OPNsense Forum
International Forums => German - Deutsch => Topic started by: oekomat on March 02, 2020, 04:53:30 pm
-
Hallo zusammen,
wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht. Mein Setup:
Fritzbox IP: 192.168.178.1 vergibt statisch die 192.168.178.101 an die Firewall
per VPN von außen erreichbar mit dyndns / myfritz-Dienst und vergibt dem externen client 192.168.10.201 aufwärts
Firewall LAN IP: 192.168.10.1, Gateway 192.168.178.1, DHCP 192.168.10.102-192.168.10.200, Clients haben alle Internetzugriff
Natürlich will ich jetzt von außen auch an die clients im LAN 192.168.10.0 und habe die Anleitung https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2 (https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2) gefunden.
Was mich verwirrt ist die externe IP der Fritzbox?! Da stehe ich jetzt so ein bissl auf dem Schlauch. Die externe IP der Box wechselt doch täglich bei Zwangstrennung.
Könnte mir bitte jmd helfen?
Gruß oekomat
-
Ich gebe dir nur ein paar Stichworte:
- exposte host
Mache doch lieber das VPN auf der Sense
Dann hast du es einfacher
Gesendet von iPhone mit Tapatalk Pro
-
Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.
Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.
VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).
-
Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.
Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.
VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).
Ich hatte es schon geahnt. Das heisst ich spreche mit meinem dyndns Dienst den Port auf der Fritzbox an, den ich auf die opnsense weitergeleitet habe?
-
Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.
Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.
VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).
Ich hatte es schon geahnt. Das heisst ich spreche mit meinem dyndns Dienst den Port auf der Fritzbox an, den ich auf die opnsense weitergeleitet habe?
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
-
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
-
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
-
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
Auf der Fritzbox die Portweiterleitung?
-
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
Auf der Fritzbox die Portweiterleitung?
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"
-
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"
Ich habe auf der direkten Zugang auf die Fritzbox per myfritz VPN und dyndns-Dienst. Was empfiehlst du als Freigabe?
(http://fritz.JPG)
-
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"
Ich habe auf der direkten Zugang auf die Fritzbox per myfritz VPN und dyndns-Dienst. Was empfiehlst du als Freigabe?
(http://fritz.JPG)
Würde eine Portfreigabe machen
Wie sich das mit Myfritz und so verhält keine ahnung.
Nutze die OPNsense nicht wirklich mit ner Fritzbox davor und wenn nur im Bridge Modus
-
Ich schließe mich Ifirewall1243 an, auf der Fritzbox eine Portfreigabe auf die IP der OPNSense konfigurieren z.B. Port 1194 bei ovpn oder 51820 bei wireguard. Achtung wenn es sich um einen IPSec Tunnel handelt musst Du auch die Protokolle ESP, Port 500, Port 4500 weiterleiten. Somit kannst Du den Tunnel direkt auf der OPNSense terminieren.
Auf der Sense musst Du dann die entsprechenden Ports auf der WAN Adresse zulassen.
-
Ich schließe mich Ifirewall1243 an, auf der Fritzbox eine Portfreigabe auf die IP der OPNSense konfigurieren z.B. Port 1194 bei ovpn oder 51820 bei wireguard. Achtung wenn es sich um einen IPSec Tunnel handelt musst Du auch die Protokolle ESP, Port 500, Port 4500 weiterleiten. Somit kannst Du den Tunnel direkt auf der OPNSense terminieren.
Auf der Sense musst Du dann die entsprechenden Ports auf der WAN Adresse zulassen.
Die Ports auf der Fritzbox freizugeben, ist nicht das Problem. Wenn ich mit meiner VPNcilla App auf dem Mobil-Client aber auf das LAN der Opensense zugreifen will, bekomme ich keine Verbindung. Gibts denn aktuelles Howto für die Einrichtung von openvpn hinter einer Fritzbox?
-
Mit Deiner VPNCilla Software greifst Du auf die Fritzbox zu. Hier musst Du die myfritz Adresse angeben.
Wenn die FritzBox eine neue IP bekommt trägt sie diese normalerweise bei myfritz ein , oder ein ander dynDNS Dienst . Somit kannst Du die IP Deiner Box jederzeit auflösen.
Zum Ablauf:
Du greift (per myfritz Auflösung) auf die externe IP Deiner Box zu.
Dort greift jetzt die Portweiterleitung und schiebt die Datenpakete auf die OPNsense.
-
Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.
-
Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.
Vpncilla ist ein ipsec, mit dem ich den myfritz Dienst nutze und bisher per vpn ins Netz gekommen bin.
Mit wireguard hab ich mich bisher noch gar nicht beschäftigt. Wenn ich das auf der Opensense genauso einrichten kann, werde ich mir das anschauen. Wie schwer siehst du Einrichtung für openvpn?
-
die frage kann man schlecht so beantworten, ich drücke es mal so aus. wenn du fit in der opnsense und netzwerktechnik bist, sollte es in 10 minuten erledigt sein.
wenn ich mich entscheiden muss wähle ich zurzeit noch OpenVPN als VPN. wireguard habe ich mich noch nicht so intensiv beschäftig auf der OPNsense. finde bisher kein gutes howto (ich mag howtos die auch schön bebildert sind wo was einzutragen ist). @oekomat melde dich mal mit einer persönlichen nachricht bei mir.
