1
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1] 2
2
German - Deutsch / Traffic über 2 in Reihe geschaltete VPn Tunnel
« on: January 07, 2024, 02:07:54 pm »
Das Nat erfolgt auf Cloud und Kundenseitig. Da wir bei den Kunden einen Agenten laufen haben ist das beidseitige NAT erforderlich.
Bei uns bekommen die Kunden jeweils ein eigenen netzt und bei den Kunden ist das unsrige netzt immer das gleiche im NAT.
Kannst du mir kurz den Unterschied L2 L3 nat erläutern?
Wir machen 192.168.1.0/24 auf 10.33.10.0/24. stellen wir in der OpnSense unter NAT 1:1 ein.
Das es doppelte Netzt gibt werden wir vermeiden. Deswegen ja das NAT
Gesendet von iPhone mit Tapatalk
Bei uns bekommen die Kunden jeweils ein eigenen netzt und bei den Kunden ist das unsrige netzt immer das gleiche im NAT.
Kannst du mir kurz den Unterschied L2 L3 nat erläutern?
Wir machen 192.168.1.0/24 auf 10.33.10.0/24. stellen wir in der OpnSense unter NAT 1:1 ein.
Das es doppelte Netzt gibt werden wir vermeiden. Deswegen ja das NAT
Gesendet von iPhone mit Tapatalk
3
German - Deutsch / Re: Traffic über 2 in Reihe geschaltete VPn Tunnel
« on: January 07, 2024, 01:20:28 pm »
Puh ok ich Versuchs.
Wir haben einen Hauptstandort der Firma
Netz A
Einen Cloud Standort mit Servern
Netz B
Und nun Je Kunde die unterschiedlichsten Netzt local z.B. 192.168.178.0/24 oder 192.168.5.0/24 oder 10.0.0.0/24
Diese Kunden netzt werden via NAT bei uns übersetzt damit es keine IP Konflikte gibt.
Kunde A 10.33.10.0/24
Kunde B 10.33.20.0/24
Unser Cloud Netzwerk ist also mit allen Kunden Netzen via IPSEC s2s und Hat verbunden.
Um zukünftig Effizienter zu arbeiten wollen wir gerne die Kunden Server via
Firma -> s2s -> Cloud -> s2s -> Kunde
direkt erreichen um z.B. über Powershell zu arbeiten. User erstellen, Rollouts, alles was einem das Leben leichter machen kann um nicht auf jeden einzelnen Server manuell über z.B. Teamviewer zu müssen.
Gestern haben wir erfolgreich das mit dem Nat hinbekommen. Nun müssen wir noch das Routen über zwei S2S Tunnel hinbekommen.
Wir haben einen Hauptstandort der Firma
Netz A
Einen Cloud Standort mit Servern
Netz B
Und nun Je Kunde die unterschiedlichsten Netzt local z.B. 192.168.178.0/24 oder 192.168.5.0/24 oder 10.0.0.0/24
Diese Kunden netzt werden via NAT bei uns übersetzt damit es keine IP Konflikte gibt.
Kunde A 10.33.10.0/24
Kunde B 10.33.20.0/24
Unser Cloud Netzwerk ist also mit allen Kunden Netzen via IPSEC s2s und Hat verbunden.
Um zukünftig Effizienter zu arbeiten wollen wir gerne die Kunden Server via
Firma -> s2s -> Cloud -> s2s -> Kunde
direkt erreichen um z.B. über Powershell zu arbeiten. User erstellen, Rollouts, alles was einem das Leben leichter machen kann um nicht auf jeden einzelnen Server manuell über z.B. Teamviewer zu müssen.
Gestern haben wir erfolgreich das mit dem Nat hinbekommen. Nun müssen wir noch das Routen über zwei S2S Tunnel hinbekommen.
4
German - Deutsch / Traffic über 2 in Reihe geschaltete VPn Tunnel
« on: January 07, 2024, 10:11:51 am »
Hallo Gemeinde. Wir haben netzt A,B und C.
Netzt A und B haben einen s2s IPSec und B und C ebenfalls.
Nun möchte ich von A direkt nach C. Geht natürlich nur über B. Ich vermute mal das Stichwort heißt Routing. Firewall A kennt natürlich Netzt C nicht und weis auch nicht wie es dahin kommt. Leider waren meine Suchen im Netzt erfolglos. Hat das schon mal jemand gemacht? Muss ich nur Einstellungen an Firewall A machen oder auch an Firewall B damit die Anfragen von A nach B umgeleitet werden?
Besten Dank.
Gesendet von iPhone mit Tapatalk
Netzt A und B haben einen s2s IPSec und B und C ebenfalls.
