OPNsense Forum
International Forums => German - Deutsch => Topic started by: thera on October 29, 2021, 03:05:41 pm
-
Hallo,
Ich habe eine OPNsense VM erstellt die WAN UND lan den selben Adapter hat. Ich bin straight nach Anleitung (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten) vorgegangen und bekomme auch eine VPN Verbindung erstellt. Allerdings bekomme ich keinen Zugriff auf das Lan. Der Zugriff auf die Sense funktioniert über das LAN und VPN Netzwerk. Hier die Daten:
LAN 192.168.26.0/24 auf das ich Zugriff benötige
WAN IP OPNSENSE 192.168.26.2
LAN IP OPNSENSE 192.168.26.1
VPN OPNSENSE 10.10.0.0/24
in der Firewall habe ich regeln erstellt, sodass ich vom WAN in das VPN Netzwerk komme und habe auch gesagt, dass 192.168.26.0 mein Local Network ist im OPNSENSE Server. Wenn ihr mehr Infos braucht, geht mir bitte Bescheid. Erster Versuch mit OPNSENSE :)
-
Lösch das WAN komplett - ein Netz, ein Interface.
Dein Router, der vor der OPNsense ist, braucht eine Route: 10.10.0.0/24 --> OPNsense.
-
Vielen Dank für die schnelle Rückmeldung. Route in der Fritzbox bedeutet dann:
IPv4 Netzwerk: 10.10.0.0/24
Sub: 255.255.255.0
Gateway: 192.168.26.1 (OPNSENSE)
Korrekt?
und muss ich in der Firewall die Regel dann für das LAN anlegen?
-
Auf dem LAN ist per Default eine "allow all" Regel.
-
hm. läuft nicht
-
Mach mal die Firewall komplett aus ...
-
Sorry, aber wie :)?
-
Firewall > Advanced ... irgendwo dort.
-
Danke, das war es leider nicht (Punkt ist unter https://XXX.XXX.XXX.XXX/system_advanced_firewall.php
habe ich die Route richtig herum eingetragen?
-
Also Dein LAN mit der Fritzbox ist 192.168.26.0/24? Welche Adresse hat die Fritzbox?
Du hast Dein WAN-Interface auf der OPNsense komplett gelöscht?
Die OPNsense hat die Fritzbox als Default-Gateway?
Dein OpenVPN Netzwerk ist 10.10.0.0/24?
Die Fritzbox hat eine Route 10.10.0.0/24 --> 192.168.26.1 (OPNsense)?
Du hast die Firewall global ausgemacht auf der Sense?
Wenn Du alle Fragen mit ja beantworten kannst, muss das eigentlich funktionieren.
Das OpenVPN muss den Clients natürlich eine Default-Route "reinpushen". Oder wenigstens eine Route nach 192.168.26.0/24, wenn es nur um den LAN-Access geht und Internet beim Client weiterhin lokal raus soll.
Alle beteiligten Seiten müssen wissen, wo alle beteiligten Netze jeweils sind. Damit Rechner in deinem LAN 192.168.26.0/24 nicht alle einzeln angefasst werden müssen, trägst Du die Route zum OpenVPN auf der Fritzbox ein wie oben geschrieben. Ich gehe davon aus, dass alle Systeme in Deinem LAN die Fritzbox als Default-Gateway haben. Bei der OPNsense fehlt das vielleicht noch - wieder s.o.
-
Moin,
es hat geklappt, ich hatte einen Fehler in der Route der FB (hatte die ip der FB angegeben und nicht der OPNSENSE). Vielen lieben Dank, großartige Hilfe!!
Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?
Also Dein LAN mit der Fritzbox ist 192.168.26.0/24? Welche Adresse hat die Fritzbox? Ja, 192.168.26.95
Du hast Dein WAN-Interface auf der OPNsense komplett gelöscht? Ja
Die OPNsense hat die Fritzbox als Default-Gateway? Ja (Unter System, Gateways, Single?)
Dein OpenVPN Netzwerk ist 10.10.0.0/24? Ja
Die Fritzbox hat eine Route 10.10.0.0/24 --> 192.168.26.1 (OPNsense)? Jetzt ja, hatte davor den falschen Gateway drin (de der FB selbst)
Du hast die Firewall global ausgemacht auf der Sense? Ja, aber ESXI nicht erreichbar
Wenn Du alle Fragen mit ja beantworten kannst, muss das eigentlich funktionieren.
Das OpenVPN muss den Clients natürlich eine Default-Route "reinpushen". Oder wenigstens eine Route nach 192.168.26.0/24, wenn es nur um den LAN-Access geht und Internet beim Client weiterhin lokal raus soll.
Alle beteiligten Seiten müssen wissen, wo alle beteiligten Netze jeweils sind. Damit Rechner in deinem LAN 192.168.26.0/24 nicht alle einzeln angefasst werden müssen, trägst Du die Route zum OpenVPN auf der Fritzbox ein wie oben geschrieben. Ich gehe davon aus, dass alle Systeme in Deinem LAN die Fritzbox als Default-Gateway haben. Bei der OPNsense fehlt das vielleicht noch - wieder s.o.
-
Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?
Prüf beim ESXi unter "TCP/IP Stacks", ob er die Fritzbox als Default-Gateway eingetragen hat.
