OPNsense Forum
International Forums => German - Deutsch => Topic started by: cereal2k on June 12, 2019, 07:55:01 pm
-
Hallo,
ich versuche seit ca. 1 woche meine opnsense via IPSec an unser büro (FB 7430) anzubinden. Die IP von meinem provider (opnsense) laesst sich anpingen (31.145.x.x) allerdings schaetze ich, ist es eine non public ip weil ich mit einem Traceroute vom büro zur opnsense nicht sehr weit komme (nach 5 hops ist es vorbei). Meine opensense ist direkt am WAN angeschlossen via PPPOE. Da ich keine möglichkeit habe an meinen lokalen exchange ect. ranzukommen (nicht unterstüzt vom ISP) hatte ich mir gedacht ich mache eine IPSec zum büro und richte mir auf dem FB einen weiteren VPN zugang ein worüber ich mich dann via smartphone bzw. tablet / notebook verbinde (?).
Ich hab mir dazu opnsense auf meiner esxi installiert alles soweit konfiguriert und nach anleitung von https://forum.opnsense.org/index.php?topic=6429.0 durchgeführt.
Unter VPN -> IPSec -> Status overview sehe ich meine verbindung zum büro als state "INSTALLED Routed" (komischerweise ist es dort 3 mal gelistet). Ich habe versucht via Ping eine antwort zu erhalten allerdings sieht man unter Stats Bytes out das was raus geht aber unter Bytes in bleibt alles auf 0 :(
Unter Firewall -> Rules -> IPSec habe ich alles auf any gesetzt um das ganze zu testen.
unter Firewall -> Rules -> Wan ist ESP (source any -> Destination Wan address) gesetzt und habe UDP 500 / 4500 hinzugefügt die auch als source any und als destination Wan address haben.
Auf der Fritzbox selbst sieht es dann so aus das eine verbindung angezeigt wird:
12.06.19 18:58:15 VPN-Verbindung zu Opnsense VPN wurde erfolgreich hergestellt.
Auch unter Freigaben kann man das sehen:
Opnsense VPN 10.134.x.x 192.168.178.0 /24 192.168.1.0 /24
In Opnsense Log steht:
Jun 12 20:48:49 charon: 01[IKE] <con1|28> CHILD_SA con1{76} established with SPIs c88cefbd_i 6c2662f1_o and TS 192.168.1.0/24 === 192.168.178.0/24
Jun 12 20:48:49 charon: 01[NET] <con1|28> received packet: from 79.x.x.x[500] to 10.134.x.x[500] (300 bytes)
Mein Setup zuhause sieht wie folgt aus:
WAN --- OPNSENSE --- SWITCH --- CLIENTS / AP's
Im Büro (Telekom):
WAN --- FB --- SWITCH --- CLIENTS
Würde mich freuen wenn mir einer helfen könnte :/
Vielen dank....
Mfg
Cereal2k
P.S.: Vielleicht waere noch wichtig zu erwaehnen das ich zuhause einen DC laufen lasse worüber DHCP / DNS laufen.
OPNsense 19.1.9-amd64
FreeBSD 11.2-RELEASE-p10-HBSD
OpenSSL 1.0.2s 28 May 2019
-
Ich habe VPNs zu fritzbox 7490, läuft bei mir.
Ich kann dir sobald ich zuhause bin mal meine konfig posten
Gesendet von iPhone mit Tapatalk Pro
-
Super, probiere das dann gleich mal aus....
Ganz nebenbei ich habe mal pings laufen lassen:
(https://i.ibb.co/hc3rHgG/321.png)
Wie schon oben beschrieben sehe ich nur ausgehende pakete.
Achso habe noch in anderen foren gelesen das beide lokationen erreichbar sein müssen.... kann es sein da ich zuhause eine Private IP habe das ganze nicht laufen kann ? :/
-
Du brauchst schon eine wan ip die Erreichbar ist. Mein Setup hat 2 Standorte die per dyndns erreichbar sind
Gesendet von iPhone mit Tapatalk Pro
-
Hab ich leider nicht in unserer Wohnanlage gibt ein managed network was von einer firma betrieben wird:
Via Whatsmyip bekomme ich: 31.145.x.x <<< diese ist via ping erreichbar.
Via Opnsense sehe ich im dashboard unter WAN: 10.134.x.x <<< diese ist nicht erreichbar.
Ich schaetze die Konfig unserer wohnanlage sieht so aus:
Vodafone (ISP) -> Wohnanlage (Privat Firmen Router) -> Wohnungen (in meinem fall Opnsense).
Wie schon beschrieben habe ich eine internetverbinung aufbauen können via PPPOE aber dies scheint von der Wohnanlage herzurühren :(
In anderen foren wiederum habe ich gelesen das so genannte branch offices mit privater IP einen IPSEC mit dem headoffice machen können und darüber dann entsprechend weitergeleitet werden (Internet / Intranet).
