Hallo zusammen!
Ich hoffe, es gibt hier den einen oder Anderen User, welcher - so wie ich - einen Kabelanschluss hat und mir sagen kann, wie ich am einfachsten von meinem momentanen Doppel-NAT:
Internet --> Router (Fritbox Cable) --> OPNSense (momentan noch zum Spielen und nicht "Live") --> LAN-Geraffel
....hin zur Kombi:
Internet --> Cable-Modem --> OPNSense (dann "Live")--> LAN-Geraffel
komme?
Im moment läuft alles mit der Fritzbox gepaart mit der OPNSense ziemlich gut, allerdings habe ich z.B. Probleme, mich mit meinem Arbeitsplatz-Rechner in unser Firmen-VPN zu verbinden, siehe hierzu https://forum.opnsense.org/index.php?topic=38892.0 (https://forum.opnsense.org/index.php?topic=38892.0)
Ich habe mir halt überlegt, meine Fritzbox durch ein https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html (https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html) zu ersetzen.
Allerdings muss dann meine Sense ja auch das gesammte Routing machen und ich weiß nicht, was ich dann dafür noch einstellen muss.
Kann mir diesbezüglich jemand behilflich sein?
Zum Telefonieren nutze ich den Fritzbox im übrigen nicht :).....
Quote from: maze-m on September 04, 2024, 11:05:45 PM
Ich habe mir halt überlegt, meine Fritzbox durch ein https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html (https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html) zu ersetzen.
Moin,
FritzboxCabel: deine eigene oder Mietgerät von Vodafone ?
bevor du versuchst, an ein Kabelmodem zu kommen, was eh kaum lieferbar ist, würde ich lieber versuchen, den Bridgemodus freischalten zu lassen ( wenn Mietgerät von Vodafone ) oder es selber zu machen ( bei eigener Box )
Die Chance steht 50:50 das es funktioniert, das ist immer noch besser als ein Kabelmodeln, wobei das Ariss eh die schlechtere Wahl ist.
Das TC4400-EU Kabel-Modem ist die bessere Wahl, aber auch kaum zu bekommen, zu dem viel zu teuer.
Moin,
Quote
FritzboxCabel: deine eigene oder Mietgerät von Vodafone ?
Bei der Fritzbox handelt es sich um ein Mietgerät, welche ich allerdings für Lau gemietet habe, da ich nen Business-Vertrag habe. Würde die als "Backup" auch erstmal behalten, da ich in der Vergangenheit leider sehr viele (über 10) Techniker-Einsätze hatte, weil ich immerzu Probleme hatte.
Quote
bevor du versuchst, an ein Kabelmodem zu kommen, was eh kaum lieferbar ist, würde ich lieber versuchen, den Bridgemodus freischalten zu lassen ( wenn Mietgerät von Vodafone ) oder es selber zu machen ( bei eigener Box )
Die Chance steht 50:50 das es funktioniert, das ist immer noch besser als ein Kabelmodeln, wobei das Ariss eh die schlechtere Wahl ist.
Das TC4400-EU Kabel-Modem ist die bessere Wahl, aber auch kaum zu bekommen, zu dem viel zu teuer.
Bezüglich dem Bridgemodus habe ich schon bei Vodafone nachgefragt, aber das ist zumindest nicht bei der Fritzbox gewollt.
Die TC4400 habe ich zumindest bei Werner Electronic - siehe meinen Link - angefragt, aber die gibt's leider so nicht mehr.
Mir wurde halt als Nachfolgeprodukt die Arris-Modem empfohlen.
Ein paar Fragen hätten ich noch:
- Was muss denn auf der OPNSense noch umgestellt werden, wenn ich die Fritzbox als Router "rausnehme" und die OPNSense dann das komplette Routing übernimmt?
- Kann ich die Fritzbox ggf. im Störfall wieder anstöpseln, um "erstmal wieder ins Internet zu kommen"? Oder muss dafür bei Vodafone auch noch eine Umstellung "zurück" wieder stattfinden?