-
Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.
Vpncilla ist ein ipsec, mit dem ich den myfritz Dienst nutze und bisher per vpn ins Netz gekommen bin.
Mit wireguard hab ich mich bisher noch gar nicht beschäftigt. Wenn ich das auf der Opensense genauso einrichten kann, werde ich mir das anschauen. Wie schwer siehst du Einrichtung für openvpn?
Ich kann dir nur OpenVPN ans herz legen.
Ist schnell eingerichtet, sicher und läuft stabil.
-
Hi,
würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.
Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.
Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.
VG,
-
Hi,
würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.
Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.
Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.
VG,
Das klingt gut. Mein Netz sieht wie folgt aus:
Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24
Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6
Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de
-
meine empfehlung, weg mit der fritzbox als router und mit einem modem austauschen. so hast du die externe ip direkt an der sense und kein doppeltes nat.
ich kann dir für openvpn auf der opnsense ein gutes hoftor von thomas kren empfehlen. (einfach googlen)
System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel
Gesendet von iPad mit Tapatalk Pro
-
Hardware für die opnsense habe ich bereits. Intel core I3 6100 mit 8gb und 6xLan. Mit geht's um die Konfig
-
Hi,
würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.
Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.
Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.
VG,
Das klingt gut. Mein Netz sieht wie folgt aus:
Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24
Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6
Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de
Und was klappt da jetzt aktuell nicht?
-
die frage kann man schlecht so beantworten, ich drücke es mal so aus. wenn du fit in der opnsense und netzwerktechnik bist, sollte es in 10 minuten erledigt sein.
wenn ich mich entscheiden muss wähle ich zurzeit noch OpenVPN als VPN. wireguard habe ich mich noch nicht so intensiv beschäftig auf der OPNsense. finde bisher kein gutes howto (ich mag howtos die auch schön bebildert sind wo was einzutragen ist). @oekomat melde dich mal mit einer persönlichen nachricht bei mir.
Da gibt es ein sehr gutes Tutorial bei Thomas Krenn. Google ist Euer Freund..
-
Da gibt es ein sehr gutes Tutorial bei Thomas Krenn. Google ist Euer Freund..
Endlich mal wieder Zeit hier weiterzumachen vor lauter Homeoffice...
Du meinst sicher das https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten)
Grüße oekomat
-
Hi,
würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.
Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.
Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.
VG,
Das klingt gut. Mein Netz sieht wie folgt aus:
Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24
Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6
Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de
Und was klappt da jetzt aktuell nicht?
Also, ich habe nach der Anleitung https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten#Weitere_Informationen (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten#Weitere_Informationen) die Konfiguration 1:1 vorgenommen.
Unter System-Trust-Authorities steht:
Name: OpenVPN CA
Internal Yes
Issuer self-signed
certificates 1
Distinguished Name email, Adessse...CN=internal-sslvpn-ca, C=DE,
unter System-Trust-Certificates steht:
Name mobil CA no, Server no
Issuer OpenVPN CA
Distinguished Name email Adresse...CN=mobil
unter VPN-OpenVPN-Servers steht.
Protocol UDP/1194
TunnelNetwork 10.10.0.0/24
Der Fritzbox habe ich auf der OPNsense (192.168.10.101) den Exposed Host gegeben
Protokoll UDP, Port 1194
Wenn ich die Zerfikate bei Android importiere:
Typ Nutzer/PW + Zerfifikate
Dann importiert er den Server 192.168.1.0 - (quasi mein LAN)
Dort habe ich die Änderung auf die externe IP Adresse meiner Fritzbox vorgenommen.
Im Log der Sense kommt:
2020-04-01T13:19:56 openvpn[12231]: extIP des Adnroiden:11378 TLS Error: TLS handshake failed
2020-04-01T13:19:56 openvpn[12231]: extIP des Adnroiden:11378 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2020-04-01T13:19:47 openvpn[12231]: extIP des Adnroiden:11760 TLS: Initial packet from [AF_INET]80.187.87.5:11760, sid=59317790 dc326789
2020-04-01T13:19:44 openvpn[12231]: MANAGEMENT: Client disconnected
Die OPNsense hängt aber an der Fritzbox und kommt auch ins Internet. Hast du eine Idee?
-
Also du erstellt zuerst eine CA und mit der CA ein Server Zertifikat. Das hinterlegst du beides bei deinem VPN Server.
Dann unter Clientexport den VPN Server auswählen und deine externe IP Adresse eintragen.
Dann sollte es alles klappen :)
-
Hallo oekomat,
sorry wenn ich da für Verwirrung gesorgt habe, mein Hinweis bezog sich auf Wireguard., weil ich das ja angesprochen hatte
Hier der Link dazu.
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten
Aber egal ob OpenVPN oder Wireguard, in jedem Fall musst Du eine entsprechende Portweiterleitung auf der Fritzbox machen.
Zu finden auf der FB direkt in der Übersicht rechts unten "Portfreigabe".
Dort "Neue Freigabe", da wählst Du dann "Andere Anwendung" und "Portfreigabe".