Hi,
ich hab ein seltsames Problem...
Ich möchte die Qnap auf der anderen Seite öffnen und gebe https://IP der Qnap ein.
Was ich erhalte ist die Loginseite der OpnSense, trotz der Browseradresszeile zur QNAP...???
Ich steh grad völlig auf dem Schlauch... Hab keine Idee was das sein könnte. Bin auch nicht der Opnsense Guru bzw. Firewall im allgemeinen.
Mein Netz steht hinter einer Fritzbox. Kein exposed Host, sondern Portforwarding zur OpnSense. Alle Ports freigegeben in der Opnsense. Zugriffe auf verschiedene Dinge funktionieren, aber auf andere wiederum nicht. Ich kann im Log nichts erkennen. Dort ist von der Quelle alles im grünen Bereich.
Vielen Dank schon mal für eure Ideen und die Unterstützung
Moin,
bei VPN Verbindung spielt NAT / Port Forwarding zum Erreichen des NAS eigentlich keine Rolle...
Kannst Du denn andere Geräte auf diese Weise erreichen?
Kannst Du das NAS anderweitig erreichen (SSH, SMB, ...)?
Danke für die Antwort!!
Ich wollte nur mitteilen wie mein Aufbau ist, nicht das es wieder heißt zu wenig Info :)
Ich kann die Server pingen (angeblich), weiß ja nicht ob hier auch die Firewall dazwischen springt.
Ich konnte bis vor kurzem noch auf ein Share der NAS zugreifen jetzt nicht mehr, seitdem ich die Firewall deaktiviert habe..??
Ich hab aber noch einen Server in dem Netz stehen,auf den ich Zugriff habe. Also theoretisch scheint es zu klappen.
Komme halt wie gesagt nicht auf die Webseite der NAS drauf, wo ich die Loginseite der OPNSense gezeigt bekomme...
Leider kann ich sonst derzeit nicht viel mehr testen, weil ich noch nicht mehr in dem Netz drin hab
Mir fehlt momentan ein Ansatz... Ein traceroute könnte man mal machen, aber der wird wahrscheinlich auch keinen Aufschluss geben...
Versuche mal mit SSH zu verbinden.
Welche Firewall wurde deaktiviert? Die QuFirewall? Den Schrott am besten deinstallieren!
Genau so steh ich auch gerade im Wald.
Ja die QuFirewall wurde deaktiviert, in der Hoffnung das es dann klappen würde.
Deinstall wäre auch noch ne Möglichkeit :) Dann meckert aber der Security Counselor :)
SSH könnte ich noch versuchen, aber derzeit ist SSH zu. Komm ich dann erst die Tage dazu...
Hab dort noch n Paperless laufen, wo ich auch nicht dran komme... (Port 8000) -> gerade versucht
Die Opnsense bricht doch keine Zertifikate auf..?? Wobei das jetzt mit Paperless auch keinen Sinn mehr machen würde.
Den Security-Hampelmann auch deinstallieren!
Mit den meisten Sicherheitstipps von QNAP baut man sich mehr Probleme als man Sicherheit schafft. Besser auch nicht den echten admin deaktivieren, sondern aktiv für administrative Aufgaben verwenden, sonst klappt auch nur die Hälfte... Aber das ist OT...
SSH zumachen ist übrigens auch eine ganz ganz ganz schlechte Idee! Kommt die Idee auch von dem Sicherheits-Hampelmann? :o
Landest Du statt bei paperless auch bei der Sense (443/80), oder läuft das ins Leere?
Bei Paperless (was ja dann nur über http geht) kommt nichts. Keine Opnsense
Nur das die Webseite nicht erreichbar wäre.
443 ist dort nicht aktiv.
Bin am überlegen auch mal noch Wireguard zu testen... was ich aber noch nie in Betrieb hatte.
Nene... wer weiß was diese unbekannte Ursache noch für Probleme bereiten kann. Dem würde ich lieber auf den Grund gehen.
Eventuell mal einige Screenshots zu den Einstellungen der Sense posten...
(https://dl.o-ta.de/Firewall_LAN.png)
---------------------------------
(https://dl.o-ta.de/Firewall_WAN.png)
---------------------------------
(https://dl.o-ta.de/Firewall_OVPN.png)
---------------------------------
(https://dl.o-ta.de/ovpn_srvconf1.png)
(https://dl.o-ta.de/ovpn_srvconf2.png)
(https://dl.o-ta.de/ovpn_srvconf3.png)
(https://dl.o-ta.de/ovpn_srvconf4.png)
(https://dl.o-ta.de/ovpn_srvconf5.png)
wenn du noch mehr brauchst, sag Bescheid.
Den DNS Server Haken wollte ich eigentlich schon entfernen, geht aber irgendwie nicht aus der Ferne :)
Außer dass es der OVPN Regel auf dem LAN Interface nicht bedarf, sehe ich hier nichts...
Interne IPs brauchst Du nicht kaschieren, das macht die Fehlersuche nur schwieriger.
Wie genau ist denn der Aufbau?
OVPN Roadwarrior (zB LTE) durch die Fritte mittels Portfreigabe 1194 => OPNsense => QNAP im LAN der Sense?
Irgendwelche Besonderheiten?
Keine Ahnung was man sich noch anschauen könnte... vielleicht mal ein Packet Capture auf WAN, LAN und OVPN starten, IPv4, Host=IP_des_NAS and IP_der_Sense und dann nochmal den GUI Zugriff versuchen.
OVPN kommt über 1194 (Vodafone Dual Stack, aber IPv4) an die Fritzbox.
per Portweiterleitung auf die Opnsense
und das wars...
Besonderheiten, das ganze Netz ist gerade im Umbau, darum komplett offen. Die Opnsense hat zwar nen anderen Adressbereich, aber per Subnetting im selben LAN.
Vielleicht kommts daher...
Ich verstehs nicht. Ich schau das ich dort so schnell wie möglich alles umstelle und dann hoffe ich das es das war :)
Capture werde ich mal machen und mal reinschauen.
Vielen Dank für deine Ideen. Ich melde mich sobald ich mehr weiß!
Dann wäre der berühmte grafische Netzwerkplan mit Angabe von IPs und Subnetzen hier sehr hilfreich...
Internet
0.0.0.0/0
l
x.x.x.x/32
publicIP
Fritzbox
192.168.0.0/16 (hier sind noch einige Clients angeschlossen die ebenfalls rumflitzen)
l
192.168.0.250/16
opensense
192.168.10.0/16
l
192.168.10.200/16
QNAP
das meinte ich mit offen. Hängt noch derzeit alles an einem Switch... das wird aber alles noch gerade gezogen, wenn die Umstellung vollzogen ist.,Wollte halt von zu Hause dran arbeiten können, darum wäre VPN nett :)
:o
Das kommt mir etwas komisch vor, die Subnetze überschneiden sich doch?!
ja ich weiß, aber so konnte ich gewährleisten das man überall dran kommen würde...
Wie gesagt, wird alles wieder umgestellt, sobald ich fertig bin mit der Migration.
Dann würde ich erstmal umstellen und dann aufs VPN konzentrieren... So kann das Routing ja nur in die Hose gehen... Vor Sense und nach Sense muss klar getrennt sein.
Wollen wir hoffen das es das ist.
Ich denke in 2 Wochen kann ich mehr sagen. Ich hab jetzt erstmal Urlaub.
Ich melde mich wieder und geb Bescheid was draus geworden ist.vielleicht bau ich auch einfach so zurück> kein großes Netz