Hallo ,
OPNsense Version : 25.1.10
Ich hatte das Thema hier schon einmal, da aber die Gesundheit bei mir wieder für einen Delay gesorgt hat, fange ich wieder bei Null an.
Also...
ich bekomme feste IPs über VPN für meine Webserver usw.
Die feste IP 32.xx ist von meinem Glasfaseranbieter
Netzwerke:
LAN 192.168.1.0/24
WAN feste IP 32.xx.xx.xx/24 ( von dem /24 Netz ist für mich nur 1 IP nutzbar, leider)
DMZ 192.168.100.0/24
VPN 195.8.xx.xx./29
Mein Ziel ist es über den VPN Tunnel die Server die eine 192.168.100.x lokale Adresse haben via NAT über das VPN von außen zugänglich zu machen.
Zusatzfrage: Macht das Sinn oder sollten besser direkt die 195.x als DMZ Interface verwendet werden ?
Stand jetzt:
Ich kann im lokalen Netz pingen jeweils von 192.168.1.x nach 192.168.100.x und zurück
Alle Interfaces sind UP auch der VPN Tunnel steht.
Ins Internet komme ich nicht und ich kann auch sonst nicht viel tun außer im local net.
Sagt mir:
1. Rules, die Firewall erlaubt es nicht
2. Routing, LAN/DMZ/ VPN nicht richtig
3. Gateway,ich habe die Gateways nicht richtig konfiguriert
Da die OPNsense aber so unterschiedlich zur Astaro/Sophos UTM9 ist, verlaufe ich mich in den Menüs und verliere schnell den Überblick.
Eine bessere Struckturierung der Oberfläche wäre hier echt dringen angesagt.
Ich bin nicht die hellste Kerze auf der Torte wenn es um das Thema Routing geht, deswegen bitte ich um Nachsicht.
Ich hoffe das ich mit eurer Hilfe das hin bekomme.
Danke im voraus.
Folgendes gemacht und die Frage ob ihr auf das gleiche Ergebnis kommt:
mein Tunnel ist aktiv, mein Netz 195.8.xx.xx/29 liegt mit VIP auf dem Tunnel-Interface.
WAN Default Routing funktioniert.
OpenVPN Tunnel ist up mit route-nopull.
Outbound NAT und Inbound Port-Forward sind korrekt eingerichtet.
DMZ-Host kann nicht outbound pingen → Packet Capture zeigt keinen Tunnel-Traffic.
Rules erstmal any any wegen Test
Extern (mxtoolbox) kann niemand 195.x.xx.x7 pingen → Traffic kommt nicht am Tunnel an.
Traceroute von extern kommt beim provier an, danach die Hops nur noch :
**
Mein Schluss:
Provider Routing Problem.
Eure Meinung oder mehr Infos ?
Config:
Name Typ Details
WAN VLAN-Interface (vlan01) VLAN Tag: 132 > Parent: em0
WAN IP DHCP z. B. 3x.xxx.xxx.x/24 Gateway 3x.xxx.xx.xx
LAN physisch (igb0) Netz: 192.168.1.0/24
DMZ physisch (igb1) Netz: 192.168.100.0/24
VPNCLIENT OpenVPN-Client (ovpnc1) VIP 195.x.xxx.x7 liegt auf Interface
Tunnel Peer 213.xxx.xx.xx(/32) Gegenstelle vom Provider
OpenVPN-Interface (ovpnc1) hat statische VIP 195.x.x.x7/32 (aus 195.x.x.x/29)
Routing:
default 3x.xx.xx.xx vlan01 (WAN)
195.xx.xx.xx/29 lokal ovpnc1
DMZ lokal igb1
LAN lokal igb0
route-nopull im OpenVPN blockiert Push-Default , sollte also nur geroutetes Subnetz über den Tunnel.
Outbound NAT:
Feld Wert
Mode Manual oder Hybrid
Interface VPNCLIENT (ovpnc1)
Source 192.168.100.0/24
Destination any
Translation Interface address (195.xx.xx.x7)
Ziel DMZ-Hosts Tunnel-Exit
Port-Forward (Inbound NAT)
Feld Wert
Interface VPNCLIENT
Destination 195.xx.xx.x7
NAT 1:1 oder Port-Forward auf 192.168.100.x
Services ICMP (Ping) für Test
Regel: DMZ-Traffic > Tunnel
Feld Wert
Action Pass
Interface DMZ
Source DMZ net (192.168.100.0/24)
Destination any
Protocol any
Gateway VPNCLIENT_GW
Description DMZ Tunnel Only
VPNCLIENT > Rules
Feld Wert
Action Pass
Source any
Destination 195.xx.xx.x7
Protocol ICMP
Description Allow inbound ICMP
Beim oberen Post bin ich ausgestiegen, weil vollkommen unklar war, was dein Vorhaben ist.
