OPNsense Forum
International Forums => German - Deutsch => Topic started by: DJ_Mic on August 10, 2018, 01:27:39 pm
-
Hallo zusammen,
ich habe einen Heim Server mit Hyper V am laufen.
Darauf läuft einmal die Opnsense Firewall und eine Debian VM mit einem VPN Client, der sich in mein Rechenzentrum einwählt. Dort läuft auch eine Opnsense Firewall mit einer Openvpn Server Config.
Ich habe ein Gateway mit der Debian VM IP und dazu eine Route in die entfernten Netze angelegt.
Verbindung kann aufgebaut werden, jedoch setzt ab und zu die Regel Default Deny Rule ein und kappt die Verbindung.
Vorher als ich ohne Heim Server gearbeitet habe und nur meine Fritzbox + Raspberry Pi und OpenVPN Config hatte, lief alles ohn Probleme.
Detaillierte Firewallanzeige
__timestamp__ Aug 10 13:17:14
ack 4107023537
action block
anchorname
datalen 1308
dir in
dst 192.168.100.222
dstport 3389
ecn
id 11640
interface hn1
ipflags DF
label Default deny rule
length 1348
offset 0
proto 6
protoname tcp
reason match
ridentifier 0
rulenr 8
seq 2897744952:2897746260
src 10.0.0.5
srcport 63522
subrulenr
tcpflags PA
tcpopts
tos 0x0
ttl 128
urp 260
version 4
Am liebsten wäre es mir gewesen, wenn ich auf meiner Heim Firewall einen VPN Client einrichten könnte um mir eine weitere VM zu ersparen, leider geht das nicht.
Das einrichten eines VPN Clients ist sehr umständlich und ich bekomme da keine Verbindung zu Stande.
-
Danke für die HILFE...
-
Interessant wären mal die Wege die du gehst.
Ich hab ein ähnliches Setup:
Internet -> Fritzbox (Opensense als Exposed host) -> Opnsense ->Lan/DMZ
Die Opnsense dient als IPSec Zugang für meine Mobilen Geräte (Smartphone, Laptop etc) und zu 2 Servern bei Hetzner steht eine OpenVPN Verbindung (Site-to-Site).
Firewall Regel ist Freigabe von UDP/TCP für IPv4/v6 zu meinen Servern und entsprechende Regeln für die Dienst Ports wie SSH, Rsync etc.
Das läuft jetzt seit einer Woche ohne Unterbrechungen.
Kann es sein das kein Keep Alive Paket rausgeht und die Verbindung kurzzeitig unterbrochen wird?
Da reagiert OpenVPN immer etwas allergisch.
Wenn auch zuviele Paketfilter im Weg sind, könnte es sein das es hier zu Verzögerungen kommt, je nach Leitungsauslastung. Dann evtl. mit QoS arbeiten und den VPN Leitungen die höchste Priorität geben.
-
Default block bedeutet, dass das State Tracking fehlschlägt: Retransmission oder Delay oder Reordering oder Loop oder asymmetrischer Traffic.
Man kann die Default pass Regel unter Advanced auch im State Tracking deaktivieren, dann geht es wieder, aber löst das ursprüngliche ggf. Problem nicht (Keep-Alive, Ping).
Grüsse
Franco
-
Die Option damit ich das State Tracking deaktivieren kann, kann ich leider nicht finden.
Es ist aber auch wie du sagst, nicht die Lösung für das Problem.
Im Anhang findet ihr mein Aufbau meines Heimnetzwerks.
-
Hallo,
ja, der Thread ist schon älter, aber da evtl. mal jemand über ne Websuche hierher findet (so wie ich)....
In meiner Umgebung hatte ich ebenfalls ähnliche Probleme.
Kurz zur Umgebung:
Auf einer alten Sophos UTM 120 (Atom N450, 2GB RAM, 4x Intel NIC) ist OPNsense installiert.
em0 Management, quasi "LAN"
em1 unbenutzt
em2 WAN
em3 VLAN Trunk mit VLAN 3,4,5,6,7,8)
Dazu habe ich einen TPLink T2600G-28TS Switch im Einsatz. em0 ist dort an einem Port mit untagged VLAN 10 (Management-VLAN) angebunden.
Zusätzlich ist em3 an einem Port mit tagged VLAN 3,4,5,6,7,8 am Switch angeschlossen
(Ich habe es leider nicht hinbekommen, OPNsense über einen VLAN Trunk incl. VLAN 10 am Switch zu betreiben, da mein "LAN" dem VLAN 3 entspricht und das irgendwie bei der Einrichtung dann nicht sauber lief).
Am Switch hängen auch noch 2 Unifi UAP-AC Lite, jeweils an einem tagged VLAN 3,4,5,6,7,8 Port.
Die UAP-AC Lite haben mehrere WPA2 PSK SSIDs , die jeweils unterschiedlichen VLANs zugewiesen sind. Zusätzlich gibt es eine SSID, die EAP per Radius machen soll (was aber aktuell noch nicht funktioniert).
Ich hatte eine Regel angelegt, die einer IP-Adresse aus VLAN8 den Zugriff auf eine IP-Adresse /TCP Port im Mgmt Netz erlaubt hat(Unifi Controller HTTPS-Server). Das ging auch halbwegs, aber im Firewall-Livelog waren immer wieder "Default Deny Rule" Einträge mit der eigentlich erlaubten Source-IP + Destination IP/Port zu finden.
Auch der Zugriff von VLAN 3 nach VLAN 10 (der komplett "offen" konfiguriert ist), auf einen SSH-Server im VLAN 10 hatte das gleiche Problem, was dann immer zu Abbrüchen der SSH-Session geführt hat.
Die genaue Ursache, warum die Firewall anscheinend nicht alle Pakete sieht und deshalb manche Paket als nicht in der State Table enthalten sind und verworfen werden, kenne ich nicht.
Aber seitdem ich die Option in der "Erlauben"-Regel unter "Advanced Options" -> "State Type" auf "none" gesetzt habe, werden die Pakete nicht mehr verworfen.
Viele Grüße,
Patrick
-
Hi Patrick,
Danke für die Infos und die Bestätigung der Lösung. :)
Grüsse
Franco