Hallo zusammen,
nutze das Legacy Plugin.
2 Zustände:
Lasse ich beim VPN Client die routen ziehen komme ich über das VPN an meine Webserver , ping usw. So wie es eben soll.
Dafür kann ich dann nicht mehr aus dem LAN raus ins Internet.
Mach ich beim VPN Client no route pull, komme ich vom LAN ins Netz und dafür aber nicht mehr an meiner Webserver und co.
Was übersehe ich ?
Config:
LAN > 192.168.1.0/24
WAN > über Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 groutet ist
Die Firewall DMZ hat die erste Nutzbare IP Adresse des / 29 als Interface Adresse
DMZ > 195.8.xx.xx.1/29
Füge bei der Allow-Regel am LAN deinen Gateway ausdrücklich hinzu.
OK, irgendwie bin ich echt zu blöd für Networking....
Aber macht es nicht Sinn, dass WAN > über Vlan 132 32.xx.xx./24 das default GW ist ?
Im Moment ist das VPN das default GW und ich weiss nicht warum ?
Hier mal das was unter System > Gateways > Configuration ist:
Irgendwie sieht das auch nicht ganz so richtig aus.
Quote from: fw115 on Today at 06:04:22 PMAber macht es nicht Sinn, dass WAN > über Vlan 132 32.xx.xx./24 das default GW ist ?
Hängt von deiner Umgebung ab.
Aber es funktioniert doch, wenn du die VPN deaktivierst? So wird das nicht die Ursache deiner Probleme sein.
Quote from: fw115 on Today at 06:04:22 PMIm Moment ist das VPN das default GW und ich weiss nicht warum ?
Wenn der Server die Default-Route pusht und "route no-pull" nicht aktiviert ist, ist das so.
Ich weiß noch immer nicht, was du eigentlich haben möchtest. Nur Zugriff aus der VPN aufs DMZ? Nur DMZ über VPN? Allen Upstream Traffic über die VPN?
Für Upstream Traffic über die VPN braucht es eine Outbound NAT Regel am VPN Interface.
Seine DMZ bekommt über das VPN ein globales /29 geroutet ...
Ja, hatte ich noch in Erinnerung. Aber das beantwortet nicht, wie er mit ausgehenden Traffic verfahren möchte.
Genau.
Hier nochmal meine Gateways als Screen Shot.
Warum steht das WAN mit defunct (upstream) da drin ? Versteh ich nicht.
Quote from: viragomann on Today at 09:13:01 PMJa, hatte ich noch in Erinnerung. Aber das beantwortet nicht, wie er mit ausgehenden Traffic verfahren möchte.
Also:
Alles aus dem und in das LAN über :
WAN > über Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
alles aus der DMZ und in die DMZ :
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 groutet ist 1 nutzbare /29 Adresse hat das Interface der DMZ.
Wenn du verschiedene Gateways nutzen möchtest, kommst du um Policy-Routing nicht herum.
Das würde ich dann für die DMZ machen.
Also erst mal im OpenVPN Client "route no-pull" aktivieren.
Und dann in der DMZ Regel, die ausgehenden Traffic erlaubt, das VPN Gateway setzen.
Benötigt die DMZ Zugriff auf lokale Services, bspw. DNS auf der OPNsense, musst du eine eigene Regel dafür erstellen, die nur für Zielport 53 und diese über die Policy-Routing setzen, denn diese zwingt allen Traffic, auf den die Bedingungen zutreffen (Protokoll, Quell-IP, -Port, Ziel-IP, -Port) auf das Gateway.
Stimme zu - über das OpenVPN keine Default-Route ziehen. reply-to einschalten bzw. eingeschaltet lassen (ist der Default) und für die DMZ eine Policy-Regel anlegen.
OK,
habe route- no-pull gesetzt.
dann in OPENvpn eine Rule erstellt:
ipv4 ICMP > Soource * > Port * > Dest. DMZ Net > Port * > Gateway _VPN_LEG_VPNv4
Kein Ping mehr möglich.
Jetzt kommt sicher wieder mein Problem, dass ich Garantiert im falschem Interface bin
oder nicht verstanden habe wie die DMZ Policy-Regel richtig angelegt wird, da kein ping usw. mehr funktioniert.
