OPNsense Forum
International Forums => German - Deutsch => Topic started by: shuvitcrew on December 30, 2021, 12:26:19 am
-
Liebe Community,
ich stehe vor einem Problem, bei dem ich zur Zeit keine Lösung finden kann. Ich habe meinem Bruder zu Weihnachten eine OPNsense-Firewall auf einem Thomas Krenn LES v2 geschenkt. Er hat Internet über einen A1-Router (Österreich), bei dem man nur DMZ einstellen kann, aber sonst nichts. Wir haben die OPNsense in die DMZ gepackt mit MAC-Adresse registriert und auf der OPNsense das Gateway auf die A1-Box eingestellt. Die Nutzung des Internet aus mehreren VLAN's funktioniert einwandfrei. Doppeltes NAT macht dafür auch keine Problem. DynDNS per Cloudflare geht ganz fein und auch Let's Encryt-Zertifikat mit DNS-01 läßt sich einwandfrei erstellen. Soweit sogut.
Für meinen Bruder ist es von größter Bedeutung, dass er sich per VPN mit seinem Netz verbinden kann (300 Tage pro Jahr auf Montage). Hier beginnen die eigentlichen Probleme: laut vielen Beiträgen zu diesem Thema ist nun klar, dass man statische Routen von der A1-Box zur OPNsense benötigt um das zum Laufen zu bringen. Leider weigert sich der Provider weitere Einstellungen an ihrem Router vorzunehmen.
Wir haben für die Fernwartung seines Netzwerks eine IPsec Site-2-Site Verbindung zu meinem Netzwerk erstellt (auch OPNsense), die auf seltsame Weise auch funktioniert. Die Verbindung muss von seiner OPNsense aufgebaut werden, dann funktioniert diese auch recht flott. Für die sinnvolle Nutzung mit Clients wäre aber OpenVPN die erste Wahl. Hier beginnt das eigentliche Problem: da es keine Route von der A1-Box zu OPNsense gibt läuft jeder Verbindungsversuch ins leere.
Gibt es eine Möglichkeit, dass man die "dumme" A1-Box austricksen kann? Ab hier stehe ich komplett im Wald!
An dieser Stelle möchte ich mich bei allen Usern diese Forums ganz herzlich bedanken! Ohne dieses Forum wäre ich als Laie niemals soweit gekommen. Die sehr umfangreichen und leicht verständlichen Erklärungen der Insider haben mir sehr viel geholfen. Besonders wichtig ist es mir zu erwähnen, dass hier ein sehr freundlicher und verständnissvoller Umgangston gepflegt wird, auch wenn manchmal sehr koriose Fragen gestellt werden.
Liebe Grüße aus Wien und frohe Weihnachten nachträglich,
Christian
-
kann man wirklich sn dem provider router keine konfiguration machen (selb an einer fritzbox von einem provider kann man was machen). wenn das so ist können wir auch nicht helfen.
- eine mögliche lösung währe das dein bruder einen root server(vm) bei einem hoster bucht und dort einen openvpn server aufsetzt und die sense als client und dann alles durch den vpn tunnelt so das er auch nach hause an seine daten kommt (ist jetzt alles nur etwas vereinfacht erklärt)
Gesendet von iPad mit Tapatalk Pro
-
Das ist schon älter könnte aber in die Richtung gehen.
https://www.a1community.net/internet-fuer-zu-hause-449/firewall-nach-a1-router-250174
-
ich hab zwar selber kein A1, glaube aber fast, dass A1 Carrier Grade NAT (CGN) macht… da wirds mit offenen Port weiterleiten für VPN schwierig, ohne das man eine von öffentliche/public IP beantragt
-
Herzlichen Danke für die aufgezeigten Lösungswege. Wir werden heute mal bei A1 anrufen und erfragen, welche Möglichkeiten der Lösung angeboten werden.
-
Ich habe oft den Fall, dass ich vom Smartphone auf irgendwelche PDF zuhause zugreifen muss.
So habe ich es gelöst:
- Habe auch CG-NAT
- Habe mir einen VPS Server gemietet für 1,99 Euro im Monat.
- Hab dort Linux und Wireguard installiert.
- Die OPNSense baut die Verbindung zur VPS auf und bei Bedarf verbinde ich mit dem Smartphone zur VPS und komme so ins Heimnetz.
Funktioniert seit etwa einem Jahr ohne Probleme.
Wenn der A1 Router DMZ erlaubt, sollte das genauso machbar sein denke ich.
-
Das habe ich doch so ähnlich vorgeschlagen
Gesendet von iPhone mit Tapatalk Pro
-
Hallo, einfach bei A1 anfragen das sie das CGN deaktivieren dann bekommst du eine öffentliche IP und kannst einfach deinen OpenVPN Port auf die Sense weiterleiten.
Lg
-
Wollte mich nochmal für die zahlreichen Tipps bedanken. Haben heute endlich die bestmögliche Lösung zum Laufen gebracht: Router wurde zu Modem degradiert (Single User Mode) - Einwahl macht jetzt die Opnsense - IPsec, OpenVPN, DynDNS - alles funktioniert ohne Doppel-NAT.
Der Service von A1 unter jeder Kritik: Hilfe nur gegen Bezahlung, dann wird mehrmals mitten im Gespräch aufgelegt, bzw. nicht zurück gerufen. Highlight schlechthin: man kann die Bezahl-Hotline nur per A1-Festnetz oder A1-Mobilnetz erreichen, alle anderen Mobilfunk-Anbieter werden nicht unterstützt.