Hallo liebe Gemeinde,
ich bin völliger Neuling und habe opnSense erst seit Mittwoch im Einsatz. Soweit läuft alles stabil.
Nun würde ich gerne wieder aus der Ferne auf meine Synology direkt zugreifen und bin mit den Firewallregeln noch etwas überfordert..... Also bitte etwas nachsehen mit mir.
Ich habe eine OpeneSense 19.1 auf einem iPU440 hinter der FritzBox 7590 laufen. die Freigabe an der Fritz ist exposed Host an die opnSense.
Was muss ich tun, wenn ich nur die Ports 500, 4500, 1701 alles als UDP für die Durchleitung an die Synology freigeben will? D.h. ich würde mich direkt an der Syology mit VPN L2TP anmelden wollen.
Die FritzBox lässt dich mittels in der FB eingetragener DynDNS aus dem Netz errreichen.
Vorab vielen Dank für eure Hilfe und einen schönen Ostersonntag.
Du kannst auch L2TP direkt auf der opnsense machen, hat es einen bestimmten Grund warum du es auf dem Synology machen willst?
Gesendet von iPad mit Tapatalk Pro
Ja, da ich per auch mit dem iPad und iPhone direkt auf die Synology zugreife.
also L2TP (VPN) kannst du direkt auf der OpenSense machen, du hast dann kompletten zugriff auf dein netzwerk (du kannst deine geräte (macOS, iOS, Windows und auch Android) die VPN Konfigurieren und du kannst alle resourcen in deinem netzwerk nutzen (cuah dein synology) das gleiche mache ich mit OpenVPN, deshalb noch mal die frage, was spricht jetzt dagegen das auf deiner opensense zu machen?
hier ist auch eine anleitung: https://wiki.opnsense.org/manual/vpnet.html
Danke micneu,
für die reine VPN spricht nichts gegen das Vorgehen. Wenn ich allerdinsg mein Dokumentenmanagement mitnehme, wäre die gleiche Frage. da brauch ich nur freigegebene Ports. auch soll der Zugriff nicht ins ganze Netz sein, sondern nur auf die Synology.
Fazit, wenn es geht würde ich lieber nur Ports freigeben als die VPN komplett über opnsense laufen zu lassen, da ich spätens mit dem DMS das nächste Problem hätte.
Ok, ich denke da sind noch echt Verständnis Problem.
Egal, mach wie du meinst, ich wollte nur helfen.
Die Einstellung musst du unter Firewall —> NAT —> Port Forward machen
Hier ein Beispiel ssh
(https://uploads.tapatalk-cdn.com/20190422/a69633acdf083d859a272e6ef29f3f6b.jpg)
Gesendet von iPad mit Tapatalk Pro
Mein Dokumenten Managementsystem im Docker ist eben nicht über VPN erreichbar, sondern nur über die TCP Ports 17001, 17002, 17004 und 17005. Auf der Synology ist L2TP eingerichtet. In der Firtzbox waren die TCP-Ports 17001, 17002, 17004, 17005 und die UDP-Ports 500, 17001 und 4500 frei geschaltet. Damit sollte erreicht werden , dass nur das NAS erreichbar ist und sonst kein weiterer Zugriff ins Netz möglich ist.
Für die UDP_Ports habe ich folgende Einstellungen definiert. Am Bespiel der Port 500 UDP.
Ich denke was dir micneu mitteilen wollte war, wenn du das VPN auf der OpnSense terminierst, bist du viel flexibler und kannst den Zugriff genau steuern, egal wohin in deinem Netz.
fg
Ok, ich könnte dann sagen, Zugriff nur auf das NAS. Und für den DMS-Zugriff, dann nur noch die Ports freigeben. Danke! Ist nach 5 Tagen Firewall noch nicht so alles komplett überschaubar für mich... Ich denke da löst sich wenn die ersten Regeln etc stehen und der Umgang mit dem System etwas routinierter ist.
Quote from: Mks on April 22, 2019, 07:03:15 PM
Ich denke was dir micneu mitteilen wollte war, wenn du das VPN auf der OpnSense terminierst, bist du viel flexibler und kannst den Zugriff genau steuern, egal wohin in deinem Netz.
fg
genau, DAS, danke
endlich einer der mich versteht
hier, so ungefail, du hättest dir mal das bild anschauen sollen von der NAT die ich eingestellt hatte
hier nochmal im detail
IST NICHT GETESTET, bei mir macht die Opnsense mein VPN
hier hatte ich dir schon gepostet wie du es machen kann am beispiel von ssh:
https://uploads.tapatalk-cdn.com/20190422/a69633acdf083d859a272e6ef29f3f6b.jpg
Vielen Dank :). Ich werde mal beide Versionen testen Portfreigabe und VPN.
Ich habe mich mal an der VPN-Variante versucht. Aber es noch nicht so recht zum laufen gebracht.
Ich würde gern mit iPad oder Win10 auf das NAS hinter der opnSense zugreifen. Ich komme von irgendwo aus dem Netz und spreche meine DYNDNS.de an.
Jetzt ist die Frage brauche ich sie hier in den Einstellungen nochmal, da sie ja schon in der Fritzbox eingestellt ist bzw. welche IP muss ich wo eintragen?
Anb ei der erste Versuch... Danke!
Ich hadere gerade mit der Frage, was trage ich bei Ferner Gateway (habe hier ja keine feste IP bei Notebook und iPad) und bei meine Kennung. Dort habe ich Dynamische DNS gewählt, aber eigentlich macht die FritzBox da ja schon vorher...
Hat eventuell jemand eine Idee, was ich ich noch falsch mache?
Leider bin ich noch keinen Schritt weiter, ich hab es bisher noch nicht geschafft, einen Port freizubekommen oder wenigtsens eine VPN-Verbindung eingrichtet zu bekommen. Alle Versuche sind bisher fehlgeschlagen....
Versuch mal dem How-To in der Dokumentation zu folgen:
https://wiki.opnsense.org/manual/how-tos/ipsec-road.html
Soweit ich das verstanden habe, hast du die FritzBox vor der OpenSense, auf dieser müssen die entsprechenden Ports für das VPN zur OpenSense weitergeleitet werden.
Edit sagt: Da die OpenSense als exposed Host in der FritzBox eingetragen ist, kannst du meine Anmerkung zur Port-Weiterleitung ignorieren :)
Gesendet von meinem ONEPLUS A5000 mit Tapatalk
Vielen lieben Dank an micneu für die tolle Hilfe!!!!!!!! :) :)