OPNsense Forum
International Forums => German - Deutsch => Topic started by: jhort on November 05, 2020, 09:11:24 am
-
Hallo,
kennt jemand ein Tutorial um OPNsense (jetzt 20.7.4) auf einer VM in der Hetzner Cloud zu installieren?
Es geht hier um eine ganz banale Konfiguration von jeweils einem WAN und einem LAN Interface (mit Hetzner Subnet).
Der Hetzner Support hat mich auf eine Anleitung für pfSense verwiesen, die leider so nicht anwendbar zu sein scheint:
https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks
Zwar habe ich OPNsense schon mehrmals erfolgreich installiert und konfiguriert, doch im Hetzner Netzwerk komme ich einfach nicht weiter. Mit viel Probieren läuft die FW "einigermassen", doch ich befürchte das ist viel zu dirty, die Rules kommen mit dem Subnet nicht klar, von NAT Port Forwarding und anderem ganz zu schweigen...
Für jeden Hinweis wäre ich sehr dankbar!
-
bitte beschreibe doch mal dein genaues vorhaben, so kann dann jeder sehen was dein ziel ist und vieleicht auch einen lösungsansatz geben. oder buch dir doch professionellen support, der bekommt es bestimmt hin :)
-
Hab ich am Laufen.
- Du erstellst einen Server, egal was für ein OS, kommt eh weg
- nachdem der erstellt wurde, gehst Du in der Hetzner Console auf den Server und gehst bei ISO-Images auf die Suche nach OPNsense-20.7-OpenSSL-dvd-amd64.iso und klickst auf "einbinden"
- den Server dann über die Hetzner Seite neu starten und oben links die Console anfordern.
- ab dort ist es eine Installation wie jede andere auch
Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.
Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1
Viel Erfolg
-
Hallo Gauss,
vielen Dank für die Antwort. Soweit bin ich letzte Woche auch schnell gekommen und dann sofort auf die ersten Probleme gestossen. Die default route im VLAN und das standard gateway für die VMs waren klar, doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig. Das Port Forwarding, VPN und andere Funktionen bekomme ich auf Hetzner auch nicht mehr hin.
Meine laienhafte Vermutung ist (ich bin kein Netzwerk Profi) dass die Interfaces bei Hetzner (Layer 3?) anders konfiguriert werden müssen. In meinem Homelab habe ich einen Rechner mit fixer IP für OPNsense und einen Server für die VMs, da war die Installation und Konfiguration ein Kinderspiel.
Deswegen habe ich nach einer Anleitung für die Installation auf Hetzner gefragt, den Support kann ich mir nicht leisten... :(
-
doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig
Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.
Der Server, der hinter der OPNsense bei Hetzner stehen soll, ist im selben LAN und hat am besten seine WAN Schnittstelle deaktiviert. Über die Hetzner Console kommst Du ja noch ran.
Auch dort muss mit der /32er Adresse gearbeitet werden und eine default Route gesetzt werden auf die .1.
Bei Hetzner musst Du noch die Default Route im Netzwerk konfigurieren 0.0.0.0/0 auf die IP, die Deine OPNsense hat, nehme mal an die .2.
Der Rest ist dann eigentlich wie im Home-Lab.
-
Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.
Super, tausend Dank :)
Die VMs waren bereits ohne WAN und funktionieren auch mit dem Alias, schon mal viele Sorgen weniger.
Mal sehen ob ich den Rest mit dem Alias auch hinbekomme^^
-
FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)
eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?
-
FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)
eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?
Bezieht sich die Frage jetzt auf Hetzner oder auf OPNsense in eigenen Netzwerken? Bei Hetzner wird man keine VLANs nutzen können (also zumindest keine getagten).
-
Ja, immer noch Thema Hetzner hier ;)
Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^
-
Ja, immer noch Thema Hetzner hier ;)
Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^
Ja, du musst dann weitere Netze bei Hetzner anlegen. Für getaggte VLANs müsstest Du ja den Switches mitteilen können, wer teilnehmen soll und das kannst Du ja nicht. Daher muss man den Umweg über die Hetzner Console machen.
Ist wirklich kein schlechtes Produkt. Du kannst sogar Server aus verschiedenen Standorten in ein Netz zusammenlegen.
