Messages

1

German - Deutsch / Re: Ausgehende VPN Verbindungen fuer bestimmte Clients

« on: November 09, 2024, 07:04:18 pm »

OPNsense ist dein Gateway für die lokalen Geräte, oder nicht?

Bisher war dies sowohl in der produktiven Umgebung als auch im Test-Aufbau, nun habe ich mal alles zurueck gesetzt denn durchs falsche Verstaendniss der Regeln bzw. entsprechenden Punkte.

Wie waer denn jetzt eurer Vorgehen, Reihenfolge dies so umzusetzen?

2

German - Deutsch / Re: Ausgehende VPN Verbindungen fuer bestimmte Clients

« on: November 09, 2024, 04:47:17 pm »

Das nennt sich dann Policy based routing und ist hier beschrieben: https://docs.opnsense.org/manual/firewall.html#policy-based-routing

Wenn du den oben von mir vorgeschlagenen Alias (private IP Ranges) als Ziel einsetzt und da invert anhakst, trifft die Regel für alle Ziel IPs zu, die keine privaten Netze sind, also nur Ziel IPs im Internet, und das ist doch was du möchtest, so wie ich es verstanden habe.

Also ich stehe noch total auf dem Schlauch, wenn die VPN Verbindung Aktiv ist unter "Firewall", "NAT" -> "Outbound" habe ich den 'Hybrid Modus' aktiv, fuege dann eine Regel hinzu, dann packt er alles durch das VPN. (siehe Bild)
Ich habe dies eingeschraenkt mit Mac Adressen im Alias, was bei zwei Clients auch funktioniert, nur der dritte geht nicht ueber den normalen Anschluss mehr raus, also ohne VPN.
Jetzt suche ich aber auch noch danach das Gateway einzurichten, sehr gut waer dann ja dies im statischen DHCP entsprechend zu verteilen.
Grundsaetzlich moechte ich einen Bereich an IP-Adressen oder bestimmte IP Adressen immer dazu noetigen durch einen VPN Tunnel (Anbieter VyprVPN)  ins Internet zu kommunizieren. Die Systeme welche aber Dienste bereitstellen Wolke, VPN, TVHeadend sollten aber ueber den eigentlichen Anschluss heraus gehen.
Also ich habe es irgendwie hin bekommen, mit den Regeln so zu agieren das Alias_1 (Smartphone) sowohl ueber das VPN als auch ueber WAN kommuniziert, die gleiche Regel mit Alias_2 der ueber WAN nicht nicht ueber VPN raus soll, klappt so nicht.

Beste Aufgabe(n) bei dem biestigen Wetter hier im Norden! :-)

3

German - Deutsch / Re: Ausgehende VPN Verbindungen fuer bestimmte Clients

« on: November 08, 2024, 11:51:32 pm »

Das mit dem Gateway in der Firewall Regel? Das hast du bei deinem Test doch angewandt, oder?

An dem Punkt bin ich mir nicht ausreichend 'sicher' dies zu bestaetigen. 
Ich bin an meinem Test-Aufbau damit noch am tuefteln.

4

German - Deutsch / Re: Ausgehende VPN Verbindungen fuer bestimmte Clients

« on: November 03, 2024, 12:28:13 pm »

Um dieses auszuprobieren habe ich mir erst einmal ein altes Notebook gegriffen mit einer zweiten USB Netzwerkkarte ausgestattet und im Netzwerk konfiguriert. Zwar ist der WAN Anschluss mein eigentliches Netz, der LAN aber ein eigener Bereich mit nem Notebook und Smartphone als Client dahinter.

Ich bin der Einrichtung der OpenVPN Verbindung von VyprVPN gefolgt, somit wirft die OPNSense danach alles durch den Tunnel.

Dann habe ich einen Alias angepasst mit der MAC Adresse meines Smartphones und einen Alias mit der MAC meines Notebooks, auch die ausgehenden Regeln habe ich manuelle angelegt, mein Smartphone wird via VPN ins Netz gelassen mein Notebook in dem Falle nicht. Trage ich die MAC des Notebooks in den ersten Alias ein, laeuft auch dieses Problemlos dadrueber.

Das mit den Gateways habe ich jetzt noch nicht ganz verstanden, ebenfalls denke ich happert es an meinen Regeln. Ich nehme da gern den ein oder anderen Tipp, was ich uebersehe.



Mit sonnigem Gruß Kaffeemaschine

5

German - Deutsch / Ausgehende VPN Verbindungen fuer bestimmte Clients

« on: November 02, 2024, 12:37:40 pm »

Hey Community,

ich versuche mal meinen Ansatz zu erklaeren und hoffe ihr habt ein paar Tipps was dann der wohlmoeglich beste Weg waere dieses umzusetzen.