Irgendwo habe ich einen denkfehler schaetze ich.... Ich seh schon den Wald vor baeumen nicht mehr :)
-
Stehe zwar nicht drauf habs aber mit zerotier gelöst :)
DNS ect. funzt komme auf meine Server zuhause ohne den ZT client auf jedem server installieren zu müssen.... einfach nur die verbindung gebridged in opnsense und auf myZT eingetragen fertig.... Exchange / Skype 4 Business ect. alles via DNS erreichbar :)
Dank dir trotzdem kann geschlossen werden.
-
> Via Whatsmyip bekomme ich: 31.145.x.x <<< diese ist via ping erreichbar.
> Via Opnsense sehe ich im dashboard unter WAN: 10.134.x.x <<< diese ist nicht erreichbar.
Was einfach nur heißt, dass du nochmal hinter einem anderen Router oder Routing hängst und intern ein privates Netz hast. Ist ja jetzt nicht der Ausnahmefall. Kann man trotzdem hinbekommen mit OVPN oder notfalls auch IPSec.
-
> Via Whatsmyip bekomme ich: 31.145.x.x <<< diese ist via ping erreichbar.
> Via Opnsense sehe ich im dashboard unter WAN: 10.134.x.x <<< diese ist nicht erreichbar.
Was einfach nur heißt, dass du nochmal hinter einem anderen Router oder Routing hängst und intern ein privates Netz hast. Ist ja jetzt nicht der Ausnahmefall. Kann man trotzdem hinbekommen mit OVPN oder notfalls auch IPSec.
Achso ? :-\
Wie komme ich denn da weiter ? Hatte mir am anfang gedacht eine L2TP / PPTP aufzubauen und dann bei der Fritzbox die interne IP als remoteadresse einzugeben.... habe aber den gedanken schnell wieder verworfen....
OVPN war leider keine option für mich.... daher wollte ich eine IPSEC zu unserem office aufbauen.
Natürlich ziehe ich IPSEC, ZT vor also wenns ne lösung gibt bin ich auf jedenfall intressiert :D
-
> PPTP
Ich hoffe das war nur ein Schreibfehler - PPTP ist kein VPN mehr. Es ist schlicht nicht sicher und das seit Jahren.
> OVPN war leider keine option für mich.... daher wollte ich eine IPSEC zu unserem office aufbauen.
Warum war/ist OVPN keine Option?
Ansonsten IPSec mit NAT-T könnte laufen, allerdings müsste man wissen mit welcher IP du defiziert raus gehst und ob inbound zu dir gefiltert wird. Aus dem Grund ist OVPN eigentlich die simpelste Lösung, denn da könntest du deine Seite als Client zu einer anderen Seite mit public IP aufbauen ohne großes Heititei :D
-
> PPTP
Ich hoffe das war nur ein Schreibfehler - PPTP ist kein VPN mehr. Es ist schlicht nicht sicher und das seit Jahren.
> OVPN war leider keine option für mich.... daher wollte ich eine IPSEC zu unserem office aufbauen.
Warum war/ist OVPN keine Option?
Ansonsten IPSec mit NAT-T könnte laufen, allerdings müsste man wissen mit welcher IP du defiziert raus gehst und ob inbound zu dir gefiltert wird. Aus dem Grund ist OVPN eigentlich die simpelste Lösung, denn da könntest du deine Seite als Client zu einer anderen Seite mit public IP aufbauen ohne großes Heititei :D
Wie gesagt war nur ein gedanke für ca. 10 min. ;D
So... meine externe ip ist 31.145.x.x intern 10.134.x.x und wird laut der firma (heute mal gefragt) gefiltert daher auch kein port management möglich.
Habe zuhause opendns für die kids am laufen openvpn ist geblockt.... habs schon in die whitelist aufgenommen aber es scheint opendns bzw. cisco wenig zu intressieren....
Nachtrag: Im moment spiele ich mit dem gedanken mir eine mobile verbindung noch zusaetzlich anzuschaffen.... wenn ich vom ISP ne statische IP bekommen kann habe ich schon die halbe miete, hoffe ich zumindest :)
-
> eine mobile verbindung noch zusaetzlich anzuschaffen.... wenn ich vom ISP ne statische IP bekommen kann habe ich schon die halbe miete, hoffe ich zumindest :)
Wenn du es schaffst einem Mobilfunk Anbieter (ich lese mobile Verbindung so?) eine statische Public IP abzuringen, die nicht gefiltert ist -> Respekt :D Die nutzen fast überall selbst private/interne IPs ;)
-
> eine mobile verbindung noch zusaetzlich anzuschaffen.... wenn ich vom ISP ne statische IP bekommen kann habe ich schon die halbe miete, hoffe ich zumindest :)
Wenn du es schaffst einem Mobilfunk Anbieter (ich lese mobile Verbindung so?) eine statische Public IP abzuringen, die nicht gefiltert ist -> Respekt :D Die nutzen fast überall selbst private/interne IPs ;)
Jap hattest recht war wohl nichts.... hab am Freitag nen Telekom menschen aufgesucht um mir ne eigene leitung legen zu lassen.... inkl. statischer IP.... bekomme diese woche meinen Anschluss (hoffentlich)....