OPNsense Forum

International Forums => German - Deutsch => Topic started by: jhort on November 05, 2020, 09:11:24 am

Title: Tutorial für Hetzner Cloud (?)
Post by: jhort on November 05, 2020, 09:11:24 am
Hallo,

kennt jemand ein Tutorial um OPNsense (jetzt 20.7.4) auf einer VM in der Hetzner Cloud zu installieren?

Es geht hier um eine ganz banale Konfiguration von jeweils einem WAN und einem LAN Interface (mit Hetzner Subnet).

Der Hetzner Support hat mich auf eine Anleitung für pfSense verwiesen, die leider so nicht anwendbar zu sein scheint:
https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks

Zwar habe ich OPNsense schon mehrmals erfolgreich installiert und konfiguriert, doch im Hetzner Netzwerk komme ich einfach nicht weiter. Mit viel Probieren läuft die FW "einigermassen", doch ich befürchte das ist viel zu dirty, die Rules kommen mit dem Subnet nicht klar, von NAT Port Forwarding und anderem ganz zu schweigen...

Für jeden Hinweis wäre ich sehr dankbar!
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: micneu on November 05, 2020, 09:30:28 am
bitte beschreibe doch mal dein genaues vorhaben, so kann dann jeder sehen was dein ziel ist und vieleicht auch einen lösungsansatz geben. oder buch dir doch professionellen support, der bekommt es bestimmt hin :)
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: Gauss23 on November 05, 2020, 10:01:05 am
Hab ich am Laufen.

- Du erstellst einen Server, egal was für ein OS, kommt eh weg
- nachdem der erstellt wurde, gehst Du in der Hetzner Console auf den Server und gehst bei ISO-Images auf die Suche nach OPNsense-20.7-OpenSSL-dvd-amd64.iso und klickst auf "einbinden"
- den Server dann über die Hetzner Seite neu starten und oben links die Console anfordern.
- ab dort ist es eine Installation wie jede andere auch

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1

Viel Erfolg
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: jhort on November 05, 2020, 03:29:46 pm
Hallo Gauss,

vielen Dank für die Antwort. Soweit bin ich letzte Woche auch schnell gekommen und dann sofort auf die ersten Probleme gestossen. Die default route im VLAN und das standard gateway für die VMs waren klar, doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig. Das Port Forwarding, VPN und andere Funktionen bekomme ich auf Hetzner auch nicht mehr hin.

Meine laienhafte Vermutung ist (ich bin kein Netzwerk Profi) dass die Interfaces bei Hetzner (Layer 3?) anders konfiguriert werden müssen. In meinem Homelab habe ich einen Rechner mit fixer IP für OPNsense und einen Server für die VMs, da war die Installation und Konfiguration ein Kinderspiel.

Deswegen habe ich nach einer Anleitung für die Installation auf Hetzner gefragt, den Support kann ich mir nicht leisten... :(
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: Gauss23 on November 05, 2020, 03:39:58 pm
doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig

Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.

Der Server, der hinter der OPNsense bei Hetzner stehen soll, ist im selben LAN und hat am besten seine WAN Schnittstelle deaktiviert. Über die Hetzner Console kommst Du ja noch ran.
Auch dort muss mit der /32er Adresse gearbeitet werden und eine default Route gesetzt werden auf die .1.
Bei Hetzner musst Du noch die Default Route im Netzwerk konfigurieren 0.0.0.0/0 auf die IP, die Deine OPNsense hat, nehme mal an die .2.

Der Rest ist dann eigentlich wie im Home-Lab.

Title: Re: Tutorial für Hetzner Cloud (?)
Post by: jhort on November 05, 2020, 04:25:03 pm
Quote
Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.

Super, tausend Dank :)

Die VMs waren bereits ohne WAN und funktionieren auch mit dem Alias, schon mal viele Sorgen weniger.
Mal sehen ob ich den Rest mit dem Alias auch hinbekomme^^
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: jhort on November 05, 2020, 07:23:58 pm
FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)

eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: Gauss23 on November 05, 2020, 08:17:34 pm
FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)

eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?