Gruß
Patrick
-
Das war's! Ich bedanke micht recht herzlich!
Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?
Prüf beim ESXi unter "TCP/IP Stacks", ob er die Fritzbox als Default-Gateway eingetragen hat.
Gruß
Patrick
-
Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.
VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1
Vielen Dank!
-
Habe leider seit einer Woche gebastelt und immer noch keine Möglichkeit gefunden das hinter der UNIFI Sec Gateway zu betreiben... falls noch jemand eine Idee hat?
Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.
VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1
Vielen Dank!
-
Hi,
UniFi, nun, manche Dinge scheinen nur noch im neuen UI zu funktionieren. Dein Screenshot zeigt das alte UI.
Es sieht richtig aus, probiere es doch einfach mal im neuen UI der USG.
Gruß
KH
-
Werde es mal testen aber aus Erfahrung funktioniert in der neuen deutlich weniger..:( es gibt nicht mal mehr alle Funktionen. Einfaches ändern der IP Adresse scheitert schon. Richtig uebel
Hi,
UniFi, nun, manche Dinge scheinen nur noch im neuen UI zu funktionieren. Dein Screenshot zeigt das alte UI.
Es sieht richtig aus, probiere es doch einfach mal im neuen UI der USG.
Gruß
KH
-
hat leider nicht geklappt..
Hi,
UniFi, nun, manche Dinge scheinen nur noch im neuen UI zu funktionieren. Dein Screenshot zeigt das alte UI.
Es sieht richtig aus, probiere es doch einfach mal im neuen UI der USG.
Gruß
KH
-
Habe leider seit einer Woche gebastelt und immer noch keine Möglichkeit gefunden das hinter der UNIFI Sec Gateway zu betreiben... falls noch jemand eine Idee hat?
Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.
VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1
Vielen Dank!
Was ist denn genau der Fehler? Kommt der Tunnel nicht zustande? Bislang weiß ich nur was von der Fritte aber nicht was mit der USG davor jetzt nicht funktioniert? :)
-
Habe leider seit einer Woche gebastelt und immer noch keine Möglichkeit gefunden das hinter der UNIFI Sec Gateway zu betreiben... falls noch jemand eine Idee hat?
Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.
VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1
Vielen Dank!
Was ist denn genau der Fehler? Kommt der Tunnel nicht zustande? Bislang weiß ich nur was von der Fritte aber nicht was mit der USG davor jetzt nicht funktioniert? :)
Moin :) also der Tunnel baut sich auf, ich komme aber trotz der Route nicht in das interne Netz (192.168.2.0/24) über die VPN habe ich Zugriff auf die OPNsense... keine Fehlermeldungen..
-
OK also Tunnel ist da. Du kommst auch auf die OPN dahinter, also die .2.2 so wie ich das verstehe?
- Die .2.1 ist das Default GW? Von allen Geräten?
- Route auf der Unifi für 10.10.0.0/24 ist noch drin wie im Screenshot?
- Kannst/hast du dich mal auf der USG angemeldet per SSH? Da mal in die Routing Table reingeschaut oder mal gepingt?
- je nachdem wie die USG tickt: evtl. braucht die noch eine Regel von 192.168.2.0/24 nach 10.10.0.0/24 dass es erlaubt wird? Die Sensen haben da ja den Haken für automatische Regel für Traffic auf gleichem Interface. Aber für die USG ist das Traffic der auf LAN reinkommt und für sie seltsam auf dem LAN wieder rausgeht. Daher vllt. das Problem und die Notwendigkeit für ne Regel.
Ansonsten: hat die USG noch ein anderes freies Interface das man extra konfigurieren kann? So à la DMZ?
-
Sorry, die Antwort hatte ich gar nicht gesehen, ich geh mal in Fett drauf ein:
OK also Tunnel ist da. Du kommst auch auf die OPN dahinter, also die .2.2 so wie ich das verstehe?
- Die .2.1 ist das Default GW? Von allen Geräten? Ja
- Route auf der Unifi für 10.10.0.0/24 ist noch drin wie im Screenshot? Ja
- Kannst/hast du dich mal auf der USG angemeldet per SSH? Da mal in die Routing Table reingeschaut oder mal gepingt? Bild anbei
- je nachdem wie die USG tickt: evtl. braucht die noch eine Regel von 192.168.2.0/24 nach 10.10.0.0/24 dass es erlaubt wird? Die Sensen haben da ja den Haken für automatische Regel für Traffic auf gleichem Interface. Aber für die USG ist das Traffic der auf LAN reinkommt und für sie seltsam auf dem LAN wieder rausgeht. Daher vllt. das Problem und die Notwendigkeit für ne Regel. Ne Idee wo die Regel hingehört? Da gibts ja ne große Auswahl.. Siehe Bild, habe meiner meinung nach auch schon alles Versucht.. wenn ich das richtig verstehe, müsste das bei LAN Lokal rein, Quelle wäre dann mein 2er Netz und Ziel OPN Netz... oder?
Ansonsten: hat die USG noch ein anderes freies Interface das man extra konfigurieren kann? So à la DMZ? leider nicht, verstehe nicht, wieso das bei der FB So easy funktioniert