Nun möchte ich von A direkt nach C. Geht natürlich nur über B. Ich vermute mal das Stichwort heißt Routing. Firewall A kennt natürlich Netzt C nicht und weis auch nicht wie es dahin kommt. Leider waren meine Suchen im Netzt erfolglos. Hat das schon mal jemand gemacht? Muss ich nur Einstellungen an Firewall A machen oder auch an Firewall B damit die Anfragen von A nach B umgeleitet werden?
Besten Dank.
Gesendet von iPhone mit Tapatalk
5
German - Deutsch / Re: Lan to Lan any
« on: June 10, 2021, 11:16:15 pm »
Hallo gemeinde. Möchte mich hier mal eben einklinken. Ich habe evtl ein ähnliches Problem und bin mir nicht sicher ob das ein Broadcast ist oder ein direkter Zugriff.
Ich habe einen HomePod 10.10.40.40. Eine Homebridge 10.10.50.10. Separate Vlans alles über die Opnsense. MDNS als dienst ist in der Opnsense aktiv. Die Handys / iMacs sind alle in anderen VLANS. Alle IOT Geräte sind im VLAN40IOT
Nun habe ich an der Firewall im Log das Problem das ich folgenden Eintrag sehe.
VLAN40WLANIOT Jun 10 23:03:39 10.10.40.40:49688 10.10.50.10:33773 tcp Default deny rule
Ich möchte aber diesen Trafik erlauben.
Ich habe eine Regel auf der Schnittstelle erstellt
Schnittstelle:VLAN40IOT
Richtung:in
IPV4
TCP/UPD
Quelle:10.10.40.40
Ziel: 10.10.50.10
er block den Traffic aber weiterhin. Hat hier jemand ne Idee oder gibt es evtl. Experten die Explizit SmartHome hinter der Firewall in unterschiedlichen VLAS betreiben. Das Thema Mans habe ich lange nciht gefunden mein Smart Home lag seit Einführung der OPNSense auf eis weil der mDNS nicht konfiguriert war.
Danke für jede Unterstützung.
Ich habe einen HomePod 10.10.40.40. Eine Homebridge 10.10.50.10. Separate Vlans alles über die Opnsense. MDNS als dienst ist in der Opnsense aktiv. Die Handys / iMacs sind alle in anderen VLANS. Alle IOT Geräte sind im VLAN40IOT
Nun habe ich an der Firewall im Log das Problem das ich folgenden Eintrag sehe.
VLAN40WLANIOT Jun 10 23:03:39 10.10.40.40:49688 10.10.50.10:33773 tcp Default deny rule
Ich möchte aber diesen Trafik erlauben.
Ich habe eine Regel auf der Schnittstelle erstellt
Schnittstelle:VLAN40IOT
Richtung:in
IPV4
TCP/UPD
Quelle:10.10.40.40
Ziel: 10.10.50.10
er block den Traffic aber weiterhin. Hat hier jemand ne Idee oder gibt es evtl. Experten die Explizit SmartHome hinter der Firewall in unterschiedlichen VLAS betreiben. Das Thema Mans habe ich lange nciht gefunden mein Smart Home lag seit Einführung der OPNSense auf eis weil der mDNS nicht konfiguriert war.
Danke für jede Unterstützung.
6
German - Deutsch / Re: Icinga2 Agent - Opensense [gelöst/solved]
« on: August 09, 2020, 08:12:09 am »
Guten Morgen. Mich würde interessieren was du auf der OpnSense alles monitoren würdest. Ich mache dies gerade via snmp. Da sind die Mittel ja begrenzter oder ich schreibe noch ein paar Scripte.
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
7
German - Deutsch / Re: Sperre Zugang zu FW aus Netzwerk
« on: July 13, 2020, 07:36:37 pm »
Danke für die Info. Ich würd mich nach meinem Urlaub nochmal melden da ich noch das Problem habe das wlan Geräte die sich mit der FB 7590 vor der Sense verbinden komischerweise eine DHCP Adresse von der Sense bekommen. Den Netzplan habe ich als Bild vorbereitet aber leider jetzt nicht zur Hand. Kann ja eigentlich nur an einer WAN Regel liegen vermute ich da der DHCP der Sense ja nur in LAN aktiv ist. Lediglich mein IMac ist per LAN in Sense LAN netzt und Per WLAN im FB netzt. Evtl Bridged der ungewollt. Wie gesagt Netzplan folgt.
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
8
German - Deutsch / Re: Sperre Zugang zu FW aus Netzwerk
« on: July 11, 2020, 06:09:43 pm »
Wie macht man das in dem Falle das man einen AP hinter der Sense hat? Dieser ist ja dann kein Interface. Trotzdem die Ip sperren, da ja die WLAN Geräte den AP als Gateway nutzen? Oder muss ich die IP,s der Geräte sperren? Zwei DHCP wären ja auch keine Lösung oder kann man den DHCP der Sense so einstellen das nur Kabelgebundenen Geräte eine IP bekommen?
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
9
German - Deutsch / Re: Firewall 'default deny' auf WAN
« on: July 05, 2020, 03:21:08 pm »
So ich habe jetzt mal folgende Regel erstellt.
