OPNsense Forum
International Forums => German - Deutsch => Topic started by: muc_marius on September 29, 2016, 09:26:37 pm
-
servus kollegen,
ich bin fw-anfänger, habe rudimentäre kenntnisse und bin ein bisschen überfordert aktuell - brauche mal unterstützung:
habe eine aktuelle opnsense VOR meiner fritz und nach meinem kabelmodem.
damit bin ich nach meinem kenntnisstand erstmal nicht unsicherer als ohne opnsense, korrekt?
jetzt nutze ich ein vpn zu einer anderen fritz; outbound kein problem, aber inbound kriege ich nicht ans fliegen.
mein verständnis: man muss bestimmte ports & services weiterleiten, so wie man bei AVM nachlesen kann. trotzdem kann ich von extern keine verbindung herstellen. ich habe versucht, mir die logs anzuschauen zur diagnose, aber da werde ich nicht fündig.
das liegt sicher an meiner fehlenden kenntnis; gibt es eine standard-anleitung (welche regeln auf (vermutlich) dem WAN IF ich einrichten muss), den wenn ich port forwarding nutze, werden diverse regeln ja automatisch eingestellt...
konfig konkret:
kabelmodem - opn - fritz - lan
ip-ranges sind alle schon unterschiedlich usw.
mir erscheint das eigentlich total simpel, aber es klappt einfach nicht: die verbindung wird immer abgebrochen, und auch die logs zeigen mir keinen hinweis.
besten dank,
M
-
Hallo Marius,
Da stimmt etwas nicht mit dem Port Forward. Was für ein VPN ist das denn da drinnen, dh. welche Ports benötigt es.
Generell würde ich aber eher einen Aufbau Modem, Fritz, OPN, LAN empfehlen, das ist meiner Erkenntnis sicherer, weil du dein LAN nicht der Fritzbox anvertraust. ;) Dann erledigt sich das Problem auch, könnte aber ein anderes herbeirufen, wenn du schon andere Services auf OPNsense nach außen gibts (z.B. SSH).
Grüße
Franco
-
Hallo Franco,
hallo zusammen,
vielen Dank für Deine Tipps; ich denke, ich schreibe mal die Konfig kurz auf, vllt erkennt man ein Problem:
Es bleibt aus diversen Gründen erstmal bei WAN - OPN - Fritz - LAN.
Ziel: Zugriff von Aussen bspw. mittels iPad über VPN; aktuell OHNE OPN keine Problem.
AVM verlangt folgendes Setup:
+++SNIP+++++++++++++++
Richten Sie die Firewall so ein, dass sie
ein- und ausgehende Verbindungen
für folgende Ports und IP-Protokolle zulässt:
ESP ("Encapsulated Security Payload"; IP-Protokollnummer 50)
Hinweis:Die Freigabe des ESP-Protokolls wird in vielen NAT-Routern als "IPsec-Passthrough" bezeichnet.
UDP-Port 53 (DNS)
UDP-Port 500 (ISAKMP)
UDP-Port 4500 (NAT-Traversal)
+++SNIP+++++++++++++++
Mein grundsätzliches Verständnis ist nun, daß ich für o.g. Ports in OPN ein Port-Forwarding einrichte, denn OPN muss ja wissen, wohin diese Pakete sollen. Das mache ich dann auch:
NAT, Port Forward
- WAN UDP 53, 500, 4500 von * an "LAN address", "Dest. Port Range" jeweils entsprechender Port, "Redirect Targed IP" = IP der Fritz, "Redirect Target Port" = jeweiliger Port
- WAN ESP von * an ... wie oben ... jedoch Ports auf "any" lassen, nur "Red Target IP" = Fritz setzen
Unter OPN erhalte ich dann die Port Forward-Regeln und automatisch die FW-Regeln.
Damit *würde* ich jetzt mal denken: Sollte gehen. Geht aber nicht...
Mein iPad sagt lapidar: "Server antwortet nicht" (die DynDNS-Einträge habe ich im Blick dabei, aber die terminieren natürlich jetzt auf der OPN, nicht mehr auf der Fritz. Könnte das ein Problem sein?
Ich nehme auch gerne Angel statt Fisch, d.h. wenn ich was selbst irgendwo nachlesen / recherchieren kann, bin ich für Tipps dankbar.
Ich kann mir nunmal nicht vorstellen, warum das hier (eine Standardkonfig vielleicht) nicht einfach so klappt.
Besten Dank schonmal!