Moin zusammen,
ich frage mich langsam ob ich zu dumm bin für die Opnsense.
Nachdem das Openvpn Problem ja nun gelöst ist, hatte ich gedacht:
Machste mal eben ein paar Rules für SSH und co und ran geht es an die Serverconfig zum testen.
Hmm oder auch nicht.
Hier wieder das Problem mit der Unübersichtlichkeit der OPNsense und meiner Unwissenheit ob deren Funktion.
In Erwartung SSH freizugeben, habe ich folgende Rule erstellt:
DMZ:
interface DMZ
direction in
TCP ipv4
proto tcp
source any
source port 22
dest 195.1.2.3/29
gateway VPN
funktioniert nicht
OK, dann gateway auf default.
funktioniert auch nicht
host auf 195.1.2.3/32 geändert
funktioniert auch nicht
dann in VPN dies rule erstellt
funktioniert auch nicht
So langsam frage ich mich ob ich zu doof bin......
195.1.2.3 scheint eine WAN-IP zu sein... Wenn Du zwei Netzwerke mit OpenVPN verbunden hast, dann handelt es sich doch vermutlich um zwei (hoffentlich) disjunkte RFC1918-Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24.
Wenn Deine Firewall-Regeln das erlauben, ist doch dann der Zugriff von IPs gegenseitig möglich, da braucht es jenseits der Regeln, die für OpenVPN überhaupt nötig sind, doch keine Spezialregel für Port 22 (und schon gar nicht auf dem WAN). Natürlich könnte man beim gegenseitigen Zugriff auch Einschränkungen machen, das sind dann aber welche, die sich auf die LAN-IPs beziehen.
Quote from: meyergru on July 28, 2025, 11:08:32 AM195.1.2.3 scheint eine WAN-IP zu sein... Wenn Du zwei Netzwerke mit OpenVPN verbunden hast, dann handelt es sich doch vermutlich um zwei (hoffentlich) disjunkte RFC1918-Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24.
Wenn Deine Firewall-Regeln das erlauben, ist doch dann der Zugriff von IPs gegenseitig möglich, da braucht es jenseits der Regeln, die für OpenVPN überhaupt nötig sind, doch keine Spezialregel für Port 22 (und schon gar nicht auf dem WAN). Natürlich könnte man beim gegenseitigen Zugriff auch Einschränkungen machen, das sind dann aber welche, die sich auf die LAN-IPs beziehen.
Nee , dass is hier etwas anders:
LAN > 192.168.1.0/24
WAN > Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
DMZ > 192.168.100.0/24
OpenVPN > 213.240.xx.xx./32 auf das das 195.8.xx.xx/29 geroutet ist
SSH, wie dann auch https, mail usw soll dann from any auf eben eine adresse aus dem /29 erlaubt sein.
Du willst doch von außen, also über den VPN-Tunnel per SSH auf deine Server zugreifen, richtig? Also ist die Regel:
Interface: OpenVPN
Direction: in
Source: any
Destination: DMZ net
Destination port: SSH/22
Action: allow
Die Regeln kommen immer dort hin, wo die Verbindung initial aufschlägt. Es sind ja nicht die Server, die die Verbindung aufbauen.
Und "in" und "out" sind aus der Sicht der OPNsense. Ein Paket für eine SSH-Verbindung kommt durch den Tunnel über deinen VPN-Provider zur OPNsense rein - deshalb "in".
Hallo Patrick,
mama mia, ob ich das jemals begreifen werde ?
Das war es. Also müssen meine Rules in OPENvpn erstellt werden.
Das mit den ganzen Interfaces ist etwas was ich noch nicht hin bekomme. Das war bei der anderen Firewall deutlich einfacher und übersichtlicher.
So wie es aussieht bin ich ja grundsätzlich auf dem richtigem Weg, greif dann aber vollkommen ins Klo, weil ich meine Rules mal wieder im falschem Interface erstelle und mich wundere warum es nicht geht.
Immer da, wo die Pakete ankommen. Ist aber doch bei einer Cisco PIX/ASA oder einer Sidewinder auch nicht anders. Was zum WAN oder zum OpenVPN rein kommt, gehört zum WAN oder zum OpenVPN.
Dennoch lauf ich immer wieder vor die Wand.
Beispiel:
DNS und HTTPS
Ich möchte natürlich beides vom DMZ Net oder einem Host aus der DMZ nach draußen elauben. Soweit so gut.
Ich bekomme das nur über eine Floating Rule hin.
Bedeutung für mich: Ich bin schon wieder auf dem falschem Interface, so das es nicht funktioniert.
Dann bei DNS und Unbound. Speziell bei unbound weiss ich auch noch nicht was das Ding wie so macht und warum.
Meine DNS Auflösung die eben noch funktioniert hat ist nun dahin. Keine Ahnung was nun wieder hier passiert ist.
Bei der alten Firewall ganz Easy > DNS unter Global eingetragen, dann für welche Interfaces ,1 Rule dazu, fertig läuft. ( Alte Firewall Astaro / Sophos UTM)
Hier weiß ich schon wieder nicht wo ich den Fehler eingebaut haben könnte und in welcher Kombination Rules mit Interface oder doch im Unbound.
wenn ich auf der Firwall pinge kommt jetzt:
root@host:~ # ping www.heise.de
PING www.heise.de (193.99.144.85): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.070 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.035 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.048 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.030 ms
^C
--- www.heise.de ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.030/0.046/0.070/0.015 ms
Also meine Namensauflösung dahin. Zum Teil. Welcher Teil davon weiß ich noch nicht.
Interface: DMZ
Direction: in
Source: DMZ net
Destination: any
Destination port: 80, 443, ...
Action: allow
Zum Beispiel.