Block IPv4 UDP Smart_Rollos * * 6667 * * Block_Smart_Broadcast
Smart Rollos ist dabei ein Alias der die ganzen Ins meiner Smarthome Rollo Schalter enthält.
Der Punkt Protokolliere Pakete die von dieser Regel behandelt werden in der Regel wähle ich cniht aus, weil dann Logeinträger erstellt werden.
Eigentlich brauche ich die Regel nicht, da die Default einstellungen der Firewall diesen zugriff sowieso blockt. Aber wenn ich eine Deny Regel erstelle, tauchen diese Blockierungen nicht mehr in den Logs auf. Damit wird es übersichtlicher.
Block IPv4 UDP Smart_Rollos * * 6667 * * Block_Smart_Broadcast
Smart Rollos ist dabei ein Alias der die ganzen Ins meiner Smarthome Rollo Schalter enthält.
Der Punkt Protokolliere Pakete die von dieser Regel behandelt werden in der Regel wähle ich cniht aus, weil dann Logeinträger erstellt werden.
Eigentlich brauche ich die Regel nicht, da die Default einstellungen der Firewall diesen zugriff sowieso blockt. Aber wenn ich eine Deny Regel erstelle, tauchen diese Blockierungen nicht mehr in den Logs auf. Damit wird es übersichtlicher.
10
German - Deutsch / Re: Firewall 'default deny' auf WAN
« on: July 05, 2020, 02:45:27 pm »
Naja um ehrlich zu sein währen es ja mehr Einträge. Bei einer default Installation darf der komplette LAN Verkehr ja nach draußen. Ich lasse nur die Ports raus die ich eingestellt habe. Damit werden mehr Sachen geblockt und es kommen mehr Einträge. Kannst du mal ein Screenshot von der log machen?
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
11
German - Deutsch / Re: Firewall 'default deny' auf WAN
« on: July 05, 2020, 09:52:07 am »
Ich betreibe meine Firewall seit zwei Wochen und das ist mir auch aufgefallen dass die Ports von welchen die Anfrage kommt nicht den entsprechen wo die Anfrage hingeht. Ich habe die zwei Standard Regeln im Lan die bei der Einrichtung angelegt werden abgeschaltet und für alle Ports selber ausgehende Regeln definiert somit geht kein Traffic raus den ich nicht möchte. Alles was vom WAN rein will wird default erstmal geblockt.
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
12
German - Deutsch / Re: Firewall 'default deny' auf WAN
« on: July 05, 2020, 07:58:32 am »
Hallo. Erfolgen die Zugriffe den von externen Ip Adressen oder von Internen? Ich habe z.b an meiner FB einige Smart Home Geräte. Die senden einen Broadcast alle paar Sekunden, der von der Opnsense geblockt werden.
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
13
German - Deutsch / Re: Komme nur online mit any Rule
« on: July 02, 2020, 10:24:33 am »
Ich habe natürlich noch weitere Freigaben für rdp dateitransporte etc. eingerichtet. So kann man aber explizit festlegen was raus darf. Für zb Spiele muss man dann auch die entsprechenden Ports freischalten.
Gesendet von iPhone mit Tapatalk
Gesendet von iPhone mit Tapatalk
14
German - Deutsch / Re: Komme nur online mit any Rule
« on: July 02, 2020, 06:25:56 am »
Guten morgen. Ich vermute mal das du aus dem Lan ins Inet möchtest. Die 2 default Any Regeln habe ich auch gleich abgeschaltet.
Ich habe mit einen Alias erstellt mit den folgende Ports:
53,80,443
Danach habe ich im Lan die folgende Regel erstellt.
Protokoll Quelle Port Ziel Port Gateway Zeitplan Beschreibung
IPv4 TCP/UDP LAN Netzwerk * * iNet * * Webzugriff
Somit kannst du gezielt einstellen was raus geht aus deinem Lan.
Die zwei default Regeln einfach abschalten.
Ich habe mit einen Alias erstellt mit den folgende Ports:
53,80,443
Danach habe ich im Lan die folgende Regel erstellt.
Protokoll Quelle Port Ziel Port Gateway Zeitplan Beschreibung
IPv4 TCP/UDP LAN Netzwerk * * iNet * * Webzugriff
Somit kannst du gezielt einstellen was raus geht aus deinem Lan.
Die zwei default Regeln einfach abschalten.
15
German - Deutsch / Re: [Erledigt] ISPConfig wildcard Domains hinter einer Opnsense
« on: June 29, 2020, 09:56:21 pm »
Nachdem ich gestern etwas mit dem ISP rumgespielt habe, habe ich festgestellt, das wenn ich die wildcard domains alle direkt als website anlege und nicht als subdomain funktioniert der Aufruf der jeweiligen Seite.
Pages: [1] 2