Bezieht sich die Frage jetzt auf Hetzner oder auf OPNsense in eigenen Netzwerken? Bei Hetzner wird man keine VLANs nutzen können (also zumindest keine getagten).
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: jhort on November 05, 2020, 08:25:28 pm
Ja, immer noch Thema Hetzner hier  ;)

Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: Gauss23 on November 05, 2020, 08:32:16 pm
Ja, immer noch Thema Hetzner hier  ;)

Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^

Ja, du musst dann weitere Netze bei Hetzner anlegen. Für getaggte VLANs müsstest Du ja den Switches mitteilen können, wer teilnehmen soll und das kannst Du ja nicht. Daher muss man den Umweg über die Hetzner Console machen.
Ist wirklich kein schlechtes Produkt. Du kannst sogar Server aus verschiedenen Standorten in ein Netz zusammenlegen.
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: dirkscheck on December 21, 2020, 04:30:00 pm

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1


Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(

Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?

Wäre für jede Hilfe dankbar !
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: anytoany on December 28, 2020, 09:07:51 am

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1


Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(

Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?

Wäre für jede Hilfe dankbar !

Hallo @dirkscheck,

ich kämpfe ebenfalls seit einer Woche mit der Kombination von OPNsense und privates Netz bei Hetzner Cloud, aber an diesem Punkt kann ich dir helfen. Sobald du das LAN-Interface an machst, geht die OPNsense in vollen Firewall-Modus und sperrt dich auf dem WAN Interface aus.

Du musst also so vorgehen:
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: simonszu on January 12, 2022, 10:11:50 pm
Moin zusammen,

ich stehe gerade vor dem gleichen Problem, und nach Studium dieses Threads sind einige Fragen offen:

- Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.
- Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.
- Ich habe also ein Alias angelegt, Type: Network, Content: 10.0.0.0/24

Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?

Desweiteren diese "Default allow LAN to any rule", die sowohl im Tutorial für pfsense erwähnt wird, als auch hier im Thread. Die hatte ich gar nicht, unter Firewall -> Rules -> LAN war nichts vordefiniert. Ich habe hier eine Regel eingetragen, die halt auch Allow Any darstellt. Reicht das? Es ist nicht ganz ersichtlich, ob ich diesen Alias auch hier benötige.
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: JeGr on January 13, 2022, 03:49:49 pm
> - Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.

Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?

> - Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.

Stimmt zwar, aber nicht ganz. In dem Fall ist es richtig, dass durch die Bauweise von Hetzner das GW theoretisch außerhalb des Netzes läge damit die das ggf. von RZ zu RZ routen können. Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein. Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.

> Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?

Wofür? Damit alles was das Netz betrifft darüber geroutet wird? Das muss kein Alias sein, sondern eine statische Route. Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.

Man muss lediglich aufpassen, dass man auf dem LAN dann nicht versehentlich "LAN network" verwendet oder verwenden will, da das dann /32 wäre und nichts bringt. Man muss also mit dem Alias 10.0.0.0/24 arbeiten das man sich manuell anlegt. Da aber eh die XY_address Aliase bei OPNsense etwas kaputt sind bei mehr als einer Adresse legt man sich IP/Netz eh lieber selbst sicherheitshalber als Alias an, dann weiß man genau, was man konfiguriert hat und erlebt keine Überraschungen ;)

Cheers
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: simonszu on January 17, 2022, 02:26:32 pm
> Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?

Nein. Ich bin nach der Anleitung für pfsense gegangen, und habe ein privates Subnet "private" mit der Range 10.0.0.0/16 angelegt. Die OPNS VM habe ich an das Netzwerk angehangen, und ihr im Cloud-Interface die 10.0.0.2 zugewiesen. Im LAN IF habe ich "IPv4 Configuration Type: Static IP" eingetragen, und dann halt die 10.0.0.2/32 eingetragen, weil die OPNS ja nur eine IP hat, und keine Range. Hätte ich da 10.0.0.2/16 eintragen sollen?

> Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein.

Nun, das hatte ich schon mal versucht, allerdings ohne Erfolg.

> Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.

Ich hab das LAN mal auf DHCP gestellt, deine Begründung erscheint mir schlüssig.

> Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.

OK, auch das habe ich getan.

Der aktuelle Status ist aber: Die anderen VMs in dem Subnetz erreichen nicht das Internet.

Ich bin da auch nach dem Tutorial für pfsense gegangen, und habe nun eine Debian VM. Dort habe ich in der Interface-Config die Direktive "post-up route add default via 10.0.0.1" für das ens10 Interface eingetragen. Das ens10 bezieht seine IP via DHCP.

Wenn ich von der VM auf 8.8.8.8 trace, sehe ich, dass der erste Hop das Hetzner-Gateway 10.0.0.1 ist. Das wiederum routet korrekterweise den zweiten Hop auf die OPNS VM, wie durch den einen hcloud-Befehl beim Anlegen des Netzes auch konfiguriert wurde.

