Messages

Falls irgendwer vor dem selben Problem steht.

Die Lösung ist hier zu finden:

https://forum.opnsense.org/index.php?topic=36045.msg211867#msg211867

Ich hatte die ausgehende NAT Regel auf dem WAN Interface nicht angepasst. Dort muss als Quelle dann das OpenVPN Netzwerk eingetragen werden. Siehe Screenshot

Prinzipiell benutzt PiHole (192.168.22.4) die OPNsense (192.168.22.254) als default gateway.

Bei den rekursiven Queries stehe ich gerade auf dem Schlauch. Wo kann ich das nachschauen?

Selbst wenn es ne falsche Konfiguration seitens PiHole gibt, dann müsste der OpenVPN Client ja dennoch bspw. über 8.8.8.8 die Websites auflösen können.

Es hat vorher ja auch mit OpenVPN Server (legacy) funktioniert.

Vielleicht fange ich morgen einfach noch mal von Scratch an.

Hi Zusammen,

ich habe mir ein neues OpenVPN eingerichtet. Der Verbindungsaufbau klappt soweit auch und ich kann vom Client auf mein lokales Netz zugreifen.

Ich hab lediglich Probleme mit der Namensauflösung.

Meine entsprechenden OpenVPN Settings seht ihr im Screenshot. Ich habe zu Testzwecken mal mehrere IPs eingetragen, weil ich dachte ich habe keinen Zugriff auf meinen lokalen DNS Server (PiHole/192.168.22.4) Der Push Befehl in den Logs sieht jetzt auch nicht verkehrt aus.

Code Select Expand

DeviceA/x.x.x.x:1357 SENT CONTROL [DeviceA]: 'PUSH_REPLY,redirect-gateway local,register-dns,dhcp-option DNS 10.10.20.1,dhcp-option DNS 8.8.8.8,dhcp-option DNS 192.168.22.4,dhcp-option DNS 192.168.22.254,register-dns,route 192.168.22.0 255.255.255.0,route-gateway 10.10.20.1,topology subnet,ifconfig 10.10.20.2 255.255.255.0,peer-id 0,cipher AES-256-GCM,protocol-flags cc-exit tls-ekm dyn-tls-crypt,tun-mtu 1500' (status=1)


In den Firewall Settings habe ich auf der OpenVPN Schnittstelle den gesamten Traffic erlaubt.

Was habe ich übersehen?

Beste Grüße
Jonny

Hi Harry,

danke für die deine Antwort. Du hattest recht, ich hatte da wirklich einen Denkfehler mit meinem VLAN.

Mittlerweile habe ich es über Variante 1 zum laufen gebracht.

Ich habe erst versucht, es über Variante 2 zum laufen zu bringen, aber ich habe es nicht komplett hinbekommen. Bei Variante zwei musste ich noch im Switch die PVID eingeben. Mit Variante zwei hat es zwar auch einigermaßen funktioniert, allerdings hat sich mein AP eine IP aus dem Gästenetz gezogen. Eigentlich sollte er eine IP aus dem LAN bekommen und über den VLAN Tag das Gästenetz anbieten.

An sich finde ich Variante zwei schöner. Ich habe sowieso noch keine Verwendung für die dritte Schnittstelle, aber egal, jetzt klappts erstmal :)

Danke für deine Hilfe!

Hallo Zusammen,

ich bin gerade dabei auf meinem Ubiquiti Ac Pro ein Gäste WLAN per VLAN einzurichten, allerdings hakt es bei mir noch an einigen Stellen. Zwar bietet der Unifi Controller eine eigene Möglichkeit das LAN Netz zu isolieren, aber mit dem Gedanken kann ich mich nicht anfreunden.

Folgenden Aufbau habe ich bei mir.

Fritzbox --> OPNSense (APU2C4) --> Zyxel GS1900-24E --> Ubiquiti AC Pro.

Prinzipiell habe ich an der APU2C4 noch einen Port frei. Diesen würde ich gerne für ein eigenes Gästenetz benutzen.

Dafür habe ich in OPNSense eine neue Schnittstelle/Netz definiert und auf diesem ein neues VLAN definiert (VLAN Tag 44). Anschließend habe ich auf OPT1 den DHCP Server aktiviert und in der Firewall den Traffic ins LAN blockiert und sonst alles weitere erlaubt.

Im Switch habe ich einen neuen VLAN Untagged Port, ebenfalls mit VLAN Tag 44 an Port 24, erstellt und diesen mit dem freien Port der APU2C4 verbunden.

Im Unfi Controller habe ich ein neues WLAN erstellt und diesem den Tag 44 zugewiesen.