- Was könnt ihr mir ggf. für Alternativen zum Arris- bzw. TC4400 Modem empfehlen? Ich hab gesehen, dass es im
Welches Problem soll den überhaupt gelöst werden? Soll die Fritzbox einfach nur raus, soll doppeltes NAT vermieden werden, oder noch was anderes?
Doppeltes NAT kann man einfach dadurch vermeiden, dass man NAT auf der OPNsense abschaltet. Dann muss man noch ein Transfernetzwerk zwischen der Fritzbox und der OPNsense einrichten, das nicht mit den Netzen hinter der OPNsense kollidiert und bei der Fritzbox die OPNsense als Router für diese eintragen.
Quote
Welches Problem soll den überhaupt gelöst werden? Soll die Fritzbox einfach nur raus, soll doppeltes NAT vermieden werden, oder noch was anderes?
Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 (https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418))...
Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.
Quote
Doppeltes NAT kann man einfach dadurch vermeiden, dass man NAT auf der OPNsense abschaltet. Dann muss man noch ein Transfernetzwerk zwischen der Fritzbox und der OPNsense einrichten, das nicht mit den Netzen hinter der OPNsense kollidiert und bei der Fritzbox die OPNsense als Router für diese eintragen.
Ich glaube, das mit dem Transfernetz habe ich zur Zeit schon so eingerichtet:
("Glaube" daher, weil ich nicht weiß, was du mit "Transfernetz" meinst!? )
Quote
INTERNET
|
_________|_______________
| Router (Fritzbox Cable) |
'--------------+-----------------------'
|
WAN | IP: 192.168.0.2 / 2a02:810d:bb40:877:a236:9fff:fe06:aff8
|
.---------+---------------------------------------------.
| OPNsense |
'--------+------------------------------------|----------'
| |
LAN | 192.168.1.1/24 MGMT | LAN 192.168.0.3
|
.--------+----------------------.
| LAN-Switch (8 Port) |
'--------+----------------------'
|
--------+--------------------.
| LAN-Switch (24 Port) |
'--------+---------------------'
...-----+------... (insgesamt 3 x 8 Port Switche in den einzelnen Etagen)
...------|------.... (an jeden 8 Port Switch jeweils eine AP angeschlossen)
Ich hatte am Outbound-NAT aber auch schon auf "Manual", "Hybrid" und auf "Automatic" gestellt, jedoch hat das leider auch nichts bei meinen Einwahlproblemen ins VPN geholfen :/....
Quote from: maze-m on September 05, 2024, 03:25:24 PM
Bezüglich dem Bridgemodus habe ich schon bei Vodafone nachgefragt, aber das ist zumindest nicht bei der Fritzbox gewollt.
Die Vodafone-Hotline ist unter aller Kanone - ich habe hier in NRW eine FB6591 von Vodafone und bin Privatkunden und hab keine Probleme gehabt, die Fritzbox von Vodafone mit aktivierten BridgeModus zu bekommen.
Quote
Die Vodafone-Hotline ist unter aller Kanone - ich habe hier in NRW eine FB6591 von Vodafone und bin Privatkunden und hab keine Probleme gehabt, die Fritzbox von Vodafone mit aktivierten BridgeModus zu bekommen.
Ja genau, bei der Vodafone-Hotline hab ich die Aussage bekommen, dass sie ihre Fritzbox(en) nicht mehr in den Bridge Modus schalten. Ich habe zur Zeit eine FB6690.
Daher ist halt meine Überlegung, mir ein Kabelmodem zuzulegen....
also wenn es nur um VPN geht...
hast du denn probiert direkt an der Fritzbox? oder am Gäste Port (4)
Hast du strukturiertes LAN? warum nicht die Fritze zb Gast Port(Wlan) in ein separates Vlan packen?
Also ich habe eine 6591 mit Brigde (selbst freigeschaltet) und nutze sowohl Opnsense als Router direkt
und Fritzboxes Lan und Gäste Lan(Wlan) zb für mein Firmen Notebook(VPN) und Virtuelle Maschinen und diverse IoT's.