Der dritte Hop ist wiederum die 10.0.0.1. Hier bin ich etwas stutzig geworden, aber nehm das erstmal so hin. Weiter als bis zum dritten Hop kommt der Trace nicht. Ich vermute mal, weil sowohl OPNS als auch das Hetzner-Gateway den jeweils anderen Host als Gateway drin stehen haben, spielen die einfach nur Pingpong mit dem Traffic.

Irgendwo da ist noch der Wurm drin, aber ich habe noch keine Ahnung, wo. Da das Hetzner-Gateway sich eigentlich korrekt verhält, ist das Problem, dass die OPNS den Traffic den sie vom Hetzner-GW bekommt, nicht korrekt routet.

Wo ist der Fehler?
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: simonszu on January 20, 2022, 03:21:48 pm
OK, böser Anfängerfehler. Das Hetzner-Gateway war als Standardgateway gesetzt. Ich habe in System->Gateways->Single das LAN_DHCP Gateway deaktiviert (wird sich noch herausstellen ob das notwendig oder eine gute Idee war), die beiden WAN_DHCP und WAN_DHCP6 auf active geschaltet, und das WAN_DHCP als Upstream eingestellt. Jetzt geht es.
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: zero9 on January 23, 2022, 10:36:55 pm
Hallo zusammen,

ich stehe auch vor dem Problem das meine Opnsense auf Hetzner nicht so wirklich "will". Ich möchte auf Hetzner ein privates Netzwerk erstellen, welches über die Opnsense ins Internet kann - ebenso soll die Opnsense VPN Zugriff ermöglichen.

Bei der Installation bin ich wie folgt vorgegangen:

1. Hetzner Portal: Hetzner Cloud Server mit Ubuntu Image erstellt
2. Hetzner Portal: Opnsense Image an diesem Server eingehängt
3. Hetzner Portal KVM: Opnsense gebootet und installiert
4. Hetzner Portal KVM: WAN Interface vtnet0 zugeordnet und IP per DHCP konfiguriert
5. Hetzner Portal KVM: Sicheres root Passwort vergeben
6. Hetzner Portal KVM: Reboot
7. Openvpn WebUi: Browser login auf der public IP
8. Openvpn WebUi: Installationswizard durchlaufen und Checkbox bei Bogon Netz Häckchen aus Checkbox genommen und bei LAN keine Eintragungen gemacht
9. Openvpn WebUi: Systemupdates installiert
10. Openvpn WebUi: Firewall Regel für den WAN Zugriff auf HTTP/HTTPS erstellt
11. Openvpn WebUi: Server heruntergefahren
12. Hetzner Portal: privates Netzwerk erstellt  (172.18.40.0/24) , darin legt Hetzner dann automatisch das 172.18.40.0/28 Netz an
13. Hetzner Portal: Server dem privaten Netzwerk hinzugefügt (172.18.40.2)
14. Hetzner Portal: Route 0.0.0.0/0  mit Opnsense Server als Gateway hinzugefügt
15. Hetzner Portal: Server gestartet
16. Openvpn WebUi: Login per public HTTPS auf der Opnsense
17. Openvpn WebUi: LAN Interface konfiguriert, enabled und per DHCP die IPv4 Konfig gemacht (172.18.40.2)
18. Openvpn WebUi: Firewall -> Aliases : Eintrag für das Hetzner Netzwerk gemacht (Name: Hetzner-Net-Alias ; Type: Network ; Content 172.18.40.0/28)
19. Openvpn WebUi: Firewall -> Rules -> Lan:  Allow all from Hetzner-Net-Alias to Destination any (Interface: LAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
20. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Hybrid outbount NAT rule generation aktiviert
21. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Manual rule hinzugefügt (Interface: WAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)

Nach dieser Opnsense Konfiguration habe ich  im Hetzner Cloud (prive) Netzwerk einen Windows Server installiert um alles zu testen. Das public Interface habe ich komplett deaktiviert und die private IP Adresse des Windows Servers wird per DHCP von der Hetzner infrastruktur konfiguriert (172.18.40.3). Über den Windows Server kann ich die Opnsense WebUI erreichen. Wenn ich am Windows Server einen tracert auf die 8.8.8.8 mache, komme ich genau so weit:

Code: [Select]
tracert 8.8.8.8

Routenverfolgung zu 8.8.8.8 über maximal 30 Hops

  1     5 ms     4 ms     4 ms  172.18.40.1
  2     1 ms    <1 ms    <1 ms  172.18.40.2
  3     5 ms     4 ms     3 ms  172.18.40.1
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
.......

Windows kommt also bis zum Hetzner Gateway, dann zur Opnsense, dann wieder zum Hetznergateway aber danach geht es nicht mehr weiter. Hat jemand von euch eine Idee woran das liegen kann?

Hab den Hetzner Support kontaktiert, der mir „nichts neues“ gesagt hat: „...auf der Hetzner Oberfläche eine Route 0.0.0.0/0 auf die IP des Opnsense Server eintragen“ (Punkt 14)
Hab jetzt schon stundenlang nach Fehlern oder Problemen gesucht und komme nicht weiter. Auf Hetzner Seite sind keine weiteren Firewalls etc. aktiv.

Hab mir eure obige Diskussion angesehen und dachte mir, es geht in die gleiche Richtung…


Habt ihr einen Tipp für mich?
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: loni78 on January 27, 2022, 07:51:17 pm
Mir geht es leider genauso......

- opnSense ist erreichbar und kann pingen vom LAN und vom WAN
- Der Client bekommt per DHCP eine IP und kann pingen auf die opnSense bzw. die opnSense auf den Client
- Der Client kommt über ens10 nicht ins Internet

Hat das jemand zum Laufen bekommen???????

Grüße
Rafael
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: superfischel on March 13, 2022, 08:07:09 pm
Hallo zusammen,

bei mir funktioniert es jetzt. Habe Firewall->NAT->Outbound auf Hybrid gestellt und eine Regel hinzugefügt gemäß

https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks

Interface: WAN
Address Family: IPv4+IPv6
Protocol: any
Source: 10.0.0.0/16
Destination: any
Translation -> Address: Interface Address

Ein zusätzliche Firewall rule war nicht nötig.

Grüße,
Andreas
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: svenner on March 17, 2022, 07:00:52 pm
Hallo,

ich bin aktuell auch dabei bei Hetzner eine private Network hinter einer OPNSense einzurichten.
Nach langem probieren hatte ich das mit dem Outbound Hybrid auch rausgefunden.

Das Problem welches ich jetzt habe ist, das die Clients (VMs) hinter der Firewall ins Internet über die OPNSense kommen, das passt alles, aber meine OpnSense selbst kann irgendwie nicht ins Internet übertagen. Äußert sich in folgenden Punkten

- Key Exchange bei Site-to-Site VPN klappt nicht
- Mobile VPN Einwahl per IPsec (IKEv2) klappt nicht
- Update Überprüfung scheitert mit Timeout beim Repository durchsuchen

ich habe das Gefühl das da eine Regel fehlt damit die Firewall selbst antworten senden kann bzw. ins
Internet kommt um nach Updates zu suchen.
Ich sehe im Log Einträge zu der Einwahl per VPN bzw. bei Site-to-Site das Pakete von der anderen Firewall
ankommen, aber die OPNsense scheint Ihre Pakete nicht gesendet zu bekommen.

Habt ihr hier einen Rat ? bzw. kennt Ihr das Problem

Vielen Danke und schöne Woche noch
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: svenner on March 18, 2022, 10:31:27 pm
Hallo,

eine Ergänzung zu meinem Problem mit der OPNSense bei Hetzner und dem Hetzner Network.

Die VM hinter der OPNSense kommt uneingschränkt ins internet, ohne Probleme.
Mache ich einen "traceroute" zum Beipsiel auf eine externe IP, sehe ich ordnungsgemäß den Ablauf.

IP der VM: 192.168.60.253/32 (per DHCP vom Hetzner Netzwerk)

1. Gateway vom Hetzner-Netzwerk (per Route), in dem Falle die 192.168.0.1 --> OK
2. danach die OPNSense (internes Interace), in dem Falle die 192.168.60.254 --> OK
3. danach das Gateway des WAN Interfaces der OPNSense, in dem Falle von Hetzner die 172.31.1.1 --> OK
4. externe IPs .....--> OK

nun das Problem, mache ich einen traceroute auf die gleiche IP über die Shell der OPNSense bleibt dieser
nach dem Gateway von Hetzner hängen, sprich Gateway 192.168.0.1 wird erriecht, danach "keine Antwort"

deshalb denke ich kann ich auch keine Updates über das Webinterface der OPNSense machen (timeout bzw. no route to host)

> und ich nehme stark an das das auch Problem ist warum ich keinen VPN Tunnel aufbauen kann, sowohl
Site-to-Site als auch mobile-VPN, da die OPNSense selbst keinerlei Pakete nach außen senden bzw. beantworten kann.

ich denke mir fehlt hier irgendwo eine Einstellungen oder eine Regel ?!?!? oder es hat etwas mit dem NAT Modus zu tun

Ich bitte hier noch einmal um einen Rat.

Danke


Title: Re: Tutorial für Hetzner Cloud (?)
Post by: svenner on March 23, 2022, 03:55:47 pm
oh man, wer lesen kann ist klar im Vorteil!!!!

Vielen Dank an "simonszu"

Der Beitrag von Ihm war auch meine Lösung.

Die OPNSense hat beim mir das Gateway des LAN-Adapters (Hetzner-Netzwerk) als"Active" gesetzt.
Nachdem ich dieses deaktiviert habe und das WAN als "Active" und auch als UpStream gesetzt habe funktioniert nun alles.

System - Gateways - Single --> LAN Interface disbaled
System - Gateways - Single --> WAN Interface Upstream active

Alle meine Problem sind damit behoben und funktionieren nun. Das komische ist nur das bevor ich meine
Eisntellung gesetzt hatte, die Cleint VM dahinter normal ins Internet kam, naja wer weiß

VPN-Site-to-Site --> OK
VPN Mobile IKEv2 --> OK
Updates über Webinterface --> OK

Danke
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: ihrehelden on January 30, 2023, 10:15:35 pm
Hat jemand von euch schon einmal eine Portweiterleitung mit dem Setup hinbekommen? Meine VM´s hinter der Opnsense VM haben Internet usw. nur ich kann einfach keine Portweiterleitung einrichten. Routing ist auch eingetragen.
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: CoolTux on January 30, 2023, 11:21:38 pm
Wo genau ist denn Dein Problem.
Port öffnen auf WAN Seite und dann ein Portforwarding machen von WAN Interface zum Zielhost
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: ihrehelden on January 31, 2023, 01:32:53 pm
Ich versuche ssh freizugeben, damit ich die VM hinter der Opnsense konfigurieren kann, diese Port Forwarding Regel hab ich aktuell angelegt.
In der Live View sehe ich auch das die Regel bearbeitet wird. Aktuell vermute ich, dass es irgendwie am NAT oder an der Route liegt. Über die Diagnostics kann ich aber die VM pingen.
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: tz-mbc on November 17, 2023, 11:15:35 am
Hallo zusammen, ich bin auch gerade dabei mein Homelab zu Hetzner umzuziehen, und wie zu erwarten wenn ich hier schreibe, gibts ein Problem.
Und zwar kann mein LAN Client weder die OPNsense noch irgend eine externe Adresse erreichen.
Zuerst vorneweg, ich bin kein Netzwerkprofi, aber das ist auch nicht die erste OPNsense die ich installiere.

Derzeit habe ich 4 CPX11/21 am laufen, eine davon ist die OPNsense, und sobald alles funktioniert sollen die anderen die momentan im offenen Internet hängen hinter die Firewall.
Nachdem ich den Thread hier und die Hetzneranleitung zu pfsense, ein paar mal durchgelesen habe ist die Situation wie folgt:

Ich habe in der Hetzner Cloud Console ein Netzwerk mit den folgenden Werten (Standardeinstellungen) eingerichtet:
- Netz: 10.0.0.0/16
- Subnetz: 10.0.0.0/24
- Eine Route mit Ziel 0.0.0.0/0 und Gateway 10.0.0.2 (die LAN Adresse der OPNsense)

Weiterhin habe ich eine Debian VM eingerichtet die nur im LAN hängt, IP 10.0.0.4/32 und via "ip route add default via 10.0.0.1" eine Default Route eingerichtet.
Laut Hetzner Dokument brauche ich auf dem Client eine Route zum Hetzner Gateway, und auf dem Hetzner Gateway eine Route zur OPNsense. Ich denke das habe ich mit den beiden obigen Einstellungen erledigt?

Der Debian Client kann via ping alle IPs bis auf die OPNsense im 10.0.0.0 Netz erreichen. Da scheint also mit dem LAN Gateway noch was zu klemmen?
Traceroute zu einer beliebigen Adresse außerhalb geht genau bis zum 1. Hop, dem Hetzner Gateway auf 10.0.0.1, und dann ist Schluß. Das heißt dann wohl die Default Route wird korrekt genutzt, aber das Hetzner Gateway kann nicht mit der OPNsense kommunizieren.

