16
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
« on: August 01, 2017, 08:33:29 pm »
Das kann nicht stimmen. Der Traffic aus dem AWS VPC muss über die interne IP eurer Firewall gehen
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: 1 [2]
17
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
« on: August 01, 2017, 08:12:34 pm »
Wenn AWS VPN:
Bist nach dieser Anleitung vorgegangen?
Bist nach dieser Anleitung vorgegangen?
18
German - Deutsch / Re: Probleme mit AWS Site to Site VPN
« on: August 01, 2017, 08:10:17 pm »
Ich nehme an, du benutzt das AWS eigene VPN oder hast Du dir eine eigene VPN mit StrongSwan erstellt?
Das gleiche Problem hatte ich mit IPFire und hatte deswegen eine eigene Instanz benutzt. Im Zuge der Umstellung auf OPNSense (am folgenden Wochenende geplant) will ich das auf die AWS VPN Lösung umstellen. Dann kann ich Dir berichten
Viele Grüße
Jörg
Das gleiche Problem hatte ich mit IPFire und hatte deswegen eine eigene Instanz benutzt. Im Zuge der Umstellung auf OPNSense (am folgenden Wochenende geplant) will ich das auf die AWS VPN Lösung umstellen. Dann kann ich Dir berichten
Viele Grüße
Jörg
19
German - Deutsch / Re: Brauche Hilfe für einen Outside Proxy
« on: August 01, 2017, 08:05:16 pm »
Hi,
ein Redirect wird nicht funktionieren. Also ich muss ein bisschen ausholen.
Unsere produktiven Server greifen bei verschiedenen Dienstleistern (whitelisted IPs) auf APIs zu.
Für den Testbetrieb können wir leider nur eine IP anmeden, deswegen der proxy über unsere Outside IP. Diverse Testserver und auch unsere Entwickler Mac's ob von zuhause, unterwegs oder im Office müssen dann durch uns geproxied werden, da nur die Office IP whitelisted ist.
Viele Grüße
Jörg
ein Redirect wird nicht funktionieren. Also ich muss ein bisschen ausholen.
Unsere produktiven Server greifen bei verschiedenen Dienstleistern (whitelisted IPs) auf APIs zu.
Für den Testbetrieb können wir leider nur eine IP anmeden, deswegen der proxy über unsere Outside IP. Diverse Testserver und auch unsere Entwickler Mac's ob von zuhause, unterwegs oder im Office müssen dann durch uns geproxied werden, da nur die Office IP whitelisted ist.
Viele Grüße
Jörg
20
German - Deutsch / [SOLVED] Brauche Hilfe für einen Outside Proxy
« on: July 25, 2017, 08:49:43 am »
Hi Folks,
bis jetzt bin ich noch zu keiner Lösung gekommen, aber vielleicht kann mir von euch jemand helfen.
Szenario:
Von bestimmten Outside IPs wird eine Verbindung zum Router mittels HTTPS aufgebaut. Diese sollen über einen Proxy an eine andere Domain geproxied werden, abhängig von der URI.
Beispiel:
Router = xyz.domainA.com
Anfrage an https://xyz.domainA.com/bla1 soll an https://server.domainB.com/bla1/irgendwas.pl
Anfrage an https://xyz.domainA.com/bla2 soll an https://server.domainC.com/bla2/irgendwasanderes.pl
und vier weitere.
Na klar könnte ich einen Server ins Büro stellen, aber wir wollen ja den letzten Server abschalten, da wir nur noch Cloud Services benutzen. Allerdings brauche ich irgendwas wo ich die o.a. Anfragen über einen Proxy wieder weiterleiten kann.
Ich bin mir noch nicht ganz sicher, wäre der Relayd Proxy das Tool der Wahl?
Viele Grüße
Jörg
bis jetzt bin ich noch zu keiner Lösung gekommen, aber vielleicht kann mir von euch jemand helfen.
Szenario:
Von bestimmten Outside IPs wird eine Verbindung zum Router mittels HTTPS aufgebaut. Diese sollen über einen Proxy an eine andere Domain geproxied werden, abhängig von der URI.
Beispiel:
Router = xyz.domainA.com
Anfrage an https://xyz.domainA.com/bla1 soll an https://server.domainB.com/bla1/irgendwas.pl
Anfrage an https://xyz.domainA.com/bla2 soll an https://server.domainC.com/bla2/irgendwasanderes.pl
und vier weitere.
