Messages

Versuch doch mal das jeweilige Tunnelinterface anzupingen, so als ersten Prüfpunkt...

Wird ein wenig schwierig, da diese Interface keine IP haben.
Und über die Interfaces einen Ping aussetzen geht leider auch nicht.
Bei der OPNSense kann man im Web GUI das Interface nicht einmal auswählen und an der USG funktioniert der Befehl nicht sobald ich am Ping-Befehl sage, über welches Interface er pingen soll.

Ich glaube auch nicht, dass das Problem am Tunnel sondern am Routing liegt.
Da beide Firewalls über die Default-Route 0.0.0.0/0 hinaus gehen, obwohl beide Firewalls automatisch routen für die entfernten Subnetze konfigurieren (Min einer Distanz von 1).

Halli Hallo Zusammen :)

Mal wieder ein Problem... Und diesmal ein gröberes.
Ich versuche ein L2TP VPN auf meiner USG Pro 4 einzurichten. Das VPN funktioniert.
Nur hab ich kein Routing durch den IPSec-Tunnel in die Netze hinter der OPNSense.

Ich bin bereits auch seit 2 Wochen mit dem Support von Ubiquiti dran, nur komme ich dort nicht vorran... Mehr oder weniger schleppend...

Der Support ist auf den Entschluss gekommen, dass dies nicht funktionieren kann, da ich ein Policy-Based-IPSec habe und ein Route-Based-IPSec brauche, damit auch das Netzwerk des L2TP-VPN durchgeroutet wird.

Nun ist so, dass beide Firewalls anzeigen, dass der Tunnel (Phase 1 und 2) aufgebaut ist und geroutet wird. Trotzdem habe ich keine Verbindungen in die jeweils anderen Netzwerke...

Ergo: Mein gesamter IPSec-Tunnel funktioniert nicht.

Was mir dabei auffällt, ist, dass die USG (von Ubiquiti) jeglichen Traffic raus ins Internet routet und nicht über den IPSec-Tunnel, obwohl der Tunnel aufgebaut ist.

Ich habe auch versucht Statische Routen zu setzen, doch dies hilft auch nicht.

Ich bin nun mit meinem Latein am Ende.
Kann mir jemand dabei helfen? (ich glaube es liegt an der USG von Ubiquiti, daher glaube ich, dass sich jemand mit diesen Geräten auskennen müsste :P)

Zusatzinfo:
- Auf beiden Firewalls sind Regeln erstellt, dass jeglicher IPSec-Traffic zugelassen werden soll (Die USG macht dies automatisch und auf der OPNSense habe ich diese Regel definiert)
- Auf der OPNSense und auf der USG sind jeweils die neusten Patches installiert
- Eine Kommunikation zwischen beiden Geräten lieg auch vor, da sich der Tunnel aufbauen kann

Gruss
MBG

Punkt Sicherheit: IPSec unterstützt sehr viele sehr starke Verschlüsselungen.

Und IPSec ist wirklich ,,performanter".
Vielleicht speziel bei dir nicht aber kenne genug die IPSec für alles nutzen, nur aus Performancegründen.

Klar ist IPSec ,,fehleranfällig", da die Kompatibilität gegeben sein muss und die richtige Eingabe des Konfigurators.
Aber weil alles Senses sind ist die Kompatibilität gegeben und ja die Layer 8 Fehler kann man nicht umgehen.


Gesendet von iPhone mit Tapatalk

Es macht durchaus einen Unterschied ob man ESP (IPsec) oder OpenVPN nimmt, da ESP vom Kernel beschleunigt abgearbeitet werden kann und man so einen hohen Durchsatz erzielen kann und dabei die CPU last nicht so hoch ist wie bei TLS (das könnte sich in Zukunft zumindest auf Linux etwas angleichen mit dem Kernel-TLS support).

