Messages

Ich hab die letzten Wochen viel an mener opnsense Firewall gearbeitet. Und bin echt weit gekommen aber ein Problem hab ich aktuell.

Bestimmte Websiten löst er mir mit IPv6 DNS auf und ich bekomme einfach keine Zugriff. Die Webseiten hätten aber auch einen IPv4 Eintrag.

Meine DNS Regel sieht so aus:

IPv4+6 UDP    LAN Netzwerk    *    Diese Firewall    53 (DNS)    *


Meine Firewall darf gerne intern IPv6 sprechen im LAN-Netzwerk. Aber mein WAN hat aktuell nur eine IPv4 Fest-Adresse im 129.-Bereich. Die IPv6-Adressen muss ich erst noch beim RZ bestellen.

Wo liegt mein Fehler?

Update:
Über die Firewall mit Diagnose DNS-Abfrage bekomme ich eine IPv4 Eintrag zurück. An meinem Client per nslookup eine IPv6 Eintrag.

Oder spielt mir hier Windoof einen Streich ?

1. Hatte ich kein Interface angelegt und bin in der Firewall hängen geblieben
2. Wenn man versucht mit einem echten Interface zu sprechen sollte dieses auch online sein

Wenn man sich ne Firewall auf den Tisch legt um sie offline vor zubereiten ist es schlecht wenn z.b LAN mit nichts verbunden ist und man versucht das Interface anzusprechen per VPN. Als ich einfach nur Switch angesteckt hatte gings auch mit dem Ping.

Problem gelöst bekommen :)

Danke

>  Aber keine Gateway.
>Warum auch? Außer du willst allen Traffic über VPN schicken, muss OVPN dir ja kein Default Gateway schicken?

Stimmt irgendwie auch wieder, dachte Gateway müsste sein.

> Wo hab ich was übersehen in der Konfiguration
>Firewallregeln auf dem OVPN Interface erstellt?

Ich hab einen Reiter bei den Regeln wo steht "OPENVPN" mit Regel: IPv4 any any any any all -> Auf gut deutsch - alles erlaubt

---
Push:
Also mein manueller push route wird bearbeitet wird aber gesagt, die Route gibt es auch schon. Von daher doppelt hält auch irgendwie besser.

Trotz allem ein Ping auf 192.168.1.254 funktioniert nicht trotz Routern zu den netzen laut route print ...

Hallo,

ich hab ein Problem mit der OpenVPN Konfiguration und bitte um Hilfe. Ich denke es ist nur ein Gedanken Fehler von mir.

Ich habe eine Open VPN - Server erstellt -> Authentifizierung Benutzer, sowie die Zertifikate. Das ganze läuft auf TCP:443. Der Zugriff und der Login funktionieren. Die Firewallregeln sind vorhanden. Mein OpenVPN Client bekommt auch eine IP-Adresse, eine DNS-Server und eine DNS-Name. Aber keine Gateway.

Netzwerkdetails:
LAN: 192.168.1.0/24 IP-Adresse Firewall & DNS: 192.168.1.254 -> DHCP Netz
WAN: 129.x.y.z IP-Adresse direkt per Glas -> Feste IP-Adresse
DMZ: 192.168.68.0/24 -> Firewall IP: 192.168.68.254 -> Feste Adressierung in diesem NETZ

VPN-IP-Bereich: 192.168.2.0/24 -> Ich will die nicht im LAN Netz haben

Mein Problem ist das ich wenn ich per VPN Verbunden bin nicht auf die GUI der Firewall komme, auch Pings oder DNS-Abfragen lande im nichts. Als hätte ich keine Gateway. Auch DNS Abfragen funktionieren nicht weil er den DNS nicht erreichen kann.

Wo hab ich was übersehen in der Konfiguration, wo setze ich eine evtl Gateway in alle Netze so das der normale IP WWW Traffic von den VPN-Clients dann nicht über mich läuft sondern über das Netz vom Client direkt. Und bei mir nur der Traffic zum "Homenetz".

Danke für Anregung.

# Update: 24.01.2018 / 14:15

- Die Netzwerke die ich Zugänglich machen möchte hab ich bei "Lokales IPv4-Netzwerk" mit 192.168.1.0/24, 192.168.68.0/24 eingetragen

Am Ende ist noch ein:
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.68.0 255.255.255.0"

gesetzt, muss ich noch irgendwie ein Interface anlegen?

Moment .. du verteilst auch im LAN als DNS die DMZ IP von der Firewall? Das würde ich anpassen. Du kannst ja je Subnet die DNS Server fix einstellen

Der Erste DNS-Server für das Netz ist der Windows Server der in der DMZ steht der die IP: 192.168.68.250 hat. Dieser wird auch so per DHCP im LAN-Netz an die Clients verteilt damit die Windows Clients den Weg zur Windows Domäne finden. Das wird ja über DNS-Einträge realisiert.

Diesen DNS-Server erhalten auch alle Geräte in der DMZ so nur als fixe Config.

Der zweite DNS-Server sieht wie folgt aus:

LAN-Netz: 192.168.1.254 (Firewall)
DMZ-Netz: 192.168.68.254 (Firewall)

Ich hoffe du konntest mir nun folgen ...

Das musst du dann noch freischalten, Quelle DMZ_NET, Ziel DMZ_address, protocol UDP, Port DNS/53

Sprich in meinem Fall:
Firewall IP LAN: 192.168.1.254
DMZ Interface IP: 192:168.68.254
WAN IP: 129.x.y.z

Erster DNS der auch per DHCP verteilt wird: 192.168.68.250
Zweiter DNS der auch per DHCP verteilt wird: 192.168.1.254 / In der DMZ 192.168.68.254 (Feste IP Konfig)

##
DMZ_NET, Ziel 192.168.68.254, UDP Port DNS/53

##

Ergebnis ?

Ich Betreiber in der DMZ aktuelle einen Windows Server mit AD. Dieser ist für die Windows Clients und Linux-Server erster DNS. Als zweiter DNS ist aktuelle die Firewall eingetragen. Alles was der Windows DNS nicht kennt gibt er an die Firewall weiter. Benötige ich dann auch noch den DNS Allow Eintrag DMZ-Bereich in der Firewall ? Oder würde das auch so funktionieren?

Hallo Zusammen,

wie der Titel schon sagt möchte ich das Firewallsystem wechseln, und hab ein paar Fragen die vielleicht überholt sind aber auf dem ersten Blick verstehe ich es nicht.

1: Zugriff LAN zum Internet

Nach der Setup ist es ja so das der Zugriff zum Internet aus dem LAN sofort funktioniert, alle Ports alle Dienste. Ich möchte das umstellen. Der Zugriff soll möglich sein, aber nur für die Protokolle (SSH, HTTP/S, FTP usw.) sprich alles was von mir nicht mit Erlaubt eingetragen wurde ist geht nicht nach extern.  Wie sieht da so eine Regeltabelle aus (Screenshot erwünscht)

2: DMZ
Ich habe es geschafft, das ich eine DMZ angelegt habe. Auch hier möchte ich es so einrichten das Server in der DMZ bestimmte Sachen im Internet erreichen können (http/s, ftp).

Ich tu mich gerade einfach etwas schwer das Regelwerk der Firewall zu verstehen. Ich freue mich über Tipps und Anregungen.

Danke