Quote from: Zapad on September 06, 2024, 02:58:20 PM
also wenn es nur um VPN geht...
hast du denn probiert direkt an der Fritzbox? oder am Gäste Port (4)
Hast du strukturiertes LAN? warum nicht die Fritze zb Gast Port(Wlan) in ein separates Vlan packen?
Also ich habe eine 6591 mit Brigde (selbst freigeschaltet) und nutze sowohl Opnsense als Router direkt
und Fritzboxes Lan und Gäste Lan(Wlan) zb für mein Firmen Notebook(VPN) und Virtuelle Maschinen und diverse IoT's.
Danke dir zunächst für die Erklärung!
Das VPN selber funktoniert ja direkt über die Fitzbox, das ist nicht das Problem....
Meine Firma verwendet jedoch als VPN-Client ein 'Checkpoint Mobile' und der scheint auf OSI-Layer 3 zu arbeiten, auf welchem die OPNSense anscheinend auch arbeitet.
@meyergru hatte dazu in meinem verlinkten Post folgendes geschrieben:
Quote
Offenbar nutzt Checkpoint IPSEC.
Dabei werden spezielle ISAKMP Pakete ausgetauscht, die direkt auf OSI-Layer 3 arbeiten, d.h. Vermittlungsschicht unterhalb von TCP und UDP. Da OpnSense normalerweise IPSEC selbst behandelt, gibt es offenbar automatische pf-Regeln, die diesen Traffic "abfangen", so dass er nicht zu Deinen Clients durchkommt.
Die Aussage kann ich auch bestätigen, da ich so gar nichts im Live View von der OPNSense sehe, sobald ich versuche, mich mit dem VPN meiner Firma / meines Arbeitgebers zu verbinden....
So wie ich's verstanden habe, brauch ich - um das ganze überhaupt zum Laufen zu bekommen - eine direkte Verbindung der OPNSense an einem Kabelmodem, um das Doppel-NAT weg zu bekommen....
Quote from: maze-m on September 06, 2024, 02:20:27 PM
Ja genau, bei der Vodafone-Hotline hab ich die Aussage bekommen, dass sie ihre Fritzbox(en) nicht mehr in den Bridge Modus schalten. Ich habe zur Zeit eine FB6690.
Daher ist halt meine Überlegung, mir ein Kabelmodem zuzulegen....
Das ist echt eine Deletaten-Laden - da erzähl jeder was anderes.
Arbeitskollege von mir hat genau das vor ein paar Wochen noch problemlos bekommen - das ist doch für Vodafone kein Nachteil, die sind nur stur und dämlich und wollen mit Gewalt ihre eigenen Schrott-Geräte an den Mann bringen ( Vodafone Station, weil die kann BridgeModus )
Biste denn mal nach Handbuch vorgegangen?
An deinem Business Anschluss sollte es ja feste IP geben
Seite 20 Punkt 6.4
https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120.pdf
@maze-m
schaust du in NAT>ausgehend, eventuell sind die automatischen Regeln für isakmp Port 500
im weg?
mach manuell und eigene regeln und probier.
Quote from: Wolke68 on September 07, 2024, 09:20:50 AM
Biste denn mal nach Handbuch vorgegangen?
An deinem Business Anschluss sollte es ja feste IP geben
Seite 20 Punkt 6.4
https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120.pdf
Hi!
Ja, eine feste IP-Addresse habe ich in der Tat :)! Aber das hat ja nichts mit meinem Problem vom Verbinden des VPNs in mein Firmennetz zu tun :)....
Quote from: Zapad on September 07, 2024, 12:05:26 PM
@maze-m
schaust du in NAT>ausgehend, eventuell sind die automatischen Regeln für isakmp Port 500
im weg?
mach manuell und eigene regeln und probier.
Danke dir, das habe ich allerdings auch schon eingerichtet. Nen Screenshot von der Manuellen Regel hab ich als Attachment in den Anhang gepackt.
Ich bekomme bei Verbindungsaufbau jedoch trotzdem eine Fehlermeldung und die Verbindung lässt sich nicht herstellen (siehe zweites Attachment 'Fehlermeldung_Checkpoint_Mobile_Client.jpg')
Ich weiß so langsam nicht mehr, was ich ausser eines eigenen Modems und dem "rausnehmen" der Fritzbox noch machen kann....
Ich hatte genau das Problem.
Ich hatte mein eigenes Netzwerk hinter einem gemietet einfachen Router von Vodafone. Diese schwarzten Kisten. Diese war im Brige Modus. Nun hatte ich in der gleichen Anschrift, aber einen neuen Vertrag. Kosten etc. Da gab es keinen LeihRoter kostenlos. Da dachte ich mir, kaufst dir selber ne FritzBox 6690 Cable und schaltets diese so wie früher es mal ging in den Bridge Mode.
Und das ging nicht. Weder im Web war die ANleitugn so wie früher, noch die aktuellen Moedelle können das. Angeblich ist der Chip ausgebaut worden. Aber das glaube ich nicht. Naja, viele FOren und Internetseite gelesen:
ergebnis:
Ich hab es geschaft. Meine MacAdresse von der FritzBox war bereits hinterlegt. Diese hatte ich mal dem Technicker gegeben. Auch der TelefonSupport hätte diese gerne für mich hinterlegt. Doch sie war schon da. Und dann hab ich in der FritzBox einfach die ConfigDatei so geändert, dass LAN2 BrigeModus macht. Und fertig. Wenn man weiß wie, ist es BabyEinfach und in 10 Minuten fertig. Es funktioniert bereits 3 Std.
Dennoch hab ich den Eindruck, dass Vodafone das nicht will. Weil die sagten mir, dass ich die gleiche FritzBox bei dennen mieten kann. Dort würde es gehen. XD
Kann es sein, dass es nicht gewollt, aber dennoch sehr einfach möglich ist?
Ich meine, ein Modem hat ja auch eine MacAdresse. Da soll es gehen. Aber die FritzBox soll sich nicht so gegenüber Vodafone einwählen? Warum? Eventuell haben die das im Webinterface entfernt, weil man mit Vodafone zusammenarbeitet. Damit die noch mehr Geräte gemeinsam vermieten.
Weil, es geht. Und es war schon früher möglich. Es wurde lediglich die WebUI dafür ausgeblendet.
Auf jeden Fall. Es geht. Ich bin gespannt. =D
Warum ich das mache? Weil mein Netzwerk dahinter bereits fertig ist.
Es geht. Ich hab es hinbekommen. Dies wollte ich mir euch experten teilen. =D
Quote from: maze-m on September 05, 2024, 11:38:59 PM
Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 (https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418))...
Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.
[...]
Ich hatte mich in den letzten (mindestens 6-7 Jahren) über Checkpoint Mobile ins Firmen-VPN eingewählt. Das lief mit unterschiedlichen Szenarien (Single-, Double- und Tripple-NAT) in Verbindung mit der Opnsense immer einwandfrei. Daher vermute ich mal, dass entweder der VPN-Client uns/oder der VPN-Server nicht richtig konfiguriert sind.
Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst ,,IPSec-Passthrough" unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.
Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.
Hallo also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.
Quote from: schnipp on November 14, 2024, 07:22:21 PM
Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst ,,IPSec-Passthrough" unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.
Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.
Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre :( (arbeite bei ner VW-Konzern-Tochter)......
Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird.
Quote from: tuschi on November 18, 2024, 09:10:21 PM
Hallo also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.
Ja, ich liebäugel ja schon mit dem Kauf eines https://shop.wernerelectronic.de/kabelmodem-arris-cm3500.html (https://shop.wernerelectronic.de/kabelmodem-arris-cm3500.html), wobei ehrlicherweise die 200€ natürlich auch einiges an Geld ist.
Aber zur Zeit ist bei uns leider auch noch nicht in Aussicht, dass wir auf absehbare Zeit einen Glasfaseranschluss bekommen. Von daher werde ich zur Vermeidung des Doppel-NAT vermutlich nicht drum herum kommen.
Wie hast du das bei dir denn gelöst, wenn du Support für deinen Anschluss brauchst?