-
Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.
Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1
Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(
Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?
Wäre für jede Hilfe dankbar !
-
Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.
Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1
Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(
Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?
Wäre für jede Hilfe dankbar !
Hallo @dirkscheck,
ich kämpfe ebenfalls seit einer Woche mit der Kombination von OPNsense und privates Netz bei Hetzner Cloud, aber an diesem Punkt kann ich dir helfen. Sobald du das LAN-Interface an machst, geht die OPNsense in vollen Firewall-Modus und sperrt dich auf dem WAN Interface aus.
Du musst also so vorgehen:
- zuerst nur das WAN interface zuweisen (geht über die Console)
- das LAN interface noch nicht zuweisen
- auf der Web-GUI einloggen und dir eine explizite Firewall-Regel erstellen, dass du auf Interface WAN Port 443 TCP von deiner IP aus zugreifen darfst
- Firewall-Regel anwenden
- danach kannst du das LAN Interface konfigurieren/aktivieren etc.
-
Moin zusammen,
ich stehe gerade vor dem gleichen Problem, und nach Studium dieses Threads sind einige Fragen offen:
- Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.
- Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.
- Ich habe also ein Alias angelegt, Type: Network, Content: 10.0.0.0/24
Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?
Desweiteren diese "Default allow LAN to any rule", die sowohl im Tutorial für pfsense erwähnt wird, als auch hier im Thread. Die hatte ich gar nicht, unter Firewall -> Rules -> LAN war nichts vordefiniert. Ich habe hier eine Regel eingetragen, die halt auch Allow Any darstellt. Reicht das? Es ist nicht ganz ersichtlich, ob ich diesen Alias auch hier benötige.
-
> - Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.
Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?
> - Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.
Stimmt zwar, aber nicht ganz. In dem Fall ist es richtig, dass durch die Bauweise von Hetzner das GW theoretisch außerhalb des Netzes läge damit die das ggf. von RZ zu RZ routen können. Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein. Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.
> Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?
Wofür? Damit alles was das Netz betrifft darüber geroutet wird? Das muss kein Alias sein, sondern eine statische Route. Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.
Man muss lediglich aufpassen, dass man auf dem LAN dann nicht versehentlich "LAN network" verwendet oder verwenden will, da das dann /32 wäre und nichts bringt. Man muss also mit dem Alias 10.0.0.0/24 arbeiten das man sich manuell anlegt. Da aber eh die XY_address Aliase bei OPNsense etwas kaputt sind bei mehr als einer Adresse legt man sich IP/Netz eh lieber selbst sicherheitshalber als Alias an, dann weiß man genau, was man konfiguriert hat und erlebt keine Überraschungen ;)
Cheers
-
> Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?
Nein. Ich bin nach der Anleitung für pfsense gegangen, und habe ein privates Subnet "private" mit der Range 10.0.0.0/16 angelegt. Die OPNS VM habe ich an das Netzwerk angehangen, und ihr im Cloud-Interface die 10.0.0.2 zugewiesen. Im LAN IF habe ich "IPv4 Configuration Type: Static IP" eingetragen, und dann halt die 10.0.0.2/32 eingetragen, weil die OPNS ja nur eine IP hat, und keine Range. Hätte ich da 10.0.0.2/16 eintragen sollen?
> Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein.
Nun, das hatte ich schon mal versucht, allerdings ohne Erfolg.
> Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.
Ich hab das LAN mal auf DHCP gestellt, deine Begründung erscheint mir schlüssig.
> Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.
OK, auch das habe ich getan.
Der aktuelle Status ist aber: Die anderen VMs in dem Subnetz erreichen nicht das Internet.
Ich bin da auch nach dem Tutorial für pfsense gegangen, und habe nun eine Debian VM. Dort habe ich in der Interface-Config die Direktive "post-up route add default via 10.0.0.1" für das ens10 Interface eingetragen. Das ens10 bezieht seine IP via DHCP.
Wenn ich von der VM auf 8.8.8.8 trace, sehe ich, dass der erste Hop das Hetzner-Gateway 10.0.0.1 ist. Das wiederum routet korrekterweise den zweiten Hop auf die OPNS VM, wie durch den einen hcloud-Befehl beim Anlegen des Netzes auch konfiguriert wurde.
