OPNsense Forum

International Forums => German - Deutsch => Topic started by: Crazor on August 25, 2017, 08:20:33 pm

Title: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 25, 2017, 08:20:33 pm
Moin,

ich bin dabei, IPsec VPN einzurichten und bin dabei nach dem Artikel "Setup IPsec Road-Warrior" (https://docs.opnsense.org/manual/how-tos/ipsec-road.html) vorgegangen. Das Verbinden von Außerhalb klappt auch soweit, allerdings kann ich ausschließlich die LAN-IP der OPNsense Maschine erreichen. Anfangs konnte ich außerdem noch das Internet erreichen, das ist aber nach einigem Testen jetzt auch nicht mehr möglich. Ich vermute, dass es mit den Firewall-Einstellungen zutun hat, und gebe zu, dass ich in diesem Bereich auch nicht der fitteste bin.

Kann mir jemand mal genau erklären, welche Regeln ich brauche, damit man per IPsec auf das gesamte LAN zugreifen kann?
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: franco on August 26, 2017, 08:14:29 pm
Hi Crazor,

So weit so gut. :)

Der IPsec tab regelt die Verbindungen vom Road-Warrior zum LAN und anderen Interfaces. Welche Regel hast du dort eingesetzt?


Grüsse
Franco
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 28, 2017, 10:49:07 am
Genau, das Tab habe ich gesehen. Zur Zeit habe ich dort nur die eine Regel:

Protokoll: IPv4, Quelle: IPsec Netzwerk, Quell-Port: *, Ziel: LAN Netzwerk, Ziel-Port: *, Gateway: *

Jetzt wo ich es sehe: Sollte ich dort einen Gateway eintragen, da ja geroutet werden muss zwischen den Netzen?  ???
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: franco on August 28, 2017, 11:27:40 am
Genau, eine zweite Regel drunter ohne genaues Zielnetzwerk (also "*" in der Übersicht) und den Gateway festlegen.

Dann geht alles was ins LAN soll zum LAN, der Rest wird im Internet angefragt. Ggf. muss DNS noch korrigiert werden. Aber Ping auf IP sollte funktionieren. :)


Grüsse
Franco
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 28, 2017, 11:40:20 am
Habe ich gemacht und als Gateway WAN_PPPOE gesetzt. Es ändert allerdings nichts. Ich komme per VPN nicht mehr raus ins Internet, und ich komme auch nicht per VPN auf IPs im LAN. Inzwischen kann ich auch die LAN-IP von OPNsense nicht mehr erreichen  :D

Interessanterweise kann man aber die IPs aus dem IPSec-Netzwerk vom LAN aus pingen, sprich ein über UMTS und VPN verbundener Laptop ist vom LAN aus zu erreichen, aber nicht umgekehrt...
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: franco on August 28, 2017, 12:36:33 pm
Wie ist denn die Reihenfolge der Regeln? Klingt nach einem Dreher in den IPSEC-Interface Regeln.

Die ausgehen Verbindungen (auch zum IPSEC aus dem LAN) sind davon nicht betroffen, das stimmt so.
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 28, 2017, 01:16:33 pm
Erst die LAN-Regel, dann die WAN-Regel, die du vorgeschlagen hast. Mein Verständnis: Regeln werden von oben nach unten abgearbeitet; alles was nicht ins LAN soll, geht an den WAN Gateway. Drehe ich die Regeln, ändert das auch nichts. Ich hätte bei einem Dreher auch zumindest erwartet, dass man per VPN raus ins Internet darf, wenn die Regel mit dem WAN GW oben steht.
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: franco on August 28, 2017, 01:29:04 pm
Hmm, ist das 17.1 oder 17.7?


Grüsse
Franco
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 28, 2017, 01:31:37 pm
Ich arbeite mit 17.7!

Ich habe folgende Regeln definiert:

Tab "Floating":
Block: IPv6 Quelle: *:* Ziel *:* GW: * (IPv6 blocken)
Allow: IPv4 ESP Quelle: *:* Ziel WAN Adresse:* GW: * (Regel für IPsec VPN laut Anleitung)
Allow: IPv4 TCP/UDP Quelle *:* Ziel WAN Adresse:500 (ISAKMP), GW: * (Regel für IPsec VPN laut Anleitung)
Allow: IPv4 TCP/UDP Quelle *:* Ziel WAN Adresse:4500 (IPsec NAT-T), GW: * (Regel für IPsec VPN laut Anleitung)

Tab "FRITZBOX":
Keine Regeln. Habe der Netzwerkschnittstelle, über die PPPoE aufgebaut wird, noch eine IP zugewiesen aus dem Netz der FB (192.168.178.1), daher dieses Tab. Dient dem Zugriff auf die Weboberfläche der FritzBox.

Tab "GAST":
Ich habe ein Gastnetz 192.168.100.0/24, das per VLAN auf der OPN-Sense-Maschine aufschlägt. OPNsense ist 192.168.100.254. Regeln:
Deny: IPv4 *, Quelle: Gast Netzwerk:*, Ziel LAN Netzwerk: *, GW: * (Gästen den Zugriff ins LAN verbieten)
Allow: IPv4 *, Quelle: Gast Netzwerk:*, Ziel: *:*, GW: * (Gästen den Zugriff ins Internet erlauben)

Tab "IPSEC":
Allow: IPv4 *, Quelle: IPsec Netzwerk:*, Ziel: LAN Netzwerk:*, GW: * (LAN-Zugriff für VPN-Benutzer)
Allow: IPv4 *, Quelle: IPsec Netzwerk:*, Ziel: *:*, GW: WAN_PPPOE (Internetzugriff für VPN-Benutzer)
Meiner Meinung nach müsste es ausreichen, nur die zweite Regel zu haben, und dann GW: * so wie z.B. auch im LAN-Tab. Funktioniert aber auch nicht.

Tab "LAN":
Das LAN ist 10.0.0.0/8, OPNsense ist 10.0.0.10. Regeln:
Allow: Protokoll *, Quelle *:*, Ziel: LAN Address:443,80,22, GW:* (Anti-Aussperrregel)
Allow: IPv4 *, Quelle: LAN Netzwerk:*, Ziel: *:*, GW: * (Default allow LAN to any rule)

Tab "WAN":
Internetverbindung über PPPoE.
Deny: Protokoll *, Quelle: RFC 1918 Netzwerke, Port: *, Ziel: *:*, GW: * (Blockiere private Netze)
Deny: Protokoll: *, Quelle: Reserviert / nicht durch die IANA zugewiesen, Port: *, Ziel: *:*, GW: * (Blockiere Bogon-Netze)
Title: Re: Nur OPNsense IP per IPsec VPN erreichbar
Post by: Crazor on August 28, 2017, 01:42:46 pm
Nun habe ich mal als einzige Regel bei IPsec die folgende gesetzt:
IPv4 *, Q *:*, Z *:*, GW *

Nun kann ich per VPN ins LAN, aber noch nicht ins Internet! Was nicht unbedingt weiter schlimm wäre ;)

Ich könnte aber schwören, dass ich mit dieser Regel anfangs nichts geworden bin.