Wenn ich auf der Console der OPNsense bin kann ich mit einem Ping sowohl im LAN als auch im WAN alle Adressen erreichen. DNS funktioniert auch. SSH über das WAN funktioniert auch. Interessanterweise komme ich mit einem ping auch an die 10.0.0.4, den LAN Client, der seinerseits die OPNsense nicht erreicht?

Das LAN Routing auf der OPNsense scheinen mir auch zu passen?
root@OPNsense:~ # netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            172.31.1.1         UGS      vtnet0
10.0.0.1           link#2             UHS      vtnet1
10.0.0.2           link#2             UH          lo0


Nachdem ich hier feststecke habe ich versucht sämtliche Vorschläge hier im Thread nachzuvollziehen.

1. Nach der Basisinstallation habe ich mir, wie in Antwort 2 vorgeschlagen, gleich eine Regel hinzugefügt um (ausschließlich) meinem Rechner WAN Zugriff auf das Webinterface zu geben:
Firewall/Rules/WAN:
Protocol    Source      Port    Destination    Port    Gateway    Schedule       Description    
IPv4*       Meine IP  *    This Firewall    *        *            *               Access for just my IP to the WebUI
Funktioniert!

2. Weiterhin wird hier vorgeschlagen einen Alias anzulegen. Habe ich gemacht:
Firewall/Aliases:
Enabled Name                   Type            Description   Content           Loaded#
x           HetznerNetAlias     Network(s)                10.0.0.0/24      1   
Wobei mir nicht klar ist wo ich den Alias dann benutzen muss?

3. Danach habe ich mich an den Vorschlag von JeGr in #13 gehalten und auf der OPNsense das LAN Interface via DHCP anstatt statisch eingerichtet, sowie eine statische Route zu 10.0.0.0/24 eingerichtet.
System/Routes/Configuration/
Disabled  Network        Gateway                 
         10.0.0.0/24     LAN_DHCP - 10.0.0.1       

Was mir nicht klar ist ist die Aussage von JeGr hier:
<Man muss lediglich aufpassen, dass man auf dem LAN dann nicht versehentlich "LAN network" verwendet oder verwenden will, da das dann /32 wäre und nichts bringt. Man muss also mit dem Alias 10.0.0.0/24 arbeiten das man sich manuell anlegt>>
Wo muß ich mit dem Alias arbeiten?

4. Dann habe ich noch wie in #15 vorgestellt das LAN Standardgateway deaktivert
System/Gateways/Single das LAN_DHCP Gateway deaktiviert, die beiden WAN_DHCP und WAN_DHCP6 waren schon auf active geschaltet, und das WAN_DHCP als Upstream eingestellt.
Name                   Interface       Protocol     Priority                    Gateway            Status   Description
WAN_DHCP (active)    WAN        IPv4        254 (upstream)    172.31.1.1    Online   Interface WAN_DHCP Gateway    
WAN_DHCP6 (active)    WAN        IPv6        254 (upstream)              Online   Interface WAN_DHCP6 Gateway
LAN_DHCP            LAN        IPv4        254            10.0.0.1    Pending  Interface LAN_DHCP Gateway <- Ausgegraut/Deaktiviert

Komischerweise ist LAN_DHCP zwar ausgegraut, aber der Status bleibt selbst nach einem Reboot auf Pending

5. Dann gab's in #18 noch den Vorschlag in Firewall/NAT/Outbound auf Hybrid zu stellen, sowie die Regel unten anzulegen
Interface    Source            Source Port    Destination    Destination Port    NAT Address        NAT Port    Static Port
WAN        10.0.0.0/16     *                *                *                    Interface address    *            NO

Sollte hier als Source eventuell der Alias stehen? Und warum /16 und nicht /24? ich habs ausprobiert, hat nichts genutzt.

Und jetzt bin ich mit meiner Weisheit am Ende, eventuell klemmts ja gar nicht an der OPNsense sondern dass das Hetzner Gateway nicht funktioniert, aber da gibt es eigentlich außer den 3 Punkten ganz am Anfang nichts einzustellen.
Fällt eventuell jemandem hierzu was ein?

Vielen Dank schon mal…
Title: Re: Tutorial für Hetzner Cloud (?)
Post by: looserouting on June 29, 2024, 12:35:55 pm
vielleicht hilft der link
https://github.com/looserouting/community-content/blob/master/tutorials/opnsense-as-gateway-for-private-network/01.en.md (https://github.com/looserouting/community-content/blob/master/tutorials/opnsense-as-gateway-for-private-network/01.en.md)