Ich habe die Moeglichkeit ueber verschiedene VPNs (VyprVPN und private Systeme) nutzen zu koennen,  nun aber meine Frage wie kann ich bestimmten Clients zuweisen, ihren gesamten Datenverkehr zum Internet durch das VPN zu senden, weiterhin aber im internen Netzwerk erreichbar zu sein. Dies sollte aber auf der OPNsense Maschine passieren und nicht via Software-Client auf jedem einzelnen System.

Die selbst gehosteten Dienste sollen aber von den VPN Verbindungen unangetastet bleiben?


Besten Gruß Kaffeemaschine

6

German - Deutsch / Re: Die beste Konfiguration des WAN Anschlusses

« on: November 02, 2024, 12:01:06 pm »

Danke Maurice,

die Fehlermeldung scheint sich damit tatsaechlich auch aufgehoben zu haben. Ist es denn Empfehlenswert die 'Length' auch unter dem Punkt 'Router Advertisement' anzupassen?

Besten Gruß Kaffeemaschine

7

German - Deutsch / Re: Die beste Konfiguration des WAN Anschlusses

« on: November 01, 2024, 11:54:44 pm »

Hey Maurice,

bis ich ueber den Punkt gestolpert bin habe ich mir das Einstellungsfenster 2x anschauen muessen, dort habe ich einen 48er Prefix.

Was waer denn laut dessen, die beste Konfiguration? :-)

Gruß Kaffeemaschine

8

German - Deutsch / Die beste Konfiguration des WAN Anschlusses

« on: November 01, 2024, 04:51:39 pm »

Hey Community,

ich benoetige mal eure Unterstuetzung, es hat sich mein Internet Anbieter von VDSL zu Glasfaser geaendert hier habe auch einen Dual-Stack Anschluss gebucht damit ich IPv4 und v6 Adresse bekomme und kein CGNAT.

Nun bin ich im Log (System->Log Files -> General) mehrfach ueber die Eintraege "Warning radvd prefix length should be 64 for re0" gestolpert und habe jetzt einige male an den Konfigurationen herum probiert, hier bin ich mir aber nicht sicher ob dies korrekt ist. (re0 ist bei mir aber mein LAN Interface)

Mein ISP nennt sich Luenecom und jetzt habe ich schon die Schnittstellenbeschreibung herunter geladen, aber so Richtig schlau welcher Prefix wo sitzt, bin ich damit noch nicht geworden.

Im der Konfiguration vom 'Router Advertisement' steht auf 'Assisted' mit einem leeren Prefix Feld aber einer Laenge von 128. Unter Interfaces am "WAN" habe ich eine 'Prefix Delegation Size' von '56' stehen.

An meinem Anschluss laufen ebenfalls Dienste die ich von außen zugaenglich habe, diese wuerde ich Zukunft gerne auch ueber Funktionstuechtiges IPv4 und IPv6 anbieten koennen, aber irgendwie klemmt es dort bisher. Auf die ein oder andere Empfehlung waer ich sehr erfreut!

Mit besten Gruß, eure Kaffeemaschine

9

German - Deutsch / Re: RRD Graphen - Sehe Wald vor lauter Bäumen nicht . . .

« on: May 30, 2018, 11:21:25 pm »

hat Ihr Euch schon mal Netflow angesehen?
AFAIK ist es damit kein Problem den genauen Traffic auf jedem Interface zu loggen.

Natürlich, ich versuche ja auch die entsprechende Information aus Netflow heraus zu kitzeln, kannst du mir einen Tipp geben?  Die Daten wären doch vorhanden, jetzt nur noch zu sehen wieviel Traffic (eingehend+ausgehend) am Tag erzeugt wurde.

10

German - Deutsch / Re: RRD Graphen - Sehe Wald vor lauter Bäumen nicht . . .

« on: May 27, 2018, 04:34:53 pm »

Hast du mittlerweile die Kettensäge gefunden? Denn hier sind ebenfalls so viele Bäume in meinem Wald. Zwar habe ich doch unter "Berichtserstattung" -> "Gesundheit" Reiter "Traffic" Unterpunkt "WAN". Dort hätte ich ja irgendwie erhofft/erwartet eine gesamt Summe "Eingehend/Ausgehend/Gesamt" zu sehen. 

11

German - Deutsch / Re: DNAT Frage

« on: May 27, 2018, 04:03:02 pm »

Hat deine Freigabe mittlerweile Funktioniert und der Receiver geupdated?

12

German - Deutsch / Re: url blockieren

« on: May 27, 2018, 02:14:46 pm »

Ich befinde mich ebenfalls auf der Suche nach einer "ganz simplen" Lösung, als Adblocker habe ich in meinen vergangenen OpenWRT Systemen immer dieses Script hier (OpenWRT Adblock.sh) benutzt, simpel und sehr Wirkungsvoll.

An etwas, was so "ähnlich' sein kann ist vielleicht dieses hier.

Denn auf einen Proxy setzen, wollte ich nicht zusätzlich anstreben.