Messages

Hallo Zusammen,

hat jemand schon mal Setup gemacht bei OpenVPN mit OPT als 2F. Wo Benutzer und Passwort aus einem LDAPs daher kommen und Gruppenmitgliedschaft" abgefragt wird.

Ich würde zu diesem User muss im LDAP VPN Berechtigt sein noch um einen OPT in der Abfrge erweitern auch mit Support vom OpenVPN Client als Zusatzfeld.

Geht das überhaupt ? Oder kommt hier besser RADIUS in Spiel ?

Da muss die externe IP-Adresse als Ziel stehen, nicht die Redirect-Adresse.

Funktioniert leider auch nicht. Wie kann ich den per Dump feststellen ob das UDP Paket überhaupt durch geht oder wo es evtl gedroppt wird.

Da muss die externe IP-Adresse als Ziel stehen, nicht die Redirect-Adresse.

Okay, dann frage ich mich aber warum alle meine anderen NAT Regeln so funktionieren? Ist das TCP egal. Oder wie ist da eigentlich best way? NAT auf erlauben stellen und selber ne Regel bauen?

Ich werde das auf jedenfalls mal probieren ....

Und wie sieht die Rule aus, die du assoziiert hast?

Aus dem WAN:

Code Select Expand

IPv4 TCP/UDP * * 192.168.115.100 akquinetMGM * *

Siehe Anhang.

Interface: WAN /24-Netz

Ziel den IP-Alias IP-Adresse/32 der auf dem WAN sitzt bzw angelegt ist.
Da drin befindet sich ein Alias der Port 1:65535 und der selbe Alias ist auch beim NAT Ziel im Einsatz.

TCP: Läuft
UDP: Nix

Die Filter Rul hat die FW selbständig beim ersten Abspeichern der NAT-Regel erstellt. Auch das auf Erlauben um zu stellen bewirkt nur TCP und UDP nichts.


Oder anders gefragt wie würdet Ihr eine Nat Regele bauen die alles was auf einer bestimmte WAN IP aufläuft 1:1 ans Ziel übergibt egal ob TCP oder UDP.

Zwei getrennte Regeln? Vielleicht kriegt die Firewall das nicht gebacken für beide Protokolle in einer?

Auch schon versucht, kein Erfolg. Selbst mal nur eine NAT-Regel nur auf UDP auf einen Fixen Port 161 kommt am Host nichts an. Auch finde ich nichts im Log oder ich schau falsch, warum die FW hier blocken würde.

Hast du bei der NAT Port Forward Regel auch bei Filter rule association "Pass" ausgewählt?

Folgende Versuche:

1. NAT erstellt automatisch eine Firewallregel -> kein erfolg bei UDP
2. NAT steht auf "Erlauben" -> kein erfolg bie UDP

Die NAT Regel tut auf TCP wunderbar, nur UDP nichts ...

Eigentlich hätte ich ja auch gerne etwas hilfe zu meiner Frage :)

Aber ja klar darfst du, ich hab zu einer Zeit wo Colocation im RZ noch eine andere Hausnummer war und IPv4 Adressen noch nicht knapp waren eine /24 Netz zum fixen Monatspreis bei Level 3 eingekauft. Und das hab ich seit dem "behalten" bei gleichem Preis. Manchmal lohnen sich entscheidungen aus den 2000er immer noch.

Hallo Zusammen,

ich hab ein Problem, was ich nicht ganz verstehe oder vielleicht auch falsch mache.

Ich besitze ein öffentliches IPv4 WAN-Netzwerk /24 und hab eine IP-Alias auf dem WAN-Interface angelegt.

Ich möchte jetzt von diesem IP-Alias alle Ports TCP & UDP an das Ziel weiter leiten.

Ich hab ein 1:1-NAT versucht da hat garnichts reagiert.

Ich hab eine Port Alias erstellt von 1:65535 und in eine normale NAT-Regel gesteckt. Alles was TCP ist funktioniert wunderbar. Alles was UDP ist nicht. Obwohl beim NAT IPv4 TCP/UDP angegeben ist. Auch die Regel zu trennen also eine NAT TCP ein NAT UDP bringt keinen erfolg.

Kurz gesagt ich such die option eine Expressfreigabe wie man Sie aus der fritz.box kennt mit alles von der einen IPv4 Adresse des Alias an das Ziel egal ob TCP oder UDP.

Was mach ich falsch?

Regel am Interface:

Quelle: 10.100.40.0/22
Protokoll: TCP
Ziel *
Port: 80 / 443

Und damit geht das ganze Internet dieser Welt ohne Probleme.
Und alles andere läuft über NAT-Reflektion.

NAT reflection: When a client on the internal network tries to access another client, but using the external IP instead of the internal one (which would the most logical), NAT reflection can rewrite this request so that it uses the internal IP, in order to avoid taking a detour and applying rules meant for actual outside traffic.

