Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - mrrobot

#1
German - Deutsch / IPsec Firewall 17.1.4
April 01, 2017, 09:32:06 PM
Guten Abend,

vorab möchte ich sagen, dass ich die Frage schon im Englischen Forum gestellt habe, jedoch keine Antwort erhalten habe. Da ich hoffe, dass hier andere User unterwegs sind, die mir weiterhelfen können eröffne ich hier nochmal einen Thread.

Ich setzte seit kurzem OPNsense als Ersatz für einen Bintec RS120 hinter einem Kabel Deutschland Modem ein.
Bisher bin ich super zufrieden, jedoch habe ich zwei Probleme beim Einrichten der IPsec C2L Roadwarrior Tunnel.

1. Traffic fließt nur über den Tunnel (getestet vorab mit ping) wenn in der Firewall (Tab IPsec) eine Any-Regel angelegt wird
IPv4 *  *  *  *  *  *


Sobald zum Beispiel in der Destination ein Single-Host gesetzt wird oder mein komplettes internes Netz funktioniert der Ping nicht mehr.
In den Firewall-Logs tauchen die Pakete als geblockt auf (Default Deny Rule).
Beim Erstellen einer Quick Pass Rule wird zwar die Regel erzeugt, die Pakete jedoch weiter geblockt (Default Deny Rule).

Mache ich hier etwas falsch oder liegt hier evtl. ein Bug vor?

2. Ist es möglich (bei generell funktionierender Firewall) die IPsec-Clients unterschiedlich zu filtern (Beispiel: Roadwarrior 1 darf nur auf Server 10.1.1.1 via FTP; Roadwarrior 2 darf auf komplettes Netz via HTTP usw).
Ggf. durch feste Leases sodass die Einwählenden immer die gleiche IP erhalten?


Vielen Dank schon im voraus.

VIele Grüße.
#2
Hello to everyone,

i just set up my first OPNsense VM (OPNsense 17.1-amd64, FreeBSD 11.0-RELEASE-p7) with two interfaces (WAN/LAN) for my Internet-Access.

Currently i`m trying to migrate my VPN-Tunnels (IPsec, C2L/Roadwarrior; Android,Shrew, iOS) to OPNsense. On my current productive Router it is possible to create firewall rules for each tunnel so that not each Client has the same access rights.

Is this even possible on OPNsense or is it only possible to create one global Firewall set for all IPsec clients?

Thank you for your help

Btw: Is there any reason that i can access my network over VPN (only ICMP tested so far) if my only IPsec rule is set to

IPv4*  *  *  *  *  *

but if it is set to

IPv4*  IPsec net  *  *  *  *  or IPv4*  10.0.0.1  *  *  *  * it is not working (10.0.0.1 is the first CLient IP which my Roadwarrior got assigned while testing)