Der dritte Hop ist wiederum die 10.0.0.1. Hier bin ich etwas stutzig geworden, aber nehm das erstmal so hin. Weiter als bis zum dritten Hop kommt der Trace nicht. Ich vermute mal, weil sowohl OPNS als auch das Hetzner-Gateway den jeweils anderen Host als Gateway drin stehen haben, spielen die einfach nur Pingpong mit dem Traffic.
Irgendwo da ist noch der Wurm drin, aber ich habe noch keine Ahnung, wo. Da das Hetzner-Gateway sich eigentlich korrekt verhält, ist das Problem, dass die OPNS den Traffic den sie vom Hetzner-GW bekommt, nicht korrekt routet.
Wo ist der Fehler?
-
OK, böser Anfängerfehler. Das Hetzner-Gateway war als Standardgateway gesetzt. Ich habe in System->Gateways->Single das LAN_DHCP Gateway deaktiviert (wird sich noch herausstellen ob das notwendig oder eine gute Idee war), die beiden WAN_DHCP und WAN_DHCP6 auf active geschaltet, und das WAN_DHCP als Upstream eingestellt. Jetzt geht es.
-
Hallo zusammen,
ich stehe auch vor dem Problem das meine Opnsense auf Hetzner nicht so wirklich "will". Ich möchte auf Hetzner ein privates Netzwerk erstellen, welches über die Opnsense ins Internet kann - ebenso soll die Opnsense VPN Zugriff ermöglichen.
Bei der Installation bin ich wie folgt vorgegangen:
1. Hetzner Portal: Hetzner Cloud Server mit Ubuntu Image erstellt
2. Hetzner Portal: Opnsense Image an diesem Server eingehängt
3. Hetzner Portal KVM: Opnsense gebootet und installiert
4. Hetzner Portal KVM: WAN Interface vtnet0 zugeordnet und IP per DHCP konfiguriert
5. Hetzner Portal KVM: Sicheres root Passwort vergeben
6. Hetzner Portal KVM: Reboot
7. Openvpn WebUi: Browser login auf der public IP
8. Openvpn WebUi: Installationswizard durchlaufen und Checkbox bei Bogon Netz Häckchen aus Checkbox genommen und bei LAN keine Eintragungen gemacht
9. Openvpn WebUi: Systemupdates installiert
10. Openvpn WebUi: Firewall Regel für den WAN Zugriff auf HTTP/HTTPS erstellt
11. Openvpn WebUi: Server heruntergefahren
12. Hetzner Portal: privates Netzwerk erstellt (172.18.40.0/24) , darin legt Hetzner dann automatisch das 172.18.40.0/28 Netz an
13. Hetzner Portal: Server dem privaten Netzwerk hinzugefügt (172.18.40.2)
14. Hetzner Portal: Route 0.0.0.0/0 mit Opnsense Server als Gateway hinzugefügt
15. Hetzner Portal: Server gestartet
16. Openvpn WebUi: Login per public HTTPS auf der Opnsense
17. Openvpn WebUi: LAN Interface konfiguriert, enabled und per DHCP die IPv4 Konfig gemacht (172.18.40.2)
18. Openvpn WebUi: Firewall -> Aliases : Eintrag für das Hetzner Netzwerk gemacht (Name: Hetzner-Net-Alias ; Type: Network ; Content 172.18.40.0/28)
19. Openvpn WebUi: Firewall -> Rules -> Lan: Allow all from Hetzner-Net-Alias to Destination any (Interface: LAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
20. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Hybrid outbount NAT rule generation aktiviert
21. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Manual rule hinzugefügt (Interface: WAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
Nach dieser Opnsense Konfiguration habe ich im Hetzner Cloud (prive) Netzwerk einen Windows Server installiert um alles zu testen. Das public Interface habe ich komplett deaktiviert und die private IP Adresse des Windows Servers wird per DHCP von der Hetzner infrastruktur konfiguriert (172.18.40.3). Über den Windows Server kann ich die Opnsense WebUI erreichen. Wenn ich am Windows Server einen tracert auf die 8.8.8.8 mache, komme ich genau so weit:
tracert 8.8.8.8
Routenverfolgung zu 8.8.8.8 über maximal 30 Hops
1 5 ms 4 ms 4 ms 172.18.40.1
2 1 ms <1 ms <1 ms 172.18.40.2
3 5 ms 4 ms 3 ms 172.18.40.1
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
.......