Quote from: fw115 on Today at 10:00:34 PMJetzt kommt sicher wieder mein Problem, dass ich Garantiert im falschem Interface bin
Interface könnte VPN_LEG sein, ist aber nicht entscheidend für diesen Zweck.
Aber die Destination muss any sein.
DMZ net würde nur Traffic auf die FW Interface IP betreffen.
Du hast eine globale Floating Rule, die "ping" erlaubt wie in dem anderen Thread empfohlen? Dann solltest du die VPN-Adresse der OPNsense und die Adresse der OPNsense in der DMZ bereits aus dem Internet anpingen können. Klappt das?
Die Policy-Rule brauchst du für den ausgehenden Verkehr der Server in der DMZ - die gehört also auf das DMZ-Interface.
Und für eingehenden Verkehr brauchst zu z.B.
Interface: das OpenVPN-Dings
Source: any
Destination: DMZ net
Destination port: z.B. 80 und 443 - man kann einen Alias bauen mit beidem und den z.B. "Web" nennen
Das sollte es eigentlich sein. Der VPN-Provider schickt den Kram ja in den Tunnel und dann landet er bei deinen Servern. Der "state" in Verbindung mit reply-to (per Default an) sollte dafür sorgen, dass die Antworten auch wieder im Tunnel landen.
Quote from: Patrick M. Hausen on Today at 10:17:50 PMDu hast eine globale Floating Rule, die "ping" erlaubt wie in dem anderen Thread empfohlen? Dann solltest du die VPN-Adresse der OPNsense und die Adresse der OPNsense in der DMZ bereits aus dem Internet anpingen können. Klappt das?
Wenn route-no-pull nicht disabled ist, dann ja. Nehme ich route pull raus, vorbei mit ping.
Quote from: Patrick M. Hausen on Today at 10:17:50 PMDie Policy-Rule brauchst du für den ausgehenden Verkehr der Server in der DMZ - die gehört also auf das DMZ-Interface.
Ich glaube ich check mal wo was lang geht mit :
curl --interface igb0 https://ifconfig.me
Und für eingehenden Verkehr brauchst zu z.B.
Interface: das OpenVPN-Dings
Source: any
Destination: DMZ net
Destination port: z.B. 80 und 443 - man kann einen Alias bauen mit beidem und den z.B. "Web" nennen
Das sollte es eigentlich sein. Der VPN-Provider schickt den Kram ja in den Tunnel und dann landet er bei deinen Servern. Der "state" in Verbindung mit reply-to (per Default an) sollte dafür sorgen, dass die Antworten auch wieder im Tunnel landen.
Genau so habe ich es auch gemacht. Allerdings ging dann alles über das VPN.
iCh glaube ich check das mal mit:
curl --interface igb0 https://ifconfig.me
Komm doch am Freitag mal zum virtuellen Stammtisch, dann gucken wir uns den Kram live an.
Der Jens hat mit OpenVPN auch noch deutlich mehr Erfahrung als ich, ich benutz wo ich kann lieber IPsec oder WireGuard.
Stammtisch-Info: https://forum.opnsense.org/index.php?topic=18183.0
Quote from: Patrick M. Hausen on Today at 10:38:36 PMKomm doch am Freitag mal zum virtuellen Stammtisch, dann gucken wir uns den Kram live an.
Der Jens hat mit OpenVPN auch noch deutlich mehr Erfahrung als ich, ich benutz wo ich kann lieber IPsec oder WireGuard.
Stammtisch-Info: https://forum.opnsense.org/index.php?topic=18183.0
Ich hätte auch gerne was anderes, leider bekomme ich von meinem Provider nichts anderes. Ich bin schon froh das ich meine IP Adressen überhaupt so bekomme.
Ich würde wirklich sehr gerne vorbei schauen, leider bin ich genau dieses WE schon verplant. Wie das so ist im Leben.
Und ich merke auch, dass Netzwerken nicht ganz so meine Welt ist (wohl auch der Grund warum ich IPv6 hasse wie die Pest, aber das ist ein anderes Thema).
Vielleicht erbarmt sich ja jemand und schaut mal für 15 min in der Woche danach mit mir auf mein System.
Mal sehen, ansonsten wird das wohl bis zum 22. warten müssen.
Danke an alle für die Hilfe!