Na klar könnte ich einen Server ins Büro stellen, aber wir wollen ja den letzten Server abschalten, da wir nur noch Cloud Services benutzen. Allerdings brauche ich irgendwas wo ich die o.a. Anfragen über einen Proxy wieder weiterleiten kann.
Ich bin mir noch nicht ganz sicher, wäre der Relayd Proxy das Tool der Wahl?
Viele Grüße
Jörg
21
German - Deutsch / Re: Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?
« on: July 17, 2017, 07:33:53 pm »Wie schlägt sich denn das USG im Business Einsatz?
Ist ja doch eher ein Consumer Produkt.
Die USG ist eigentlich ein Mittelding zwischen KMU und Consumer. Störend ist, dass man einen Controller für Änderungen braucht. Eine Container mit Java, Tomcat und einer MongoDB. Wenn man einen Admin ist das OK, aber bei. zwei muss man eine dedizierte Workstation haben. Die USG wird aber abgelöst, da ich eine weitere ASG günstig ersteigern konnte. Ansonsten ist die Leistung der USG passabel
Grüße
Jörg
22
German - Deutsch / Re: Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?
« on: July 17, 2017, 12:49:48 pm »
Passt nicht 1000% zum Threat aber 999% geht auch 
Ich werde OPNSense ab nächster Woche bei uns in der Firma einsetzen, aber ein bisschen mehr im Enterprise Umfeld. Die Umrüstung habe ich soweit vorbereitet, werde aber noch ein wenig testen bevor es in zwei Wochen ernst wird.
Die bisherigen Umgebungen:
2 x Astaro (Sophos) ASG 220 mit UTM 9.5
danach 1 x Astaro (Sophos) ASG 220 mit IPFire
Anbindung 1 x 1 GBit/s (momentan, demnächst 2 x 1 GBit/s)
1 x DSL 50/5 als Backup
Bisher waren wir eigentlich mit den Astaros sehr zufrieden, allerdings sind die Lizenzkosten pro. Jahr sehr unverschämt. Seit Anfang des Jahres gibt es dafür keine Lizenzen mehr, so dass wir IPFire eingesetzt haben. Backup Betrieb ist damit nicht möglich, bzw. nur mit erheblichen Klimmzügen.
Die Hardware der Astaro ASG 220 ist eine Nexcom NSA 3110 mit einem 2,2GHZ Celeron Dual-Core mit 4 GB
Nach langen suchen nach alternativen (IPFire hinkt im Bereich IPSec extrem hinterher) bin ich vor 3 Monaten auf OPNSense gestoßen. Natürlich über den Umweg pfSense, die Gründe warum wir OPNSense einsetzen werden, lass ich mal im Raum stehen.
Was für Anforderungen haben wir:
4 x 2 IPSec Tunnel zu unseren Datacentern, x 2 wegen Failover im Datacenter. Die Gegenstelle ist immer eine Cisco Series
25 x IPSec Roadwarrier Tunnel für Remote Access
25 x OpenVPN Tunnel für Remote Access (wir bieten bei uns beides an)
Dazu kommt noch ein Branch Office mit einer Ubiquiti USG die auch einen IPSec Tunnel zu uns bekommt
Als nächster Schritt nach der Migration, die zweite ASG 220 als Failover einrichten.
Ich sagte ja, weniger Home Bereich dafür mehr Enterprise Bereich
Viele Grüße
Jörg
Ich werde OPNSense ab nächster Woche bei uns in der Firma einsetzen, aber ein bisschen mehr im Enterprise Umfeld. Die Umrüstung habe ich soweit vorbereitet, werde aber noch ein wenig testen bevor es in zwei Wochen ernst wird.
Die bisherigen Umgebungen:
2 x Astaro (Sophos) ASG 220 mit UTM 9.5
danach 1 x Astaro (Sophos) ASG 220 mit IPFire
Anbindung 1 x 1 GBit/s (momentan, demnächst 2 x 1 GBit/s)
1 x DSL 50/5 als Backup
Bisher waren wir eigentlich mit den Astaros sehr zufrieden, allerdings sind die Lizenzkosten pro. Jahr sehr unverschämt. Seit Anfang des Jahres gibt es dafür keine Lizenzen mehr, so dass wir IPFire eingesetzt haben. Backup Betrieb ist damit nicht möglich, bzw. nur mit erheblichen Klimmzügen.
