OPNsense Forum
International Forums => German - Deutsch => Topic started by: messen on August 13, 2019, 12:14:10 pm
-
Hallo Zusammen,
ich bin neu in der OpenSense Welt und versuche mich gerade Stück für Stück einzuarbeiten.
Bevor ich mir die passende HW besorge, möchte ich das eine oder andere Feature gerne mal in meiner virtualisierten Umgebung (Proxmox) ausprobieren. Soweit so gut.
Allerdings scheitere ich bereits bei meiner ersten Herausforderung. Ich möchte gerne via OpenSense -- OpenVPN einen Zugang einrichten um mit meinen Geräte von extern auf mein Heimnetz zugreifen zu können.
Also aktuell als reines OpenVPN Gateway für den Zugriff von aussen (RoadWarrior Szenario) nutzen.
VDSL Zugang über Modem/Router Fritzbox.
Hier habe ich eine Portweiterleitung 1194 auf das WAN Interface meiner OpenSense.
Die Open Sense ist mit WAN und LAN Interface eingerichtet.
Ich kann mich mit meinen Clients auch Verbinden, die VPN Verbindung wird problemlos aufgebaut, aber die einzige Adresse aus meinem lokalen LAN die ich erreiche ist die meiner OpenSense.
Firewall Regeln habe ich zum testen komplett deaktiviert.
Folgende Parameter sind eingestellt.
WAN Interface: 172.25.15.200
LAN Interface: 172.25.15.201
keine FW Regeln aktiv (deaktiviert)
Gateway angelegt: 172.25.15.254 (Fritzbox)
Tunnelnetz (VPN Server): 10.10.0.0/24
Lokales IPv4 : 172.25.15.0/24
Hat jemand nen Tip für mich wo ich evtl. noch was eintragen muss?
Vielen Dank
Grüße
Matthias
-
WAN Interface: 172.25.15.200
LAN Interface: 172.25.15.201
Ist es beabsichtigt das LAN und WAN im selben Subnetz sind oder ein Schreibfehler. Wenn beabsichtigt kannst Dir auch die Firewall sparen. Da müssen unterschiedliche Netze hin.
-
Das ist schon richtig... und weis ich auch das ich mir das hätte sparen können. Für den späteren Prod. Betrieb
wird auch die FW erst mit den nötigen Regeln konfiguriert.
Möchte aktuell nur VPN only realisieren und etwas Erfahrungen sammeln.
Lt. diversen Anleitungen im Netz würde mir für das OpenSense/OpenVPN Gateway (ONLY) auch nur die WAN
Schnittstelle reichen.
Nachdem das Filterregelwerk aktuell komplett aussen vor ist, vermute ich mal wird irgendwo ein Routing Eintrag fehlen der dem VPN Client das Zielnetz mitteilt.
In den Client Logs allerdings taucht der Eintrag 172.25.15.0/24 aber auf!
-
Jop dein Netzwerkdesign ist hier wohl das Problem.
Was CoolTux schon meinte ist, dass du ein Transfernetzwerk verwenden solltest um auf der WAN Seite zwischen Fritzbox und deinem LAN ein anderes Netzwerk aufzubauen.
Du bekommst auch ein Problem wenn du deine Firewall einfach nur zusätzlich zu einem anderen Default-GW (Fritzbox) dazuhängst. Da funktioniert dann die Kommunikation mit der Firewall aber zu allen anderen Geräten funktioniert nur eine Richtung. Da deine Geräte aber das VPN-Tunnelnetzwerk nicht kennen, kommen die Pakete nicht zurück. Das kann man mit statischen Routen lösen, ist aber nicht schön.
Wenn du die Firewall "nur" als VPN Endpunkt komplett ohne Firewall-Funktion verwenden möchtest, brauchst du aber gar kein WAN Interface und musst dann halt dein Routing anpassen oder von TUN auf TAP im OpenVPN wechseln.
VG,
Dominik
-
Gehen wir für mein aktuelles Vorhaben mal von letztern aus, also OpenSense erstmal nur als VPN Endpunkt "only" zu verwenden.
- WAN Interface deaktivieren
- LAN Interface mit Adresse aus meinem LAN (z.B. 172.25.15.201) aktivieren
- Als Gateway die Fritzbox eintragen
- Beim OpenVPN das Tunnelnetzwerk angeben (z.B. 10.10.0.0)
- Beim OpenVPN das lokale Netzwerk angeben (z.B. 172.25.15.0)
- Beim OpenVPN Client als Hostadresse die DynDNS Adresse meiner Fritzbox eintragen
- Portweiterleitung an der Fritzbox auf die LAN Adresse mit Port 1194
- Firewall Regelwerk deaktivieren
Dann habe ich mehr oder weniger den aktuellen Zustand wieder erreicht.
Aber wo bzw. was fehlt mir dann um meinen Clients die Kommunikation mit meinem LAN zu ermöglichen?
Routingeintrage wären dann wo und wie zu setzen...
Sorry für meine Fragerei. Würde das halt gerne gleich mit OpenSense realisieren um mich langsam vorwärts zu tasten...
Vielen Dank
Grüße
Matthias
-
Hallo Matthias,
du müsstest dann entweder auf allen deinen Rechnern im LAN eine statische Route für dein 10.10.0.0 Netz mit dem Ziel der OPNsense als Router angeben.
Alternativ könntest du testen ob du die Route zentral an deiner Fritzbox einrichten kannst. Also eine Route die dich für das Netz: 10.10.0.0 wieder zurück an deine OPNsense verweist. Bin mir aber nicht sicher ob es mit der Route zurück in das gleiche Netz so sauber funktioniert.
Eine weitere Alternative wäre, TAP anstelle von TUN im OpenVPN zu verwenden. Dann bekommt dein VPN Gerät allerdings eine Adresse aus dem Netzwerk direkt. Also da wird kein Transfernetzwerk mehr gemacht wie du es jetzt mit dem 10.10.0.0 Netz hast. Würde ich jedoch nicht machen.
Das Herantasten in deinem Fall wird schwierig werden. Du schaltest bis auf OpenVPN ja alle Funktionen deiner OPNsense aktiv aus. Aus dieser Konfiguration wirst du bis auf VPN nicht mehr viel testen können.
Persönlich würde ich es anders machen:
- Neues internes Netzwerk an der Fritzbox konfigureiren
- Deiner OPNsense die alte IP der Fritzbox auf der LAN-Seite geben
- WAN der OPNsense mit der Fritzbox verbinden und Exposed Host aus der OPNsense machen
Dann kannst du wirklich alles mit der OPNsense machen, hast keine Probleme im Routing. Was dir allerdings wegfältl ist das WLAN im gleichen Netzwerk. Aber selbst das kannst du "reparieren" und das Transferlan der Fritzbox ins interne LAN hinter der OPNsense erlauben.
Mit der Konfig lernst du definitiv mehr und kannst viel mehr ausprobieren.
-
Wahrscheinlich die bessere Option. Wlan wäre nicht das Thema da ich das der fb eh nicht nutze sondern andere wlan AP s. Die DHCP Funktion würde dann durch opnsense geregelt? Wie müsste ich mir das mit dem exposed host vorstellen? Wie wird das dann konfiguriert?
Stellt sich nur noch die Frage wie ich meine VoIP Verbindungen an der fb weiterlaufen lassen kann und wie ich das in meinem Fall testweise mit einer physikalischen nic auf die Rolle bekomme...
Zum Kennenlernen wäre das definitiv die sinnvollere Variante
Vielen Dank
Matthias
-
Den Exposed Host kannst du in der Fritzbox definieren. An diese IP (deine OPNsense) werden dann quasi alle eingehenden Anfragen auf deine externe IP weitergeleitet.
Dein VOIP funktioniert ganz normal weiter wenn du die VOIP Geräte an der Fritzbox lässt. Die funktionieren auch hinter deiner OPNsense wenn sie sich dort anmelden können.
DHCP kann dann deine OPNsense machen. An der Fritzbox stecken dann im besten Fall nur dein OPNsene WAN Interface und evtl. noch Telefone. Dein OPNsense LAN verbindest du dann mit einem Switch. Den Fritzbox integrierten Switch wirste so nicht mehr verwenden können, da du dort ja ne IP aus dem Fritzbox Netz bekommst und außerhalb deines alten LAN-Bereich bist.
Hoffe das hilft dir zum Ausprobieren:
+--------+ +--------+ +--------+ +--------+
|Internet+--->+Fritzbox+---->+OPNsense+---->+ Switch |
+--------+ +--+-----+ +--------+ +-+--+---+
| | |
| | +---+
| | |
+----+-----+ +---+---+ +-------+
| Telefon | | PC | |Drucker|
+----------+ +-------+ +-------+
-
Vielen Dank für die Hilfestellung.
Den VoIP phones kann man ja eine IP aus dem
Fb Bereich geben.
Jetzt überleg ich nur noch wie ich das
Mit der einen nic hinbekommen könnte.
Grüße
Matthias
-
Reden wir immer noch von Proxmox und OPNSense? In Promox kannst Du doch mehrere vlans machen. Das sollte doch gehen.
-
Hallo,
ich bin auch relativ neu in der FW-Ecke und hatte ähnliches Problem.
FritzBox als Router -> OPNSense als FW -> Clients
Da ich noch einen PI vor der Firewall und an der FB hängen habe (hat seine Gründe) habe ich eine FW Regel erstellt die den PI durchlässt. Habe das als Floating-Rule erstellt weil es sonst nicht funktioniert hat.
Und natürlich noch eine Route von der FB zur FW (und dann an die IP der FW auf "WAN"-Seite) definiert.
Das ist gewiss nicht die schönste und intelligenteste Variante, aber es tut so.
Habe allerdings auch 2 NICs im Einsatz und 2 Subnetze.