Der große Unterschied ist, ob es wie bei OpenVPN in TUN modus ein Transfernetz gibt oder nicht (IPsec routet ohne Transfernetz und OpenVPN im TAP-Modus emuliert einen Switch). Was man da haben will, hängt an den Anforderungen. Zudem muss man bei IPsec regeln, wie man mit ESP encapsulation umgehen will, weil NAT ohne UDP encapsulation Probleme macht.

Soviel mal zu den technischen Fragen. Wenn der Tunnel steht, würde ich auf einen der zwei Klassiker tippen:

* eine Firewall blockierts
* eine Route am jeweils anderen Netz fehlt, falls kein SNAT konfiguriert ist

Wow danke für die Bestätigung und die ausführlichere Erklärung auf das was ich hinaus wollte *-*!!!!

Aber genau aus dem Grund hab ich die Manual dazu getan, wie man in der Sense ein korrekte IPSec hinzufügt.

Aber das Problem mit ESP haste nicht.
Man muss auch keine NAT-Rules machen.
Zumindest nicht in der Sense.

IPSec dort einzurichten ist Pipifax.
Man muss nur gucken, dass man die richtigen Keys und Daten eingibt, sowie entfernte und lokale Netze + WAN-Rules, die die benötigten Ports aufmachen für den IPSec-Traffic.


Gesendet von iPhone mit Tapatalk

Vielleicht sollten wir einfach die Konfiguration von Canzler zum laufen bringen, wobei ich mir nicht sicher bin, ob es reicht den Standardport 1194 an die OPNsense dahinter durchzureichen. Das habe ich bisher nicht probiert, bei mir sind die Sensen immer auch Perimeterfirewalls....

Gute Frage nächste Frage... ;P
Theoretisch eigentlich schon

Beide FWs müssten sich ja auf den Port verbinden, um den Tunnel aufzubauen.
Die restlichen Ports sind ja dann dynamisch und diese verhandeln sie ja selbst aus...

Wüsste nicht warum der nicht ausreichen würde.



Gesendet von iPhone mit Tapatalk

Eieiei, weltweiter Standard (oder Standart? Wer weisss...). Jetzt bin ich beeindruckt. Hast du eine Quelle für solches Wissen?

Was soll ein "SSL-Client to site VPN" sein und wofür, wenn nicht site-to-site sollte der peer-tp-peer SSL/PSK mode bei openVPN gut sein, wenn nicht zum Verbinden von Standorten. :-)

Vielen Dank für die Korrektur... (passiert halt wenn man viel Englisch schreibt ;-) )

Meine Quelle sind meine Lehrbücher.
Plus bietet OpenVPN nur Client-Software an.
Bedeutet: Lokal installierte Software, die den Traffic von diesem einem Client durchs VPN auf eine VPN-Site leitet.

Wieso sollte dies für 2 oder mehr Sites gut sein?
Es kann zwar funktionieren, aber da nimmst du lieber eine VPN-Software die für Site-To-Site ist.

Vorallem nutzt du automatisch IPSec, wenn du Partnerfirmen als Router nutzt (zb: Global Cloud Exchange).

Schwer ist dies nicht zu konfigurieren. Und es läuft (zu mindest bei mir) wesentlich schneller als über OpenVPN.

PS: Dein Letzter Abschnitt ist schlecht leserlich... Da man nicht mehr versteht was gemeint ist.


Gesendet von iPhone mit Tapatalk

Weil dies ein SSL-Client-To-Site-VPN Service ist?

Offiziell sollte man dies so nicht verwenden.
Allein schon deswegen, da die Verschlüsselung reines SSL/TLS ist.

Aspekt zur Sicherheit: IPSec nutzt mehrere Verschlüsselungen und stärkere. Ergo: Der Datenverkehr ist sicherer

Zu mal IPsec für Site-To-Site ausgelegt ist. Und das weltweiter Standart ist.


Gesendet von iPhone mit Tapatalk

Wichtig! Alle Standorte brauchen eine fixe IP!

Nein, mit einem DynDNS-Service geht das auch mit dynamischer Adresse.

Zwei Dinge:

1. