OPNsense Forum

International Forums => German - Deutsch => Topic started by: gerry on October 29, 2018, 10:32:53 pm

Title: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on October 29, 2018, 10:32:53 pm
Guten Tag Zusammen,

ich Arbeite gerade an einem Aufbau für einen OpenVPN Server.
Dabei teste ich auch OpenSense und bin auf ein Problem gestoßen in v18.1.0
und auch in v18.7.6 habe ich es nun getestet.

Immer wenn ich den OpenVPN Server Wizard nutze und durchgehe. Bis jetzt würde ich sagen
gefühlt egal was ich einstellt auf den Seiten, "killt" am ende der Wizard immer die Standard WAN Firewall Regeln.

Soll heißen vor dem Wizardstart für OpenVPN Server ist in der Firewall Regel für WAN immer
die Regel "von überall auf Dienste Zugriff über Port 80/443". Wenn ich dann durch den Wizard + Client Konfig gehe komme ich aber nach wenigen Sekunden nicht mehr über das WAN auf die OpenSense WebUI.

Da ich diesen Fehler immer wieder hatte und jedes mal ein Backup einspielen musste, habe ich eine 2 Regel angelegt in der steht erlaube alles auf WAN von Quell IP (hier steht meine IP drin). Und nun ging es auf einmal
ohne Fehler jedoch sehe ich nun das die Standard Regel nach dem Wizard jedes mal einfach Verschwindet.

Dies klingt für mich sehr nach BUG oder mache ich etwas im Wizard Falsch das er die Firewall Regeln alle überschreibt ? EDIT: Oder kann es sogar sein wenn ich eine OpenSense als Client einstelle er dann in
dieser alle WAN Regeln löscht ?

Was vielleicht noch wichtig ist OpenSense hat nur ein Interface inkl. fester WAN IP.

Gruß Gerry
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: franco on October 30, 2018, 12:35:29 pm
Guten Tag gerry,

Auf welchem Port soll denn der OpenVPN Server laufen?


Grüsse
Franco
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on October 30, 2018, 02:55:01 pm
Guten Tag Franco,

ich hatte es einmal versucht über "nächster freier port" und einmal über die Eingabe von 1194.
Habe aber das Gefühl es liegt garnicht an den OpenVPN Server Einstellungen sondern sogar an den OpenVPN Client
Einstellungen. Ich werde es heute Abend nochmal testen von einer Frischen Installation aus und alle Steps hier posten und wann die Firewall sich verstellt.

Gruß Gerry
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on October 31, 2018, 10:04:24 pm
Guten Tag Zusammen,

ich habe es jetzt noch einmal getestet und der Fehler mit der Firewall tritt bei folgenden Ablauf bei mir auf:

1. Grund Install (also alles Frisch)
2. Eigene IP in die Firewall Ausnahme eintragen und für Port und Proto auf any (jetzt ist die WAN Regel noch zusehen)
3. Unter VPN > OpenVPN > Clients gehen
4. Ein Verbindung anlegen mit nur Remote Server + Zert Stelle und ohne PW/USER
5. Speichern
5. Unter Firewall fehlt nun die WAN regel für 80,443 von any

Zu meinen Aufbau kurz, beide Test Systeme Server und Client haben derzeit nur ein Interface (WAN).
Die Grundinstall ist eine 18.1 gewesen die ich ohne Fehler auf 18.7 upgedatet habe.



Gruß Gerry

Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: JeGr on November 05, 2018, 05:15:55 pm
> 5. Unter Firewall fehlt nun die WAN regel für 80,443 von any

Bist du dir sicher, was du da schreibst? DEFAULT gibt es sicher KEINE Pass Regel für 80,443 auf dem WAN - nur auf dem LAN ist die - und mit guten Grund. Warum sollte bei einer Grund-Installation vom WAN aus etwas erlaubt sein?

> 2. Eigene IP in die Firewall Ausnahme eintragen und für Port und Proto auf any (jetzt ist die WAN Regel noch zusehen)

in welche Firewall Ausnahmen?
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on November 05, 2018, 07:06:33 pm
Hallo,

irgend wie hat er beim letzten Post der Anhang gefehlt da er zu groß war mir 320kb :D....
Ich gehe davon aus das 80,443 offen ist weil bei der Installation nur ein Interface da ist und das ist eben
das WAN Interface da der Zentrale Router kein 2. Interface hat.

