Hallo,
meine Frau kommt via OPNsense leider nicht in ihr Netz in der Firma.
Sie verbindet sich in Windows mit VPN zu vpn.company.com, und dann mit RDP zu tsintern.mgmt.company.com.
Die RDP Verbindung zu dem Server funkt nicht.
RDP geht allerdings normal, ich kann mich über meinem S2S Tunnel in meine Firma verbinden.
Ich habe auf allen FW-Logs Logging eingeschaltet, dort poppt nix auf.
DNS ist es nicht, die FQDN wird aufgelöst.
Pingen kann ich den FQDN erfolgreich.
Wo soll ich denn noch schauen?
Danke
Welches VPN Protokoll?
IKEv2.
Und IPsec? Sie verbindet sich also mit dem Windows-PC direkt mit dem Firmennetzwerk? Damit hat die OPNsense nun nicht so viel zu tun, oder? Sie muss die Pakete nur geNATet nach draußen lassen.
Kann sie denn auf andere Ressourcen in der Firma zugreifen? Seid Ihr sicher, dass der VPN-Tunnel generell funktioniert? Wenn ja, ist es definitiv kein OPNsense-Problem. Der Witz an einem VPN ist ja, dass die Sense in den Tunnel eben nicht reingucken kann ...
Schuss in's Blaue
https://pfsense-docs.readthedocs.io/en/latest/nat/static-port.html
@pmhausen:
Was ist mit IPsec? Die Firewall ist zur Zeit noch mit dem default Rule alle alles überall bestückt. Ich arbeite gerade an der Firewall um das abzuschalten.
Ja, sie verbindet sich mit einer Windows VPN Verbindung. Das Ding macht am Rechner nen VPN. Nein, die OPNsense hat eig. nix zu tun. Nur offene Ports. Sollte so sein. Jedoch funkt es nicht.
Es gibt keine anderen Ressourcen - sie verbindet VPN und macht RDP auf.
Wie soll ich sicher sein dass der Tunnel richtig funktioniert? Man geht auf verbinden und das Ding steht auf Verbunden. Mit Sophos hat es bis zur Umstellung auf OPNsense tadellos funktioniert.
Und, ich glaube schon dass es mit OPNsense zu tun hat, denn wenn sie via Handy-Hotspot geht, funktioniert es.
Quote from: chemlud on February 09, 2021, 09:48:06 AM
Schuss in's Blaue
https://pfsense-docs.readthedocs.io/en/latest/nat/static-port.html
Hallo,danke für den Vorschlag. So hab ich gemacht, ist das korrekt? (geht noch immer nicht)
States reset danach gemacht?
Quote from: Gauss23 on February 09, 2021, 10:24:44 AM
States reset danach gemacht?
Jetzt ja. Ich habe NAT auch manuell konfiguriert. Einfach LAN -> any/any -> WAN.
Auch versucht UDP 500 mit static und ohne separat (steht vor dem obigen Rule).
Vielleicht ausschlaggebend: ich habe auch ein S2S IPsec Tunnel zu meiner Firma. Das Abdrehen bringt auch nix.
Welcher Internetanbieter?
Ich hatte das mit Sophos Connect Clients an einer Sophos XG. Dort konnten Vodafone Kabel Kunden mit DS-Lite auch kein RDP über IPsec laufen lassen, obwohl Ping und co liefen.
Österreich, Magenta. Das dürfte aber überhaupt kein Problem sein. Wie gesagt, hat mit Sophos bis vorm Wochenende funktioniert. Wäre sehr seltsam warum es gerade NUR auf der OPNsense nicht funkt.
Am internen Netz hast du bei der Umstellung nichts geändert? Subnet und co sind identisch?
Der FQDN für den RDP Host ist definitiv nicht zufällig in Deinem Subnetz?
Das habe ich belassen wie es ist, ich habe die Sense rund um das vorher existierende Netzwerk aufgebaut.
