Guten Morgen Forum,
ich bekomme das OPNcentral nicht zum Laufen. Vielleicht habt Ihr ein paar Tipps für mich ;-).
Bestand:
- Eine eigene OPNsense Business-Edition (Lizenz aktiviert) bei mir im Büro
- Eine OPNsense Business-Edition (Lizenz aktiviert) beim Kunden
Meine macht direkte PPPoE-Einwahl am FTTH-Anschluß, beim Kunden ist ein Router am FTTH-Anschluß und die OPNsense hängt WAN-seitig in einem "Zwischennetz", also Doppel-NAT.
Beide WebGUI-Ports sind auf 4444 geändert, da LE-ACME mit http/https-Challenge aktiv.
Nun habe ich beim root-User der Kunden-OPNsense die API-Keys erzeugt und bei mir unter Management/Hosts die Daten der Kunden-OPNsense eingetragen.
Dabei habe ich als URL die feste externe IP des Anschlusses des Kunden gewählt und die API-Keys eingetragen.
Ich bekomme nun allerdings keine Verbindung. Bei der URL habe ich die feste-IP mal mit ...:4444 eingetragen und auch mal ohne versucht.
Im Router des Kunden sind alle Ports direkt an den WAN-Port der OPNsense weitergeleitet.
Ich hoffe, daß Ihr mir helfen könnt und danke schonmal im Voraus.
Gruß
Christoph
OPNcentral benutzt die REST API.
Ist denn die URL so eingetragen?
https://opnsense.example.com:4444
https://203.0.113.1:4444
Kann die webui denn normal im Browser erreicht werden?
Auf der Firewall des Kunden muss es auf dem WAN interface eine Firewall regel geben, die von der Quell IP der Haupt Opnsense auf die Ziel IP der Kunden Opnsense auf Zielport Port 4444 TCP zugreifen darf.
Wenn das DoppelNAT die Source IP verändert dann kann auf der (Kunden) OPNsense schlecht auf IPs eingegrenzt werden da alle Anfragen als Source IP den vorherigen Router haben. (Security Technisch suboptimal)
Hi,
vielen Dank. Ich habe es mit Deiner Hilfe hinbekommen.
Im Moment habe ich die Source-IP noch auf Any wg. des Doppel-NAT, schaue mir aber mal die Logs an, ob ich dort noch was begrenzen kann.
Aber: Auch ohne WAN-seitige Firewall-Regel kann ich das Webinterface aufrufen und viel schlimmer, auch einloggen.
Ich habe zwar als Listen-Interface auch das WAN-Interface angegeben, aber keine Regel definiert. Wird da intern eine Regel angelegt?
Das Listen interface sollte auf "All (recommended)" bleiben damit die Webui nicht an das up oder down Verhalten eines Interfaces geknüpft ist. Ansonsten kann man sich gegebenenfalls aussperren. Das Zugriffsverhalten steuert man mit Firewall Regeln, mit denen man einfach Port 4444 auf "This Firewall" erlaubt.
Die Firewall Regeln die es erlauben auf das Interface zuzugreifen, sind auf dem LAN Interface der Firewall automatisch angelegt. Auch durch die "Prevent Lockout" DNAT Regeln auf dem LAN interface. Auf dem WAN Interface existieren solche Regeln nicht automatisch. Wenn man sich dort von überall aus einloggen kann, liegt ein Konfigurationsfehler vor. (z.B. eine Firewall Regel auf dem WAN die "Direction in" "Destionation any" erlaubt)
Quote from: Monviech on December 06, 2023, 11:32:50 AM
Das Listen interface sollte auf "All (recommended)" bleiben damit die Webui nicht an das up oder down Verhalten eines Interfaces geknüpft ist. Ansonsten kann man sich gegebenenfalls aussperren. Das Zugriffsverhalten steuert man mit Firewall Regeln, mit denen man einfach Port 4444 auf "This Firewall" erlaubt.
Bei dem Listen-Interface steht bei mir nicht mehr 'All' zur Auswahl. Habe daher die Haken bei LAN und WAN gemacht. Ist ja auch nicht so schlimm. Von daher alles gut.
In der Firewall-Regel habe ich als Destination nicht "This Firewall" genommen, sondern "WAN adress". Was wäre da der Unterschied?
QuoteDie Firewall Regeln die es erlauben auf das Interface zuzugreifen, sind auf dem LAN Interface der Firewall automatisch angelegt. Auch durch die "Prevent Lockout" DNAT Regeln auf dem LAN interface. Auf dem WAN Interface existieren solche Regeln nicht automatisch. Wenn man sich dort von überall aus einloggen kann, liegt ein Konfigurationsfehler vor. (z.B. eine Firewall Regel auf dem WAN die "Direction in" "Destionation any" erlaubt)
Die Regel sieht so aus (siehe Fotos):
Die WAN Regel sieht gut aus. Bis auf dass, das der Source IP Bereich durch das Doppel NAT nicht eingeschränkt werden kann.
Um bei den Listen Interfaces wieder "All" zu haben, muss man einfach bei allen anderen den Haken entfernen sodass keins ausgewählt ist.
"This Firewall" beinhaltet als Alias alle IP Adressen, die die Firewall hat. WAN Address nur die WAN Adresse. Also alles gut.
Super, vielen Dank.
Der eine Kunde hat eine FritzBox mit Exposed-Host. Dort klappt das mit der Einschränkung des Source-Bereiches auf unsere feste IP.
Der andere Kunde hat einen Medianten von unserem lokalen Anbieter (TNG). Der Mediant hat noch zwei ISDN-Schnittstellen für seine TK-Anlage. Wenn die Kiste den Geist aufgibt, dann bekommt der eine SIP-Anlage und der Mediant fliegt raus ;-).
Besten Dank für die Unterstützung. Wir verabschieden uns derzeit von Sophos als Silber-Partner. Auslaufende Lizenzen verlängern wir nicht mehr und spielen auf die Sophos-Hardware die OPNsense in der Business-Edition.
Von daher werde ich sicherlich demnächst noch häufiger das Forum kontaktieren :-).
Gruß
Christoph
Guten Morgen,
ich komme nochmal auf OPNcentral zurück.
Habe nun zwei "externe" OPNsense's an meine OPNsense per OPNcentral angebunden. Das funktioniert super.
Aber mir fiel folgendes auf:
Auf meiner ist das OPNcentral-Plugin installiert (muß ja auch) und auf einer der beiden anderen "Externen" OPNsenses auch. Auf der anderen nicht. Trotzdem bekomme ich von beiden Informationen über deren Status.
Daher meine Frage:
Muß auf den externen OPNsenses das Plugin überhaupt auch installiert sein? Oder reicht es, wenn es auf meiner Verwaltungsmaschine läuft?
Besten Dank im Voraus.
Gruß
Christoph