Die Hardware der Astaro ASG 220 ist eine Nexcom NSA 3110 mit einem 2,2GHZ Celeron Dual-Core mit 4 GB
Nach langen suchen nach alternativen (IPFire hinkt im Bereich IPSec extrem hinterher) bin ich vor 3 Monaten auf OPNSense gestoßen. Natürlich über den Umweg pfSense, die Gründe warum wir OPNSense einsetzen werden, lass ich mal im Raum stehen.
Was für Anforderungen haben wir:
4 x 2 IPSec Tunnel zu unseren Datacentern, x 2 wegen Failover im Datacenter. Die Gegenstelle ist immer eine Cisco Series
25 x IPSec Roadwarrier Tunnel für Remote Access
25 x OpenVPN Tunnel für Remote Access (wir bieten bei uns beides an)
Dazu kommt noch ein Branch Office mit einer Ubiquiti USG die auch einen IPSec Tunnel zu uns bekommt
Als nächster Schritt nach der Migration, die zweite ASG 220 als Failover einrichten.
Ich sagte ja, weniger Home Bereich dafür mehr Enterprise Bereich
Viele Grüße
Jörg
23
German - Deutsch / Re: IPSEC - wie mit verschiedenen mobile Clients - Blackberry, IPhone, Android
« on: March 03, 2017, 10:33:13 am »
Also aus meiner Erfahrung, sollten alle gängigen Mobile Devices SHA-256-MODP-2048 unterstützen.
Ab iOS 8 bzw. Android 5 geht das zumindest.
Ab iOS 8 bzw. Android 5 geht das zumindest.
24
German - Deutsch / Re: Geht das mit mit OPNsense
« on: February 27, 2017, 02:25:55 pm »
Aus zeitlichen Gründen bin ich noch nicht dazu gekommen. Werde aber sofort berichten, wenn alles läuft.
Wir haben ein reines DSL Modem davor, keinen Router. Ich werde es auch nur mit dem DSL Modem und einem Switch probieren.
Viele Grüße
Jörg
Wir haben ein reines DSL Modem davor, keinen Router. Ich werde es auch nur mit dem DSL Modem und einem Switch probieren.
Viele Grüße
Jörg
25
German - Deutsch / Re: Geht das mit mit OPNsense
« on: February 18, 2017, 11:32:46 am »Also ich habe sowohl Roadwarrior als auch Net to Net auf OPNsense laufen gehabt, aber noch nie beides gleichzeitig. Ich würde daher vermuten, dass es funktioniert.
Roadwarrior brauchen aber vermutlich NAT-T, weil ansonsten die Pakete beschädigt werden könnten. Ich könnte mir vorstellen, dass es Probleme mit Roadwarrior-Verbindungen geben kann, die von einer Quell-IP kommen, für die auch ein Tunnel konfiguriert ist.
Es rockt wie Sa.... Nein ehrlich, es läuft sogar richtig gut. Vor allem im Mischbetrieb Net->Net mit PSK und RW mit Zertifikat und Xauth.
War noch nicht mal fummelig, sondern sehr einfach einzustellen.
Dann werde ich mich auch mal an Carp rantrauen. Aber da habe ich jetzt keine große Angst mehr
Gruß
Jörg
26
German - Deutsch / Re: Geht das mit mit OPNsense
« on: February 10, 2017, 04:51:59 pm »
Ok ich hole mal ein bisschen weiter aus.
IPSec Net->Net:
Dies sind die 4 Tunnel die ich für die vier verschiedenen Rechenzentren benötige. Die sind fix und werden
über die DPD überwacht. Auf der Gegenseite ist ein kleiner Nano Server mit StrongSWAN mit DPD Config.
OpenVPN:
Die Mitarbeiter können mit ihren MacBooks auch von zu Hause arbeiten, dann allerdings über eine OpenVPN Verbindung.