Nope. FQDN ist was ganz anderes, ihre Firma halt.
Dann würde ich mal versuchen:
Interfaces: Diagnostics: Packet Capture
Und schauen, was da so kommt, wenn sie eine RDP Verbindung aufbauen will.
Ach so, noch eine Frage: betreibst Du doppeltes NAT (Router vom Internetanbieter stellt die Internetverbindung her) oder bekommt die OPNsense direkt eine öffentliche IPv4 Adresse?
Quote from: Gauss23 on February 09, 2021, 10:53:06 AM
Ach so, noch eine Frage: betreibst Du doppeltes NAT (Router vom Internetanbieter stellt die Internetverbindung her) oder bekommt die OPNsense direkt eine öffentliche IPv4 Adresse?
Nein. Die OPNsense bekommt eine öffentliche IP, der Betreiberrouter agiert im Bridgemodus.
Beim Packet Capture kommt was mit incorrect. Txt posted, lösche ich wenn gelesen.
Hast du bei Interfaces: Settings die oberen 3 Checkboxen aktiv? Hardware CRC, Hardware TSO, Hardware LRO? Ist m.E. zwar default so, aber zur Sicherheit.
Keine Ahnung warum die Checksum da Probleme bereitet. Evtl ein MTU Thema?
Da geht doch ein RDP-Paket von einer privaten Adresse im LAN zur öffentlichen Adresse eines Servers:
192.168.11.100.58277 > 85.13.*.*.3389
Und dann kommt ein "Port Unreachable" zurück:
85.13.*.* > 192.168.11.100: ICMP 85.13.142.22 tcp port 3389 unreachable, length 60
m.a.W. auf dem Server 85.13.*.* gibt's kein RDP ...
@pmhausen
Korrekt, das habe ich gesehen, kann mir aber nicht wirklich erklären. Der Server ist definitiv korrekt, ist das womit sich meine Frau auch beim mobilen Hotspot verbindet, immer der gleiche Server.
Quote from: Gauss23 on February 09, 2021, 11:11:24 AM
Hast du bei Interfaces: Settings die oberen 3 Checkboxen aktiv? Hardware CRC, Hardware TSO, Hardware LRO? Ist m.E. zwar default so, aber zur Sicherheit.
Keine Ahnung warum die Checksum da Probleme bereitet. Evtl ein MTU Thema?
Ja, die Checkboxen sind aktiv.
MTU: habe ich nicht geändert, denke wird standardmäßig 1500 eingestellt sein...
Quote from: pmhausen on February 09, 2021, 11:13:27 AM
Da geht doch ein RDP-Paket von einer privaten Adresse im LAN zur öffentlichen Adresse eines Servers:
Ja, das sieht in der Tat komisch aus. Die Verbindung zu Port 3389 sollte die OPNsense ja gar nicht sehen, sondern nur Pakete Richtung Port 500/4500
OK, jetzt wird noch seltsamer.
Wenn über RJ45 verbunden, geht nicht, über WLAN aber schon?? :o :o
Sowohl bei ihr wie auch bei mir am Rechner (USB Dongle, sonst ein normaler PC).
Und bitte löscht die IP Adressen in den Posts.
Quote from: kosta on February 09, 2021, 11:23:58 AM
Und bitte löscht die IP Adressen in den Posts.
Die öffentliche habe ich anonymisiert, die private ist nun wirklich nicht sicherheitsrelevant ...
Danke.
Vielleicht noch erwähnenswert ist dass ich seit gestern auch nen neuen WLAN habe (zwar gleiche Einstellungen, aber anstatt Sophos AP15 sind hier die Unify Access Points gekommen).
Funktionieren tadellos.
Kann da was nicht stimmen? Vorallem wundert es mich, warum die RDP Anbindung in meine Firma tadellos funktionieren, und ihre eben nicht.
Mal eine Frage.