Nach dem zweiten Post vermute ich verstanden zu haben, dass du einen eine OpenVPN zu einem Provider hast, der dir eingehenden Traffic weiterleitet.
Quote from: fw115 on July 10, 2025, 06:57:56 PMDMZ-Host kann nicht outbound pingen → Packet Capture zeigt keinen Tunnel-Traffic.
Rules erstmal any any wegen Test
Mit der Policy Routing Regel am DMZ sollte der eigentlich über die VPN raus gehen.
Hast du das mit einer IP probiert?
Der Fallstrick ist hier, dass der Host vielleicht einen internen DNS Server konfiguriert hat, die Policy-Routing Regel die Requests aber auf das Gateway schickt.
Wenn internes DNS verwendet werden soll, braucht es dafür eine zusätzliche Regel oberhalb dieser. Dasselbe gilt für etwaige andere interne Verbindungen.
Aber möchtest du überhaupt jeglichen Upstream Traffic von der DMZ über die VPN routen? Für den Zugriff von außen ist das nicht nötig. Eventuell ist auch deine VPN dafür gar nicht geeignet, und deshalb geht es beim Provider nicht weiter?
Das Outbound NAT wirkt sich nur auf ausgehende Verbindungen aus.Quote from: fw115 on July 10, 2025, 06:57:56 PMPort-Forward (Inbound NAT)
Feld Wert
Interface VPNCLIENT
Destination 195.xx.xx.x7
NAT 1:1 oder Port-Forward auf 192.168.100.x
Services ICMP (Ping) für Test
Wird ICMP auch an dich weitergeleitet?
Für den Zweck, den ich oben angenommen habe, musst du auf jeden Fall sichergehen, dass keine Pass-Regel am OpenVPN Tab auf den weitergeleiteten Traffic vom VPN Provider zutrifft. Wenn du keine anderen OpenVPN Instanzen laufen hast, entferne am besten alle Regeln. Fall doch, musst du sie so anlegen, dass sie nicht zutreffen oder besser auch den anderen Instanzen, die eingehende Verbindungen erlauben sollen, ebenso ein Interface zuweisen.
QuoteDer Fallstrick ist hier, dass der Host vielleicht einen internen DNS Server konfiguriert hat, die Policy-Routing Regel die Requests aber auf das Gateway schickt.
Wenn internes DNS verwendet werden soll, braucht es dafür eine zusätzliche Regel oberhalb dieser. Dasselbe gilt für etwaige andere interne Verbindungen.
Hmmm... Das könnte ein Problem sein. Natürlich soll der DMZ Host für 192.100.x.x den internen DNS nutzen. Für alles andere extern.
In wie weit das jetzt im einzelnen zum Problem werden kann, ist mir noch gar nicht klar bzw. war mir gar nicht bewusst.
Wenn ich mit dem Host in der DMZ
ping 8.8.8.8
bekomme ich als antwort:
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.137 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.108 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=0.107 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=4 ttl=64 time=0.136 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=5 ttl=64 time=0.131 ms (DIFFERENT ADDRESS!)
Das VPN hat keine Port Filter oder ähnliches. Das liegt alles auf meiner Seite.
QuoteAber möchtest du überhaupt jeglichen Upstream Traffic von der DMZ über die VPN routen? Für den Zugriff von außen ist das nicht nötig. Eventuell ist auch deine VPN dafür gar nicht geeignet, und deshalb geht es beim Provider nicht weiter?
Das VPN soll für Web und Mailserver sein und diesen die festen IPs über das VPN zur Verfügung stellen.
Mein ganzer Hobby Kram läuft darüber ( Web und Mail und noch von div. Freunden und Verwanten)
Vielleicht ist mein Ansatz mit der OPnsense hier auch vollkommen falsch gedacht.
Naja, jetzt bin ich erstmal bis Montag unterwegs und schau dann nochmal wie es weiter geht.
Danke für die Antwort.