Windows kommt also bis zum Hetzner Gateway, dann zur Opnsense, dann wieder zum Hetznergateway aber danach geht es nicht mehr weiter. Hat jemand von euch eine Idee woran das liegen kann?
Hab den Hetzner Support kontaktiert, der mir „nichts neues“ gesagt hat: „...auf der Hetzner Oberfläche eine Route 0.0.0.0/0 auf die IP des Opnsense Server eintragen“ (Punkt 14)
Hab jetzt schon stundenlang nach Fehlern oder Problemen gesucht und komme nicht weiter. Auf Hetzner Seite sind keine weiteren Firewalls etc. aktiv.
Hab mir eure obige Diskussion angesehen und dachte mir, es geht in die gleiche Richtung…
Habt ihr einen Tipp für mich?
-
Mir geht es leider genauso......
- opnSense ist erreichbar und kann pingen vom LAN und vom WAN
- Der Client bekommt per DHCP eine IP und kann pingen auf die opnSense bzw. die opnSense auf den Client
- Der Client kommt über ens10 nicht ins Internet
Hat das jemand zum Laufen bekommen???????
Grüße
Rafael
-
Hallo zusammen,
bei mir funktioniert es jetzt. Habe Firewall->NAT->Outbound auf Hybrid gestellt und eine Regel hinzugefügt gemäß
https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks
Interface: WAN
Address Family: IPv4+IPv6
Protocol: any
Source: 10.0.0.0/16
Destination: any
Translation -> Address: Interface Address
Ein zusätzliche Firewall rule war nicht nötig.
Grüße,
Andreas
-
Hallo,
ich bin aktuell auch dabei bei Hetzner eine private Network hinter einer OPNSense einzurichten.
Nach langem probieren hatte ich das mit dem Outbound Hybrid auch rausgefunden.
Das Problem welches ich jetzt habe ist, das die Clients (VMs) hinter der Firewall ins Internet über die OPNSense kommen, das passt alles, aber meine OpnSense selbst kann irgendwie nicht ins Internet übertagen. Äußert sich in folgenden Punkten
- Key Exchange bei Site-to-Site VPN klappt nicht
- Mobile VPN Einwahl per IPsec (IKEv2) klappt nicht
- Update Überprüfung scheitert mit Timeout beim Repository durchsuchen
ich habe das Gefühl das da eine Regel fehlt damit die Firewall selbst antworten senden kann bzw. ins
Internet kommt um nach Updates zu suchen.
Ich sehe im Log Einträge zu der Einwahl per VPN bzw. bei Site-to-Site das Pakete von der anderen Firewall
ankommen, aber die OPNsense scheint Ihre Pakete nicht gesendet zu bekommen.
Habt ihr hier einen Rat ? bzw. kennt Ihr das Problem
Vielen Danke und schöne Woche noch
-
Hallo,
eine Ergänzung zu meinem Problem mit der OPNSense bei Hetzner und dem Hetzner Network.
Die VM hinter der OPNSense kommt uneingschränkt ins internet, ohne Probleme.
Mache ich einen "traceroute" zum Beipsiel auf eine externe IP, sehe ich ordnungsgemäß den Ablauf.
IP der VM: 192.168.60.253/32 (per DHCP vom Hetzner Netzwerk)
1. Gateway vom Hetzner-Netzwerk (per Route), in dem Falle die 192.168.0.1 --> OK
2. danach die OPNSense (internes Interace), in dem Falle die 192.168.60.254 --> OK
3. danach das Gateway des WAN Interfaces der OPNSense, in dem Falle von Hetzner die 172.31.1.1 --> OK
4. externe IPs .....--> OK
nun das Problem, mache ich einen traceroute auf die gleiche IP über die Shell der OPNSense bleibt dieser
nach dem Gateway von Hetzner hängen, sprich Gateway 192.168.0.1 wird erriecht, danach "keine Antwort"
deshalb denke ich kann ich auch keine Updates über das Webinterface der OPNSense machen (timeout bzw. no route to host)
> und ich nehme stark an das das auch Problem ist warum ich keinen VPN Tunnel aufbauen kann, sowohl
Site-to-Site als auch mobile-VPN, da die OPNSense selbst keinerlei Pakete nach außen senden bzw. beantworten kann.
ich denke mir fehlt hier irgendwo eine Einstellungen oder eine Regel ?!?!? oder es hat etwas mit dem NAT Modus zu tun
Ich bitte hier noch einmal um einen Rat.