WLAN und RJ45 Lan sind IP mäßig indentisch ?
Natürlich nicht, warum sollen sie sein? Sind ja zwei verschiedene Adapter. Ich könnte es aber versuchen. Mein Rechner war immer schon .100. Wüsste nicht warum das nicht funken soll.
WLAN IP ist dynamisch und LAN IP ist statisch vergeben (nur in der Firewall, Recnher bezieht automatisch).
Nein ich meine unterschiedliche ip netze. Nicht die einzel ips.
Nein, aktuell habe ich nur ein Netz (wird sich ändern, wenn ich mal für OPNsense besseres Gefühl habe).
Was ist jetzt der Stand? Per WLAN geht IPsec&RDP, per LAN nicht?
Bitte mal einen grafischen netzwerkplan
Gesendet von iPad mit Tapatalk Pro
Quote from: Gauss23 on February 09, 2021, 02:47:14 PM
Was ist jetzt der Stand? Per WLAN geht IPsec&RDP, per LAN nicht?
Korrekt. Sowohl mein Rechner wie auch der meiner Frau, verbinden sich mit dem Server ihrer Firma, VPN und RDP, normal. Sie kann wieder arbeiten -> gut.
Aber manchmal arbeitet sie auch auf meinem DesktopPC. Da sollte ja per LAN funken.
Quote from: micneu on February 09, 2021, 02:58:00 PM
Bitte mal einen grafischen netzwerkplan
Ich sehe zwar keinen Sinn dahinter, da es wirklich ein simples Netzwerk ist, aber... im Anhang.
Ist das wifi eine Bridge in das Netz der OPNsense? Oder macht das ein eigenes Netz auf?
Wifi ist Bridge, eigentlich. Ich bin kein Unifi Profi, die Dinger gerade gestern mal aufgesetzt.
Drinnen steht was von 192.168.1.0/24, aber DHCP ist die OPNsense. Auch sind die Clients im 192.168.11.0 drin.
Schonmal aus Spaß den Laptop in den Switch direkt an der OPNsense gestöpselt? Nur so als Versuch...
Und ich dachte erstmal du willst dass ich das mit dem DesktopPC mache :o ;D
Nee... kann ich versuchen. Info folgt.
EDIT: Nope. Gleich. LAN = nope, WLAN = yep (habe auch nen Access Point im Keller)
Seltsam ist dass beide Rechner betroffen sind. Das schließt mehr oder weniger auch dass es die Netzwerkkarte ist.
Und das blöde ist, ich kann mit dem Laptop und LAN nicht mehr an der Sophos testen. Ich weiß nur ganz sicher dass es am DekstopPC und LAN funktioniert hat (früher hatte das Ding überhaupt kein WLAN, jetzt via TP-LInk Stick).
deshalb wollte ich einen netzwerkplan, mir fehlt zum verständnis noch in deinem bild die ip bereiche der einzelnen netze. ich denke das du was falsch konfiguriert hast, denn wen dein wlan geht und lan nicht ist definitiv was falsch konfiguriert.
habe noch eine frage, deine frau hat ein laptop von der Firma und das hat KEIN WLAN eingebaut (bitte wie alt ist die kiste)??? das währe kein unternehmen wo ich arbeiten wollen würde (mit so alter hardware)
Quote from: micneu on February 09, 2021, 06:28:29 PM
deshalb wollte ich einen netzwerkplan, mir fehlt zum verständnis noch in deinem bild die ip bereiche der einzelnen netze. ich denke das du was falsch konfiguriert hast, denn wen dein wlan geht und lan nicht ist definitiv was falsch konfiguriert.
habe noch eine frage, deine frau hat ein laptop von der Firma und das hat KEIN WLAN eingebaut (bitte wie alt ist die kiste)??? das währe kein unternehmen wo ich arbeiten wollen würde (mit so alter hardware)
Dass es im OPNsense möglicherweise was falsch konfiguriert, ist sehr wahrscheinlich ;D
Nur eben was.
