Moin
ich habe auf meiner pfSense in letzter Zeit ein paar kleine bugs gehabt, weshalb ich den wechsel zu OPNsense gewagt habe.
Nun hat soweit erstmal auch alles geklappt, nur das ich meinen VPN noch nicht richtig einstellen konnte.
Mein Ziel bestimmten traffic und VLANs über den VPN laufen lassen und den rest über mein normales WAN.
Die Verbindung zu AirVPN steht - Connection Status ist "up" und unter den Logs war es auch zu lesen.
Das Interface hat auch eine Adresse.
Nun kommen wir zu dem Teil, was bei mir ein Buch mit sieben Siegeln ist - NAT.
Ich stelle die Einstellung auf Manuelles NAT:
Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500
Soweit so gut - dann läuft schon mal das normale Internet ohne Probleme.
Aber egal an welchen Guide ich mich halte (die haben meist alles andere NAT settings) immer wenn ich über die Firewall Rules LAN das Gateway auf vpn stelle, kommt entweder "die Verbindung ist unsicher" oder "opnsense dnsrebind attack".
Ich hoffe ihr könnt mir helfen - keine lust wieder pfsense aufzuspielen :)
Eigentlich musst du auf dem gewünschten VLan Interface die Regel (evtl.ja eine allow Any). Das Gateway (ganz unten) auf deine VPN Gegenseite stellen.
Entweder wurde ein Gateway schon automatisch angelegt.
Sonst unter Gateways eins anlegen mit der Remote Tunnel IP der jeweiligen VPN
Also Portweiterleitungen braucht du dafür eigentlich garnicht
Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces "natted". So wie im Screenshot.
Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).
welcher screenshot?
Und danke euch beiden schonmal :)
Quote from: Gauss23 on October 31, 2020, 07:54:10 PM
Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces "natted". So wie im Screenshot.
Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?
Quote from: lfirewall1243 on October 31, 2020, 07:56:14 PM
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?
Er schrieb:
Quote from: D0bby on October 31, 2020, 03:28:13 PM
Ich stelle die Einstellung auf Manuelles NAT:
Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500
Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?
Quote from: D0bby on October 31, 2020, 07:56:02 PM
welcher screenshot?
Und danke euch beiden schonmal :)
Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png
Nicht gesehen?
Quote from: Gauss23 on October 31, 2020, 07:58:34 PM
Quote from: lfirewall1243 on October 31, 2020, 07:56:14 PM
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?
Er schrieb:
Quote from: D0bby on October 31, 2020, 03:28:13 PM
Ich stelle die Einstellung auf Manuelles NAT:
Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500
Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?
Ah das mit manuell hatte ich überlesen.
Dann klar :)
Quote from: Gauss23 on October 31, 2020, 07:59:05 PM
Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png
Nicht gesehen?
doch gerade eben :)
Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"
Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?
2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'
Quote from: D0bby on November 01, 2020, 09:17:57 AM
Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"
Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?
2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'
Hat dein VPN Provider sowas wie ein SSL Proxy am laufen der die Verbindung aufbricht?
Oder läuft dein eigener Proxy ?
AirVPN - ich denke nicht. Bin mir aber nicht sicher.
Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/
WAN LAN net * * * WAN address * NO Lan NAT
vpn LAN net * * * vpn address * NO vpn NAT
WAN LAN net * * 500 WAN address * YES Lan NAT 500 ISAKMP
so sieht aktuell mein NAT aus.
Quote from: D0bby on November 01, 2020, 09:30:52 AM
AirVPN - ich denke nicht. Bin mir aber nicht sicher.
Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/
Okay
Kenne airvpn selbst nicht. Laut Google gibt es aber immer Mal wieder Themen bezüglich HTTPS und Zertifikaten.
Ist das ein eigener Server den du als Gegenstelle aufsetzt oder ein Online Service wie z.B. NordVPN und Co?
Mach mal ein Screenshot von deinen
-Firewall Rules
-NAT Rules
- Outbound NAT
Quote from: D0bby on November 01, 2020, 09:32:10 AM
WAN LAN net * * * WAN address * NO Lan NAT
vpn LAN net * * * vpn address * NO vpn NAT
WAN LAN net * * 500 WAN address * YES Lan NAT 500 ISAKMP
so sieht aktuell mein NAT aus.
Schon gesehen.
Aber warum kein NAT bei dem VPN (2. Rule)?
Zu deinem Airvpn hin brauchst du ja eigentlich NAT
sorry - das versteh ich nicht :)
hier aber mal die Bilder.
https://www.directupload.net/file/d/5989/ntbqwlvl_png.htm
https://www.directupload.net/file/d/5989/zclx35tu_png.htm
https://www.directupload.net/file/d/5989/gmpe9yhp_png.htm
https://www.directupload.net/file/d/5989/e7jql3gq_png.htm
Quote from: D0bby on November 01, 2020, 10:35:31 AM
sorry - das versteh ich nicht :)
hier aber mal die Bilder.
https://www.directupload.net/file/d/5989/ntbqwlvl_png.htm
https://www.directupload.net/file/d/5989/zclx35tu_png.htm
https://www.directupload.net/file/d/5989/gmpe9yhp_png.htm
https://www.directupload.net/file/d/5989/e7jql3gq_png.htm
"dns rebind attack" scheint was mit Outbound NAT zu sein.
Ist es möglich deine NAT Einstellungen einmal auf Automatisch zu setzen und dann erneut zu testen?
Oder das Mal testen
https://forum.opnsense.org/index.php?topic=14088.0
klar - nur später muss ich meine Fritz als Telefonanlage mit rein nehmen. Unter pfSense musste ich das Manuell machen.
Aber ich teste mal schnell
Quote from: D0bby on November 01, 2020, 10:43:43 AM
klar - nur später muss ich meine Fritz als Telefonanlage mit rein nehmen. Unter pfSense musste ich das Manuell machen.
Aber ich teste mal schnell
Also ich hatte bisher keine Schwierigkeiten mit VOIP hinter der OPNsense wenn Outbound NAT auf Standard steht
Ansonsten auf Hybrid stellen und nur für die Fritzbox manuelle regeln anlegen
gleiche Problem
War den mein NAT richtig?!
Dann bin ich da raus.
Klappt es wenn du die Seite versuchst per IP aufzurufen?
Die Regeln passen auch alle mit den VLANS überein?
Also irgendwas wird deine NAT Config da dns mäßig machen was nicht so der Knaller ist
Ich denke es hat was mit dem log aus openvpn zu tun.
openvpn[64781]: TCP/UDP: Incoming packet rejected from [AF_INET]+.+.+.+:443[2], expected peer address: [AF_INET]+.+.+.+.:443 (allow this incoming source address/port by removing --remote or adding --float)
Quote from: D0bby on November 01, 2020, 10:59:19 AM
Ich denke es hat was mit dem log aus openvpn zu tun.
openvpn[64781]: TCP/UDP: Incoming packet rejected from [AF_INET]+.+.+.+:443[2], expected peer address: [AF_INET]+.+.+.+.:443 (allow this incoming source address/port by removing --remote or adding --float)
Da dürften deine VPN internen Pakete garnicht auftauchen. Bleiben ja normalerweise Tunnel Intern
Da wird was falsch genatted