Dann musst du doch das Provider-Gerät erstmal wieder anstöpseln. oder?
Quote from: maze-m on November 24, 2024, 12:41:49 AM
Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre :( (arbeite bei ner VW-Konzern-Tochter)......
Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.
Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?
Quote from: maze-m on November 24, 2024, 12:41:49 AM
Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird.
Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.
BTW Seltsam, dass ich keine E-Mail bezüglich der Antworten in diesem Thread erhalten hatte
Quote from: schnipp on November 27, 2024, 06:33:15 PM
Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.
Ja, aus dem Gesichtspunkt heraus kann ich die Sichtweise von unserer Security-Abteilung natürlich auch nachvollziehen.
Quote from: schnipp on November 27, 2024, 06:33:15 PM
Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?
Dagegen spricht natürlich nichts bis auf das Problem, dass ich nicht weiß, wir ich das in der Sense mache 😇🥴...
Quote from: maze-m on November 24, 2024, 12:41:49 AM
Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.
Das wäre natürlich sehr sehr cool 😍
Quote from: maze-m on November 29, 2024, 12:20:03 AM
Das wäre natürlich sehr sehr cool 😍
Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:
BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 (https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418) angesehen. Dort scheint einiges nicht ganz richtig zu sein:
- Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
- Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück
Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier (https://docs.opnsense.org/manual/diagnostics_interfaces.html#packet-capture) weitere Infos zur Diagnose
Quote from: schnipp on December 01, 2024, 04:25:26 PM
Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:
Cool, danke dir für die Info! Dann würde ich nach hoffentlich erfolgreicher Migration für mein Arbeitsnotebook Firewall-Regeln mit 'TCP/443' und 'UDP/443' erstellen.
Quote from: schnipp on December 01, 2024, 04:25:26 PM
BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 (https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418) angesehen. Dort scheint einiges nicht ganz richtig zu sein:
- Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
- Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück
Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier (https://docs.opnsense.org/manual/diagnostics_interfaces.html#packet-capture) weitere Infos zur Diagnose
Vielen vielen Dank dir für's Reviewen von meinem Thread!
Ich hab das mal folgermaßen abgeändert (bzw. die NAT-Regel erstmal deaktiviert):
Siehe 'Firewall_Outbound_NAT.jpg'
Zudem habe ich die Firewall-Regeln zunächst auch einmal auf 'default' zurückgesetzt:
Siehe 'Firewall_LAN_Rules.jpg'
Leider kann ich gerade nicht testen, weil die PKI-Abfrage vom Checkpoint Mobile anscheinend nicht über den Squid drüberkommt, weil meine privaten (von der Sense ausgestellten) Certs nicht richtig übernommen werden. Ich muss mir das nochmal angucken....
Ich verstehe Dein Setup nicht so ganz.
- Du hast NAT komplett auf ,,manuell" stehen. Ist in der vorgeschalteten Fritzbox die korrekte IPv4-Route für die Opnsense eingetragen?
- Checkpoint Mobile hat mit dem Squid nichts zu tun. Wofür möchtest Du den Squid einsetzen?
Quote from: schnipp on December 03, 2024, 07:00:42 PM
Ich verstehe Dein Setup nicht so ganz.
Du hast NAT komplett auf ,,manuell" stehen. Ist in der vorgeschalteten Fritzbox die korrekte IPv4-Route für die Opnsense eingetragen?[/li]
Ich habe für die Fritzbox die Route wie im Anhang gezeigt (Statische_Route_auf_Fritzbox.jpg) angelegt.
Quote from: schnipp on December 03, 2024, 07:00:42 PM
Checkpoint Mobile hat mit dem Squid nichts zu tun. Wofür möchtest Du den Squid einsetzen?[/li][/list]
Nein, du hast Recht, dass der Squid nichts mit dem Checkpoint Mobile zu tun hat. Den Squid setzt ich als Transparenter Proxy ein und hab den so wie hier beschrieben konfiguriert: https://docs.opnsense.org/manual/how-tos/proxytransparent.html[/list]