In meinem Kopf macht das alles Sinn, aber die Clients bekommen keine IP zugewiesen.

Ich bin mir auch noch nicht 100% Sicher, ob die VLAN Konfiguration am Switch korrekt ist. Prinzipiell könnte ich ja auch mit Tagged VLAN arbeiten und auf meinem LAN Interface ein neues VLAN erstellen oder? In meinem Kopf ist aber irgendwie sauberer, wenn die Gäste an einem eigenen Interface hängen.


Wieso bekommen ich im Gäste WLAN keine IP zugewiesen? Gibt es hier jemanden, der eine ähnliche Konfiguration hat?

Viele Grüße

Hi,
hast du denn auch die Firewall regeln angelegt?
was sagt die status seite?

Firewall regeln habe ich nur eine angelegt, aber da bin ich mir auch nicht sicher, ob die richtig ist.

Ich habe auf der LAN Schnittstelle eine regel definiert, die den Traffic aus dem LAN Netzwerk (192.168.22.0/24) in das Servernetzwerk (192.168.1.0/24) sowie das VPN Netz (10.8.3.0/24) erlaubt.

Da fehlt mir aktuell leider noch das Know-How.

Die Status Seite sagt, dass die Verbindung erfolgreich aufgebaut worden ist.

Viele Grüße

Hallo Zusammen,

bislang lief auf meinem Raspberry ein openVPN Client. Allerdings ist mal wieder die SD Karte hinüber, sodass ich den VPN Client auf die opnsense umziehen will.

Der VPN Server ist ebenfalls ein Raspberry mit PiVPN.

Server Netzwerk:
LAN: 192.168.1.0/24
VPN: 10.8.3.0/24

Client Netzwerk:
LAN: 192.168.22.0/24

Das ganze soll nicht als default-gateway eingerichtet werden, es soll nur ermöglicht werden bei Bedarf auf das Netzwerk zuzugreifen.

Nach etwas Recherche habe ich es geschafft die opnsense als VPN Client einzurichten, sodass ich von der opnsense das Server Netzwerk anpingen kann.

Allerdings bekomme ich es nicht hin, vom Client Netzwerk (192.168.22.0/24) auf das Server Netzwerk zuzugreifen.

Ich habe dazu ein, zwei Tutorials gefunden, aber letztendlich haben die mich mehr verwirrt, als sonst was.

Die entsprechenden Routen sind automatisch erstellt worden und an die ovpnc2 Schnittstelle gebunden.

Wenn ich in den Firewall Logs nachschaue und ein Ping von meinem PC (192.168.22.x) auf den OpenVPN Server absetze, dann wird dieser laut Logs auch durchgelassen, aber trotzdem ist der Server von meinem PC nicht erreichbar.

Aktuell komme ich so nicht wirklich weiter. Ich hoffe, dass mir einer euch helfen kann, um die nötigen Regeln etc. zu erstellen, die mir noch fehlen.

Grüße

Danke für deine Antwort.

Aber wieso funktioniert es nicht, wenn die Fritzbox bspw. 5 Tage in Betrieb ist? Die DNS Einträge haben sich dann ja aufjedenfall schon aktualisiert.

Das Problem tritt im übrigen nicht nur am Handy auf, sondern auch am Notebook. Die .conf kann ich gleich nachliefern.

So ganz versteh ich aber immer noch nicht wie ich das beheben soll.
Die angefragte IP Adresse im Client und der Fritzbox sind ja identisch. Aber trotzdem muss ich jedesmal die Fritzbox neustarten, wenn ich von Unterwegs ins eigene Netz will.

Hallo Zusammen,

habe ein Problem mit dem OpenVPN Server auf meiner OPNsense Box.

Das VPN funktioniert nur, wenn ich die Fritzbox neustarte. Das heißt findet ein IP wechsel an meinem DSL Anschluss statt, dann kann ich mich nicht mehr per VPN verbinden.

In der Android App erhalte ich die Fehlermeldung: "read UDP [EHOSTUNREACH]: No Route to host (code=113)

Damit ich mich wieder verbinden kann, muss ich die Fritzbox neustarten. Wenn ich die Fehlermeldung google, erhalte ich keinen passenden Lösungsvorschlag.

Zur Info auf der Fritzbox ist ein DynDNS eingerichtet. Die IP Adresse von meinem Anschluss wird auch vernünftig aufgelöst.
Ich hatte vorher einen Raspberry als VPN Server und hatte damit keinerlei Probleme.

Die OPNSense Box ist als exposed Host eingetragen.

In den VPN Logs von meiner APU2c4 steht dazu nix, das heißt die Pakete kommen gar nicht erst an. Ebenso konnte ich nix in den Firewall Logs finden.