Aber vielleicht liegt es auch daran das eben der OpenVPN Client Konfigurator damit nicht klar kommt und
im Bereich WAN Firewall eben richtigerweise wieder alles löscht.

Gruß Gerry

Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: franco on November 06, 2018, 11:32:29 pm
Hopsala, ich glaub jetzt kapier ich wo das Problem liegt:

https://github.com/opnsense/core/commit/0b62f210

Die GUI zeigt es noch falsch, aber Verbindung sollte bleiben. Patch einspielen mit:

# opnsense-patch 0b62f210


Grüsse
Franco

Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on November 07, 2018, 12:51:47 am
Hallo,

werde den Patch heute Abend mal Test.
Aber wie ganz am Anfang gesagt.

Wenn ich meinen WAN IP vom Zugreifenden Client nicht
auch in die Firewall Regel schreibe. Fliege ich jedes mal
aus der WebUI wenn ich die OpenVPn Client Konfig durch bin.

Und sofern ich das sehe ist nach dem die Konfig durch ist immer
alles leer in der Firewall was mit WAN zutun hat.

Da meine IP aber auf from any to any steht komme ich halt weiter auf
OpenSense.


Teste aber den Patch vielleicht besteht ja dennoch ein Zusammenhang mit
der Konfig GUI.

Gruß Gerry
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: franco on November 07, 2018, 12:13:25 pm
Ja, durch das erzeugen des zweiten "Interfaces" (OPENVPN) wird die Anti-Lockout-Regel deaktiviert. Das soll aber nicht sein, weil OPENVPN kein echtes Interface ist, sondern eine Gruppe.

Der Code nimmt an sobald es ein zweites echtes Interface gibt ist LAN wieder aktiv... OPT bekommt kein Anti-Lockout. Aber es muss ja in deinem Fall auf WAN bleiben. :)


Grüsse
Franco
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on November 07, 2018, 09:34:50 pm
Hallo,

habe jetzt den Patch über die Shell drauf geladen auch ohne Fehlermeldung und dann noch
ein Reboot gemacht.

Leider bleibt der Fehler bestehen.

Neben Frage, könnte man den Befehl auch über die WebUI macht oder geht
das nur in der CLI/SHELL ?

Gruß Gerry
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: franco on November 07, 2018, 10:28:09 pm
*Welcher* Fehler? Auf der GUI oder Firewall Zugriff?
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on November 08, 2018, 07:23:44 pm
Hallo,

oh sry, dachte reicht aus weil es für mich nur den Zugriff Fehler gibt der durch die Firewall kommt.

Also habe das System aus einer Sicherung wieder hergestellt, wo das System ein Frisches 18.7.6
ohne jede Konfig ist. Dann habe ich wieder zur sicherheit eine Firewall Regel gemacht mit meiner IP mit Ports
ANY und danach habe ich den OpenVPN Client Wizard in der WebUI genutzt.
Nach dem Speichern war die Firewall Regel unter WAN wieder weg und ich konnte nur von einem System
zugreifen.

Wenn du das bei dir schlecht nachstellen kannst , gebe ich dir gerne Zugriff inkl. Snapshots.
Gerne über PM einfach bescheid geben.

Gruß Gerry
Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: franco on November 08, 2018, 10:20:20 pm
Hallo Gerry,

Hab gerade noch mal durchgespielt.

Neue VM, nur WAN, dann OpenVPN client angelegt, Firewall neu geladen -> keine GUI mehr

Dann patch eingespielt und Firewall neu geladen auf der Console:

# opnsense-patch 0b62f210
# /usr/local/etc/rc.filter_configure

Dann konnte ich wieder auf die GUI der VM... die Korrektur der GUI Anzeige fehlt noch. Mach ich aber gleich. :)


Grüsse
Franco

Title: Re: OpenVPN Wizard killt WAN Firewall Einstellung
Post by: gerry on November 09, 2018, 08:57:00 pm
Hallo,

ach je. Dann habe ich dich leider Falsch Verstanden.
Ich habe nicht geprüft ob die Regel da ist und nur die GUI Falsch ist.

Habe nur drauf geachtet ob Sie weg ist.
Kann ich aber nochmal Testen bei mir , kann ja die Regel in der WebUI für
meine IP rausnehmen und es sollte dennoch gehen.

Danke

Gruß Gerry