Das Netz ist topologisch meines Wissens nach korrekt aufgebaut (die Tatsache dass bei uns in der Firma mit einer Sophos SG125, 2 Servern, zahlreichen VMs, Rechnern, VLANs, VPNs, alles funktioniert, sag mir dass ich doch was richtig mache). Auch bei mir zu Hause mit Sophos UTM Free hat alles gefunkt.
Und SEIT der Umstellung auf OPNsense, tritt das Verhalten auf.
Natürlich hat die Kiste WLAN. Ist ein ganz normaler HP laptop mit Win10 drauf.
Ich habe zwei Rechner, falls noch nicht mitbekommen:
Firmenlaptop meiner Frau und meinen DesktopPC. Und bei beiden ist das Verhalten gleich. LAN = öffnet kein RDP, WLAN = geht. Mein DesktopPC hat kein WLAN von Haus aus, deswegen gibt's nen TP-Link Dongle für den.
Wenn ich das richtig verstehe, dann bekommen die Clients per DHCP-Reservierung eine IP für den LAN-Adapter zugewiesen. Das ist auf jeden Fall ein Unterschied zur WLAN-Konfig. Vielleicht mal die Reservierung rausnehmen?
Jo. Mein PC bekommt eine DHCP Reservierung für seinen LAN-Adapter, ich habe aber versucht dem PC (LAN) eine statische IP-Adresse gleich neben der Adresse des WLAN-Adapters zu vergeben (.182 oder so), und das war auch no-go.
Ich verwalte meinen DHCP so, indem ich den Lease-Bereich auf 150-199 konfiguriere, aber die fixen IPs befinden sich zwischen 100-149. Die Zuweisung der Leases im unteren Bereich geht genauso, auch wenn das kein konfigurierter DHCP-Pool ist. Ich denke nicht dass das verkehrt ist.
Bin jetzt mittendrin beim Arbeiten, werde das Thema Reservierung am Abend testen.
@kosta bitte meine deine ip reservierung als screenshot posten (deine mac kannst du gerne unleserlich machen)
von den rechnern die nicht wollen. zusätzlich bitte als screenshot deine dhcp konfiguration
Die IPs die nicht wollen sind 192.168.11.100 und 192.168.11.131 glaub ich (132 dürfte LAN sein, wenn ich nicht verwechselt habe). Sie ist jetzt überhaupt mit dem Hotspot drin, da sie mit WLAN permanent rausfliegt, sagt sie mir. Hab noch keine Ahnung warum, kann auch an der Einstellung in Ubiquiti Access Point sein.
Leases noch
ich komme gerade nicht mit, nach deinen texten habe ich es so verstanden das du ein netz für dein wlan und eins für dein lan hast.
du hast aber immer nur konfigurationen von 192.168.11. gezeigt. wo / welche ip ist das andere netzt?
sc hau mal bitte deinen netzwerkplan mal so ändern das ich die netze zu wlan und lan zuordnen kann. hier ein beispiel
@micneu
Nein, es gibt nur EIN Netz. 192.168.11.0/24. Dort ist alles drin.
Ich habe nur gesagt dass am WLAN AP ein Netz eingestellt ist, aber das ist lt. Unify Anleitung nicht ausschlaggebend, was drin steht, wenn man sowieso externe Firewall hat. Die Clients die im WLAN sind, bekommen die Adresse von der OPNsense. Punkt.
Plan: kein Sinn. Alles das gleiche Netz.
hast du im dhcp static mappings?
Ja schon, alles von 100-148 und 201-253.
dann mal bitte ein oder 2 screenshots von dem einzelen hosts die du da konfiguriert hast.
sollte das einer der clienst bei sein mit den du probleme hast, dann bitte einen davon.
Ich verstehe noch nicht worauf du hinaus willst.
Mein Rechner ist LAN:statisch, WLAN:dynamisch.
Laptop meiner Frau ist LAN und WAN dynamisch.
Meinen Rechner habe ich manuell in das IP-Range des Pools gestellt.
Hier ein Screnshot der Konfiguration meines Clients. Wie gesagt, LAN der Frau ist dynamisch.
Also es muss ja irgendeinen Unterschied zwischen WLAN und LAN in der Verbindung geben.
WLAN ist per Unifi AP? Die Switches sind alle auch Unifi? Beide Verbindungen gehen ins selbe LAN, richtig?
Das ist echt verrückt. Außer, dass da ein Switch komische Dinge tut, kann ich mir da nix drunter vorstellen.
@kosta
Deine Angaben:
- du hast ein LAN (LAN und WLAN nutzen den gleichen IP-Bereich: 192.168.11.0/24)
- deine switche sind ja Kaskadiert, du hast keine vlans oder irgend was konfiguriert?
- dein netzwerk hat einen Desktop Rechner, einen Server und ein Firmen Notebook
- das Firmen Notebook baut eine Verbindung über IPSec zur Firma auf.
Meine Fragen:
- was für eine hardware setzt du für die sense ein
- was für nic´s sind verbaut
- ISP Modem (Hersteller/Model)?
- PPPoe oder ist das Modem als Bridge Konfiguriert?
- Über LAN geht das IPSec NICHT
- Über WLAN geht IPSec
- bekommst du von deinem Provider eine IPv4, DualStack oder DS-Lite?
- Was hast du alles in deiner Sense Konfiguriert (VPN´s, VLAN´s oder was auch immer)?
Quote from: Gauss23 on February 11, 2021, 06:40:26 PM
Also es muss ja irgendeinen Unterschied zwischen WLAN und LAN in der Verbindung geben.
WLAN ist per Unifi AP? Die Switches sind alle auch Unifi? Beide Verbindungen gehen ins selbe LAN, richtig?
Das ist echt verrückt. Außer, dass da ein Switch komische Dinge tut, kann ich mir da nix drunter vorstellen.
Ich kann wetten, dass sollte(n) ich/wir das jemals rausfinden was ist, wir irgendetwas ganz triviales sein... ::)
- du hast ein LAN (LAN und WLAN nutzen den gleichen IP-Bereich: 192.168.11.0/24)
Bis heute gehabt. Jetzt bin ich dabei die VLANs aufzubauen. Bereits meinen ersten geschafft zu konfigurieren. Aus dem anderen Thread: lag daran, dass ich die Verbindung zum Server nicht als Trunk konfiguriert hatte. Wobei ich nicht ganz verstehe warum ich ein Port trunken muss... wie auch immer.
- deine switche sind ja Kaskadiert, du hast keine vlans oder irgend was konfiguriert?
Der einzig konfigurierte VLAN ist noch am Coreswitch. Und da sind nur die VMs und NAS drin aktuell. Also alles außerhalb des restlichen Bereiches (was noch aktuell 192.168.11.0/24 ist).
- dein netzwerk hat einen Desktop Rechner, einen Server und ein Firmen Notebook
Das ist aber nicht ernst, oder? ;D ;D :o :o
Ich habe die Sophos auf OPNsense geändert, weil es bei 50 IPs eng geworden ist!
- das Firmen Notebook baut eine Verbindung über IPSec zur Firma auf.
Korrekt. Zu IHRER Firma. VPN in Windows.
Und die OPNsense baut ein Site-to-Site mit meiner Firma. Hier sind aber nur die Firmennetze drin, geroutet durch den S2S Tunnel sind die Firmennetze, Domain und eine Citrix-Seite.
- was für eine hardware setzt du für die sense ein
Ein Eigenbau i3 mit Asus Mainboard, 8GB RAM und 128GB SSD.
Auf der gleichen HW lief die Sophos UTM.
