :P
-
ich habe jetzt in der FritzBox die Route gesetzt und konnte so das ausgehende NAT der OPNsense deaktivieren - scheint auch soweit alles normal weiterzulaufen... Danke für den Hinweis 8)
Die ganzen Anleitungen, die ich im Vorfeld mir angeschaut und durchgelesen habe, bin ich nochmal durchgegangen und irgendwie konnte ich nirgends lesen/sehen, dass in der FritzBox eine Route gesetzt werden muss.
Die Geschichte mit VPN krieg ich nicht ans Laufen - vom Handy aus habe ich eine Verbindung, allerdings nur, wenn ich im eigenen WLAN bin. Über die mobilen Daten keine Chance.
Ebenso krieg ich keine Verbindung zu meinen Diensten (Nextcloud, Home Assistant, Unraid...) per HAproxy.
Meine Fragen:
- muss ich in der FritzBox sonst noch was ändern/einstellen, damit das funktioniert (Ports sind wie bereits geschrieben freigegeben)
- gibt es validierte Anleitungen, wie ich OpenVPN oder WireGuard einrichte - auch oder speziell fürs Handy (mobile Daten)?
- ebenso für den HAproxy ;)
- kann es sein, dass VPN und HAproxy mit dem AdGuard kollidieren?
-
Hallo,
das mit der Route wird gerne vergessen, weil man ja auch per NAT arbeiten kann. Spätestens bei IPv6 fällt man dann damit allerdings aufs Maul.
Validierte Anleitungen weiß ich nicht.
Damit dein OpenVPN von überall geht:
Port UDP 1194 auf der FB öffnen und an OPNSense weiterleiten. Oder Exposed Host setzen. Damit werden automatisch alle eingehenden Pakete an der FB per NAT an die OpnSense weitergegeben, d.h. nicht, dass Routen nicht mehr wichtig wären.
Desweiteren auf der OPNsense:
Der OpenVPN Server muss mindetens auf Schnittstelle WAN lauschen.
Auf WAN eingehend UDP 1194 erlauben, ggf. in Regeln -> LiveView nachprüfen, ob Traffic geblockt wird.
-
Hallo und ich schon wieder...
ich habe jetzt alles von vorne begonnen mit dieser Anleitung hier im Forum - einige Sachen sind jetzt auch (einigermaßen) verständlich, warum etwas eingerichtet wird usw... (irgendwas Gutes muss das recherchieren ja haben :P) https://forum.opnsense.org/index.php?topic=23339.0
Leider klappt der Zugriff von außen (Handy mit mobilen Daten) nach wie vor nicht und wenn ich innerhalb des LAN zugreifen will bekomme ich keinen HTTPS-Zugriff, bzw. im Browser wird mir "Seite ist nicht sicher" angezeigt. Mir scheint es, dass irgendwo die HTTPS-Konfiguration nicht passt, nur so weit bin ich in der Materie echt nicht drin, dass ich da auf Fehlersuche gehen kann.
Folgende Sachen habe ich eingestellt - evtl. hat jemand DEN Hinweis, warum es nicht so klappt, wie es soll; wie gesagt, ich bin der Anleitung aus o.g. Link gefolgt und meine IPs dementsprechend eingetragen:
- unter Virtuelle IP (192.168.20.1/32 Loopback IP Alias HAProxy_SSL_Server)
- unter Aliase (HAProxy_Ports Port(s) 80,443 )
- Firewall-Regeln WAN (IPv4 TCP * * WAN Adresse HAProxy_Ports * * HAProxy erlauben)
Zuweisungen laut Anleitung in den Backend, Frontend und öffentlichen sowie tatsächlichen Servern hinterlegt und eingetragen.
In den Protkolldaten von HAProxy finde ich auch keine Fehler.
Die Baustelle OpenVPN muss jetzt einfach noch ein bisschen warten, bis diese abgeschlossen ist :-\ ;)
-
Was genau heißt "es klappt nicht". Hast du in die Logs geschaut? Regeln auf dem WAN mal das Logging enabled und dann geschaut ob da überhaupt Traffic ankommt oder ob vllt. schon vorher über die Fritte was nicht klappt? Oder Packet Capture auf den Web Ports und dann mal geschaut ob was ankommt?
Wenn intern der Hinweis kommt, heißt das ggf. ja nur, dass das Zertifikat nicht stimmt oder du noch keins gemacht hast. Du verlinkst zwar die Anleitung aber so weiß ja niemand was davon du alles gemacht hast, ob du deine eigene Domain gemacht hast oder wie auch immer du auf den Proxy zugreifst und ob das richtige Zert ausgestellt ist. Das HowTo geht ja von vielen Sachen aus, die ggf. gar nicht mehr zutreffen (aktuell kann man bspw. gerade bei desec keine Dyndns Domain mehr anlegen wegen einer Bot Attacke). Daher wäre es sinnvoll wenn du schreiben/posten würdest, was genau da wo gemacht wurde und was nicht.
Wie gesagt würde ich aber erstmal prüfen, ob von extern überhaupt Traffic am HAproxy ankommt via Logfiles oder Packet Capture sonst ist alles andere Rumbasteln erstmal sinnfrei :)
Cheers