OPNsense Forum

International Forums => German - Deutsch => Topic started by: stefan21 on March 24, 2017, 06:18:15 pm

Title: OPNsense OpenVPN Tutorial falsch?
Post by: stefan21 on March 24, 2017, 06:18:15 pm

Kann es sein, dass das Tutorial Setup SSL VPN Roadwarrior https://docs.opnsense.org/manual/how-tos/sslvpn_client.html einen Fehler hat?

Im Step 2 ist bei den Firewall-Rules im OpenVPN-Interface als Source ein IP-Bereich (192.168.2.0/24) eingetragen, der nicht dem im Beispiel definierten Tunnel 10.10.0.0/24 entspricht.

Oder habe ich ein Verständnisproblem?

Danke für jede Rückinfo.

stefan

Title: Re: OPNsense OpenVPN Tutorial falsch?
Post by: chemlud on March 24, 2017, 06:26:58 pm

Hi!

Ich habe nur Tunnel die ganze Netze verbinden (keine einzelnen Clients), aber in diese Firewall-Regel gehört das GAST-Netz/GAST-IP, nicht das lokale Netz als "Source".

Die Transportnetz-IP gehört da garnicht rein. Ich habe für Spezialfälle schon die Transportnetz-IP der Sense auf der anderen Seite des Tunnels gebraucht in Firewall-Regeln, aber definitiv nicht das ganze Transportnetz.

Da du diese IP bei einem Roadwarrior nicht kennst müsstest du * (alle) zulassen, oder?

Title: Re: OPNsense OpenVPN Tutorial falsch?
Post by: stefan21 on March 24, 2017, 06:36:39 pm

Danke für die Rückantwort.

Im Beispiel ist definiert:

Company Network
Hostname    fw1
WAN IP    172.18.0.129
LAN IP    192.168.1.0/24
LAN DHCP Range    192.168.1.100-192.168.1.200
SSL VPN Clients    10.10.0.0/24

Nach meinem Verständnis ist das Gastnetz der Bereich der SSL VPN Clients. Also 10.10.0.0/24. Das müsste da m.E. rein. Die IP 192.168.2.0 ist doch ohne Bezug in dem Tutorial, oder?

Title: Re: OPNsense OpenVPN Tutorial falsch?
Post by: chemlud on March 24, 2017, 06:38:27 pm

Wie schon geschrieben, 192.168.2.0/24 ist wohl das Gastnetz (vermutlich hatte der Autor eine Vorlage für site-to-site Tunnel und hat nicht richtig aufgepasst...) :-)

Vermutlich copy-n-paste hieraus

https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html

;-)

Wie oben geschrieben, das Transportnetz 10.... gehört nicht in die Firewall-Regeln, diese IP "sieht" m.E. die Firewall nicht.


PS: Obwohl... wie gesagt die Transportnetz-IP der entfernten Sense musste ich bei site-to-site auch manchmal verwenden, damit diese Sense durch den Tunnel senden konnte. Probiers doch mit dem Transportnetz, wenn's nicht geht nimm *... ;-)

Title: Re: OPNsense OpenVPN Tutorial falsch?
Post by: stefan21 on March 24, 2017, 07:00:09 pm

Hmm, ich meine mich daran erinnern zu können, wenn man die automatische Erstellung der Regeln aktiviert, dann wird das Netz 10.10.0.0/24 eingetragen. Steht bei mir zumindest (mit meinem IP-Bereich) in der Echtumgebung so drin.

IPv4 *    10.0.10.0/24    *    *    *    *       OpenVPN IVB VPN Server wizard

Oder hab ich das mal manuell geändert? Weiss nicht mehr genau... Ich werde mal in einer VM das ganze nachspielen. Dann sieht man ja, was da rein muss...

stefan