- was für nic´s sind verbaut
Sieht man das in der OPNsense irgendwo? Adhoc weiß ich jetzt nicht, ziemlich sicher ist es ne Intel, 2-port nic.
- ISP Modem (Hersteller/Model)?
CH7465LG-LC
- PPPoe oder ist das Modem als Bridge Konfiguriert?
Bridge.
- Über LAN geht das IPSec NICHT
Über LAN - mein Rechner oder Frau - Windows-Anbindung - korrekt.
- Über WLAN geht IPSec
Über WLAN - Rechner Frau/ich - Windows-Anbindung - korrekt.
- bekommst du von deinem Provider eine IPv4, DualStack oder DS-Lite?
IPv4. Mehr oder weniger fix, ändert sich nur sehr sehr selten, 1x im Jahr oder wenn ich neue Software wie jetzt die OPNsense installiere.
- Was hast du alles in deiner Sense Konfiguriert (VPN´s, VLAN´s oder was auch immer)?
LAN, WAN, 5 VLANs, S2S tunnel, Sensei (Monitoring noch zur Zeit), Wireguard (nicht konfiguriert), Lets Encrypt (Web Gui, läuft)... so im Groben und Ganzen.
Wenn Du getaggte Pakete, also mit VLAN ID über einen Port schicken willst, ist das ein Trunk. Ein Port, der fix einem VLAN zugeordnet ist, hat einfach nur normale Ethernet Frames ohne ID. Das wird hier so wie es mir scheint gerne verwechselt.
Also Port am Switch einem VLAN zuordnen, PC rein stecken, ungetaggte Frames. Ein VLAN ist letztendlich ein virtueller Switch. Alle Ports in dem VLAN sind in einem Netz.
Geht es nun zu einem Server, will man meist mehrere VLANs über ein Interface transportieren. Das ist dann ein Trunk und die Pakete sind getaggt. Die fallen dann zum Access-Port richtung PC ungetaggt wieder raus.
Klar soweit?
also geht es jetzt mit dem ipsec deiner frau?
das mit den vlans unsw. hattest du in deinem netzwerkplan nicht drinn (solche infos sind auch wichtig)
tip zu deinem netzwerkplan, alles was relevant sein kann bitte mit reinpacken, hier meiner ist auch nicht perfekt aber hat alles wichtige drin.
Hallo,
ich berichte hier mal aus meinen eigenen Erfahrungen, die Tipps müssen also nicht unbedingt für Dich "sinnvoll" sein. :-\
- Erst mal checken, ob Du einen DS Liste oder Dual Stack Anschluss hast -> http://test-ipv6.com/ (http://test-ipv6.com/)
- Wenn DS-Lite, dann wenn möglich über IPv6 mit dem Firmen-VPN Server verbinden - natürlich nur, wenn dieser dafür konfiguriert ist. Wir hatten selber massive Probleme mit Home Office VPN Verbindungen. Seit wir auf IPv6 umgestellt haben läuft es ohne Probs. Dazu natürlich auch in Deinem DSL Router und OPNSense IPv6 freischalten, sofern noch nicht erfolgt
- Auf dem Windows PC mal die MTU für das VPN Interface anpassen. Werte zwischen 1300 und max. 1400.
- Ist evtl. das interne IP-Subnet und das Firmen-Subnet gleich, evtl. hat Firmennetzwerk auch 192.168.11.0/24?
- ich gehe davon aus, dass Du auf die IPs auf dem Windows PC geprüft hast, also dass diese sowohl im LAN als auch im WLAN eine 192.168.11.xx bekommen.
-
Gab es für das Problem jemals eine Lösung?
Habe exakt dieses Problem - nur ist es bei mir ein Barracuda VPN-Client.
Verbindung in die Firma steht, kann auf Fileserver etc. zugreifen.
Nur RDP, RSAT Tools usw. funktionieren nicht...
Wenn jemand eine Lösung für mich hat, wäre ich sehr dankbar! :)