Danke
-
oh man, wer lesen kann ist klar im Vorteil!!!!
Vielen Dank an "simonszu"
Der Beitrag von Ihm war auch meine Lösung.
Die OPNSense hat beim mir das Gateway des LAN-Adapters (Hetzner-Netzwerk) als"Active" gesetzt.
Nachdem ich dieses deaktiviert habe und das WAN als "Active" und auch als UpStream gesetzt habe funktioniert nun alles.
System - Gateways - Single --> LAN Interface disbaled
System - Gateways - Single --> WAN Interface Upstream active
Alle meine Problem sind damit behoben und funktionieren nun. Das komische ist nur das bevor ich meine
Eisntellung gesetzt hatte, die Cleint VM dahinter normal ins Internet kam, naja wer weiß
VPN-Site-to-Site --> OK
VPN Mobile IKEv2 --> OK
Updates über Webinterface --> OK
Danke
-
Hat jemand von euch schon einmal eine Portweiterleitung mit dem Setup hinbekommen? Meine VM´s hinter der Opnsense VM haben Internet usw. nur ich kann einfach keine Portweiterleitung einrichten. Routing ist auch eingetragen.
-
Wo genau ist denn Dein Problem.
Port öffnen auf WAN Seite und dann ein Portforwarding machen von WAN Interface zum Zielhost
-
Ich versuche ssh freizugeben, damit ich die VM hinter der Opnsense konfigurieren kann, diese Port Forwarding Regel hab ich aktuell angelegt.
In der Live View sehe ich auch das die Regel bearbeitet wird. Aktuell vermute ich, dass es irgendwie am NAT oder an der Route liegt. Über die Diagnostics kann ich aber die VM pingen.
-
Hallo zusammen, ich bin auch gerade dabei mein Homelab zu Hetzner umzuziehen, und wie zu erwarten wenn ich hier schreibe, gibts ein Problem.
Und zwar kann mein LAN Client weder die OPNsense noch irgend eine externe Adresse erreichen.
Zuerst vorneweg, ich bin kein Netzwerkprofi, aber das ist auch nicht die erste OPNsense die ich installiere.
Derzeit habe ich 4 CPX11/21 am laufen, eine davon ist die OPNsense, und sobald alles funktioniert sollen die anderen die momentan im offenen Internet hängen hinter die Firewall.
Nachdem ich den Thread hier und die Hetzneranleitung zu pfsense, ein paar mal durchgelesen habe ist die Situation wie folgt:
Ich habe in der Hetzner Cloud Console ein Netzwerk mit den folgenden Werten (Standardeinstellungen) eingerichtet:
- Netz: 10.0.0.0/16
- Subnetz: 10.0.0.0/24
- Eine Route mit Ziel 0.0.0.0/0 und Gateway 10.0.0.2 (die LAN Adresse der OPNsense)
Weiterhin habe ich eine Debian VM eingerichtet die nur im LAN hängt, IP 10.0.0.4/32 und via "ip route add default via 10.0.0.1" eine Default Route eingerichtet.
Laut Hetzner Dokument brauche ich auf dem Client eine Route zum Hetzner Gateway, und auf dem Hetzner Gateway eine Route zur OPNsense. Ich denke das habe ich mit den beiden obigen Einstellungen erledigt?
Der Debian Client kann via ping alle IPs bis auf die OPNsense im 10.0.0.0 Netz erreichen. Da scheint also mit dem LAN Gateway noch was zu klemmen?
Traceroute zu einer beliebigen Adresse außerhalb geht genau bis zum 1. Hop, dem Hetzner Gateway auf 10.0.0.1, und dann ist Schluß. Das heißt dann wohl die Default Route wird korrekt genutzt, aber das Hetzner Gateway kann nicht mit der OPNsense kommunizieren.