Wie im Anfang schon gesagt habe ich 4 weitere solche VRF aufbauten nur mit anderen privaten IP Adressen vom jeweiligen Provider der Anbindet. Und da gehts direkt. Und wenn ich NAT Reflekton aus mache gehts aus diesen Netzen auch nicht mehr. Nur im Netz 5 gehts drots aktivierte NAT Reflekton nicht. Und wenn ich mit auf der FW auf der shell mit tcpdump ans interface hänge und mein test pc als quelle nehme und alles auf port 443 mir anzeigen lasse sehe ich den Request vom Rechner wie er defentiv am Interface ankommt. Nur ich sehe keine Return. Oder bin zu doof für tcpdump. Aber mir kommts so vor als geht der Request in die FW und sunft dann ein.

Mein WAN Interface hängt direkt an einem RZ Router und wir direkt mit einem 129.X.X.X./24 scop bedient. Also auch keine fritz.box oder so dazwischen.

Ich weis zwar nicht wie IP Adressen bei NAT-Reflektion Problem weiterhelfen sollen aber hier der Aufbau vom Netz was nicht geht.

Code Select Expand

+--------------------------+                                                                                                           
|                          |                                                                                                           
| FW Cluster               |                                                                                                           
| tagged VLAN              |                                                                       -                                   
| 24  IP 10.100.32.249/29  |                                                                                                           
|                          |                                                                                                          -
+--------------------------+                                                                               -                           
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
             |                                                                                                                         
  +----------+-------------+                                                                                                           
  |                        |                                                                           +                               
  |    Router Provider     |                                                                                                           
  |    10.100.32.254/29    |                                                                                                           
  |                        |                                                                                                           
  |                        |                                                                                                           
  +---------+--------------+                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
            |                                                                                                                           
+---------------------------------------------------------------------+                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|            Standort IP Range 10.100.40.0/22 (DHCP)                  |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
|                                                                     |                                                                 
+---------------------------------------------------------------------+                                                                 

In Route nach 10.100.40.0/22 ist über das Gateway 10.100.32.254 angelegt im System.

Wenn ich mich an dem Standort mit meinem Notebook oder Testrechner reinsetze bekomme ich eine DHCP IP, ich kann google.de und heise.de und co aufrufen. Was ich nicht erreiche sind die Websiten oder Webdienste die an unseren WAN mit Port Weiterleitung hängen drotz aktivierte NAT Reflektion im System.

Hallo Zusammen,

ich hab an meinem OPNsense Cluster fünf VRF-VLANS hängen um Standorte an zu binden.
Eins davon ist neu. Bei den anderen VRF-Netzen kann ich Systeme die mit einer Portforwarding an der FW hängen ohne Probleme erreichen z.b Webserver.

In dem fünften VRF geht einfach gar nichts obwohl NAT- Reflektion für die Portweiterleitungen unter NAT aktiviert ist.

Jemand eine Idee?

Meine OPNsense ist auch up to date.

Das Problem ist ja das gar keine Verbindung aufgebaut wird. Es kommt nach Eingabe Benutzer + Passwort direkt zu besagten Fehlermeldung ohne das im Logfenster sich irgendwas richtung verbindungsaufbau tut.

Wenn ich eine Version runter gehe läuft es sofort.

Ich hab jetzt einfach OpenVPN deinstalliert, auch im Windowsprofil ordner den alten OpenVPN Odner mit Config und Logs gelöscht. Dann OpenVPN gestartet der Ordner wurde dann wieder herstellt. Hab meine Configs wieder in config rein kopiert und es läuft. Warum auch immer.

Hallo Zusammen,

ich hab gerade mal den letzen OpenVPN Client in der Version 2.5.4 installiert. Wenn ich meine Konfig Aufrufe bekomme ich direkt nach User + Passwor eingabe ein "Verbindung zu xyz fehlgeschlagen" ohne das etwas passiert. Mit 2.5.3 geht alles direkt und ohne Probleme.

Kennt jemand das Problem ?

Hallo Zusammen,

ich hab ein größeres Opnsens Cluster am laufen. Aktuell ist das "LAN" mit X VLANs als LACP LAG angelegt über zwei Netzwerkkarten mit 10 G over LWL. Sprich also 20 G nenn Leistung.

Ich habe noch einen PCIe-Slot im HP Server leer.

Ich habe jetz hier passend zum Server von Intel zwei 40G Cads mit passenden LWL Transreceivern. Auch mein Backend Switch kann mehrmals dicke 40G.

Ich würde jetzt gerne das LACP LAG gerne auf die 40G Cards umbauen so das auf jeder Card wird ein Port in Betrieb ist.

Wie gehe ich da am besten vor ohne das mir LAG und VLANS nach dem wieder hochfahren in der Konfig flöten gehen? Am besten nur so das ich die neuen Ports im LAG wieder zuordnen muss den die VLANs sind dem LAG zugeordnet.