Bis hierhin ist es erstmal Standard, was jede Firewall kann. Jetzt kommt der Sonderfall, wo z.B. IPFire nicht mitspielt
IPSec Roadwarrier:
Die iPhones, iPads und auch einige Android Geräte benötigen die RW Config. Klar es gibt auch Zusatzsoftware womit man OpenVPN auf deinem iPhone hinbekommt. Aber das ist bei uns nicht gewollt. Also muss es IPSec RW sein.
Und genau darauf zielte meine Frage. Kann OPNsense diesen Mischbetrieb. Also IPSec N->N und RW
Grüße
Jörg
IPSec Net->Net:
Dies sind die 4 Tunnel die ich für die vier verschiedenen Rechenzentren benötige. Die sind fix und werden
über die DPD überwacht. Auf der Gegenseite ist ein kleiner Nano Server mit StrongSWAN mit DPD Config.
OpenVPN:
Die Mitarbeiter können mit ihren MacBooks auch von zu Hause arbeiten, dann allerdings über eine OpenVPN Verbindung.
Bis hierhin ist es erstmal Standard, was jede Firewall kann. Jetzt kommt der Sonderfall, wo z.B. IPFire nicht mitspielt
IPSec Roadwarrier:
Die iPhones, iPads und auch einige Android Geräte benötigen die RW Config. Klar es gibt auch Zusatzsoftware womit man OpenVPN auf deinem iPhone hinbekommt. Aber das ist bei uns nicht gewollt. Also muss es IPSec RW sein.
Und genau darauf zielte meine Frage. Kann OPNsense diesen Mischbetrieb. Also IPSec N->N und RW
Grüße
Jörg
27
German - Deutsch / Geht das mit mit OPNsense
« on: February 02, 2017, 04:18:06 pm »
Hi zusammen,
bin gerade dabei unsere ach so tollen Astaro ASG-220 Firewalls aus dem Fenster zu werfen. Nicht ganz, da es Standard x86-64 Hardware ist, kommt auf beide nach und nach OPNsense.
Die erste Appliance habe ich nach erstem Studium der Doku bereits mit OPNsense ausgestattet. Ich habe mal aber zwei Anfängerfragen, ob das überhaupt so geht, wie ich mir das vorstelle.
1. IPSec Net->Net und RoadWarrier
Ich benötige 4 IPSec Tunnel (Net->Net) um 4 Standorte anzubinden. Dass das geht weiß ich und ist Standard. Was erschwerend dazu kommt, ich muss gleichzeitig ca. 30 RoadWarrier anbinden. Ich hoffe OPNsense lässt einen Mischbetrieb zu (also Net->Net und Roadwarrier), es gibt etliche wie z.B. IPFire/IPCop bei denen es nicht funktioniert.
2. Carp
Hat eigentlich schon jemand mal CARP auf der WAN Seite mit einem VDSL Anschluß (Modem vorhanden) und nur einer Public IP versucht?
Was ich so in der Doku lese, benötige ich 3 Public IPs. Die bekomme ich aber von unserem regionalen Provider nicht.
Viele Grüße
Jörg
bin gerade dabei unsere ach so tollen Astaro ASG-220 Firewalls aus dem Fenster zu werfen. Nicht ganz, da es Standard x86-64 Hardware ist, kommt auf beide nach und nach OPNsense.
Die erste Appliance habe ich nach erstem Studium der Doku bereits mit OPNsense ausgestattet. Ich habe mal aber zwei Anfängerfragen, ob das überhaupt so geht, wie ich mir das vorstelle.
1. IPSec Net->Net und RoadWarrier
Ich benötige 4 IPSec Tunnel (Net->Net) um 4 Standorte anzubinden. Dass das geht weiß ich und ist Standard. Was erschwerend dazu kommt, ich muss gleichzeitig ca. 30 RoadWarrier anbinden. Ich hoffe OPNsense lässt einen Mischbetrieb zu (also Net->Net und Roadwarrier), es gibt etliche wie z.B. IPFire/IPCop bei denen es nicht funktioniert.
2. Carp
Hat eigentlich schon jemand mal CARP auf der WAN Seite mit einem VDSL Anschluß (Modem vorhanden) und nur einer Public IP versucht?
Was ich so in der Doku lese, benötige ich 3 Public IPs. Die bekomme ich aber von unserem regionalen Provider nicht.
Viele Grüße
Jörg
Pages: 1 [2]