Wenn ich auf der Console der OPNsense bin kann ich mit einem Ping sowohl im LAN als auch im WAN alle Adressen erreichen. DNS funktioniert auch. SSH über das WAN funktioniert auch. Interessanterweise komme ich mit einem ping auch an die 10.0.0.4, den LAN Client, der seinerseits die OPNsense nicht erreicht?
Das LAN Routing auf der OPNsense scheinen mir auch zu passen?
root@OPNsense:~ # netstat -rn
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 172.31.1.1 UGS vtnet0
10.0.0.1 link#2 UHS vtnet1
10.0.0.2 link#2 UH lo0
…
Nachdem ich hier feststecke habe ich versucht sämtliche Vorschläge hier im Thread nachzuvollziehen.
1. Nach der Basisinstallation habe ich mir, wie in Antwort 2 vorgeschlagen, gleich eine Regel hinzugefügt um (ausschließlich) meinem Rechner WAN Zugriff auf das Webinterface zu geben:
Firewall/Rules/WAN:
Protocol Source Port Destination Port Gateway Schedule Description
IPv4* Meine IP * This Firewall * * * Access for just my IP to the WebUI
Funktioniert!
2. Weiterhin wird hier vorgeschlagen einen Alias anzulegen. Habe ich gemacht:
Firewall/Aliases:
Enabled Name Type Description Content Loaded#
x HetznerNetAlias Network(s) 10.0.0.0/24 1
Wobei mir nicht klar ist wo ich den Alias dann benutzen muss?
3. Danach habe ich mich an den Vorschlag von JeGr in #13 gehalten und auf der OPNsense das LAN Interface via DHCP anstatt statisch eingerichtet, sowie eine statische Route zu 10.0.0.0/24 eingerichtet.
System/Routes/Configuration/
Disabled Network Gateway
10.0.0.0/24 LAN_DHCP - 10.0.0.1
Was mir nicht klar ist ist die Aussage von JeGr hier:
<Man muss lediglich aufpassen, dass man auf dem LAN dann nicht versehentlich "LAN network" verwendet oder verwenden will, da das dann /32 wäre und nichts bringt. Man muss also mit dem Alias 10.0.0.0/24 arbeiten das man sich manuell anlegt>>
Wo muß ich mit dem Alias arbeiten?
4. Dann habe ich noch wie in #15 vorgestellt das LAN Standardgateway deaktivert
System/Gateways/Single das LAN_DHCP Gateway deaktiviert, die beiden WAN_DHCP und WAN_DHCP6 waren schon auf active geschaltet, und das WAN_DHCP als Upstream eingestellt.
Name Interface Protocol Priority Gateway Status Description
WAN_DHCP (active) WAN IPv4 254 (upstream) 172.31.1.1 Online Interface WAN_DHCP Gateway
WAN_DHCP6 (active) WAN IPv6 254 (upstream) Online Interface WAN_DHCP6 Gateway
LAN_DHCP LAN IPv4 254 10.0.0.1 Pending Interface LAN_DHCP Gateway <- Ausgegraut/Deaktiviert
Komischerweise ist LAN_DHCP zwar ausgegraut, aber der Status bleibt selbst nach einem Reboot auf Pending
5. Dann gab's in #18 noch den Vorschlag in Firewall/NAT/Outbound auf Hybrid zu stellen, sowie die Regel unten anzulegen
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN 10.0.0.0/16 * * * Interface address * NO
Sollte hier als Source eventuell der Alias stehen? Und warum /16 und nicht /24? ich habs ausprobiert, hat nichts genutzt.
Und jetzt bin ich mit meiner Weisheit am Ende, eventuell klemmts ja gar nicht an der OPNsense sondern dass das Hetzner Gateway nicht funktioniert, aber da gibt es eigentlich außer den 3 Punkten ganz am Anfang nichts einzustellen.
Fällt eventuell jemandem hierzu was ein?
Vielen Dank schon mal…
-
vielleicht hilft der link
https://github.com/looserouting/community-content/blob/master/tutorials/opnsense-as-gateway-for-private-network/01.en.md (https://github.com/looserouting/community-content/blob/master/tutorials/opnsense-as-gateway-for-private-network/01.en.md)