Hat einer von euch eine Idee woran das liegen könnte?

Grüße
Jonny

Alles klar Danke!

Dann ist zumindest die erste Baustelle schon mal erledigt!  ;D

Danke für deine Antwort!

Was ich aber noch etwas komisch finde, ist, dass das Problem erst seit Version 18.x habe.

Unter 17.7 hatte ich das Problem noch nicht.


Also an sich klappt es jetzt, ich erhalte keine Disconnects mehr, aber im FW Log tauchen zum Teil immer noch Pakete auf, die geblockt werden.

Wenn ich später wieder Zuhause bin, dann mache ich davon nochmal ein Screenshot.

Danke soweit!

Habe mal kurz mit Visio was gezeichnet. Bitte seht von falsch verwendeten Symbolen etc ab.  ;D

Ich hoffe die Struktur ist zu erkennen.

Der VPN Client hängt am LAN Netz der opnsense Box.

Wenn sich jetzt der PC (192.168.22.2) per SSH zu dem VPN Server (192.168.1.2) bzw. generell zu allem, was sich in dem 192.168.1.0/24 Netz befindet, verbindet, erhält dieser einen Disconnect.

Die Routen sind erstellt und auch das Gateway für den VPN Client wurde eingerichtet.

Wie gesagt ich versteh gerade nicht, wo ich eine Regel für den Traffic definieren kann, den ich nach einem Request erhalte.

Ich dachte eigentlich, dass sich die Firewall den Request merkt und ich über den gemerkten Request, die Daten zurückerhalte.


Edit:
@Franco

also wenn ich den Status Tracking auf "Sloppy Status" setze, erhalte ich keine Disconnects mehr :D Aber so ganz warm werde ich mit dieser Einstellung aber nicht. Woran liegt das denn genau? Bei anderen Regeln z.B. Spotify oder DNS muss ich diese Option ja nicht setzen.

Danke für deine Antwort, aber so wirklich weiter komme ich damit nicht.

Ich habe ja nur 2 Interfaces (LAN und WAN)

Auf dem LAN Interface habe ich eine Regel die alles in das VPN Netz erlaubt.

Auf welchem Interface muss ich denn die Regel für den eingehenden Traffic definieren?

Danke gmu für deine Antwort.

Ich bin auf dem Gebiet leider noch nicht sehr erfahren, habe mit opnsense meinen TomatoUSB Router abgelöst und da musste/konnte ich keine fortgeschrittene Konfiguration vornehmen.


Ich habe mir die Logs nochmal genau angeschaut. Mir war bis dahin nicht ganz klar, dass die FW in zwei Richtungen entscheidet (IN/OUT).

Der Verbindungsaufbau (OUT) funktioniert, aber die Daten die zurückkommen werden blockiert (IN) und von der Default Deny Rule blockiert.

Das heißt alle Regeln (DNS/HTTP(S) etc.) die ich auf dem LAN Interface erstellt habe sind nur Regeln, die den Traffic nach draußen betreffen.

Jetzt habe ich gelesen, dass ich mittels Floating Rules Regeln für den eingehenden Traffic bestimmen kann.

Ist das richtig? Oder gibt es eine andere Möglichkeit?

Hallo Zusammen,

habe ein Problem mit der Konfiguration meiner Firewall.

Das Problem stellt sich so dar, dass die SSH Verbindung in ein entferntes VPN Netz von der Default Deny Rule betroffen ist, obwohl ich entsprechende Regeln definiert habe.

Der Verbindungsaufbau funktioniert, aber nach 10-20 Sekunden bricht die Verbindung ab und ich muss die Verbindung neu aufbauen.

Das ganze passiert mit der ALLOW Any Rule, als auch mit einer spezifischen Regel für SSH.

Als VPN Client dient ein Raspberry. Route und eigenes Gateway sind eingerichtet.

Regel für SSH:
Protokoll     Quelle           Port   Ziel        Port             Gateway
IPv4 TCP   LAN Netzwerk   *   *   22 (SSH)         VPNNetz   


Regel für VPN:
Protokoll     Quelle           Port   Ziel        Port             Gateway
IPv4 UDP   LAN Netzwerk   *   *   VPN_Port           *


Ich weiß gerade nicht, wo der Fehler liegen könnte. Vorallem weil der Verbindungsaufbau funktioniert und auch im FW Log entsprechende Einträge vorhanden sind, die die Verbindung erlauben, aber nach ein paar Sekunden greift die Default Deny Rule.

Hoffe mein Problem ist verständlich geworden, ansonsten werde ich versuchen das Problem genauer darzustellen.

Viele Grüße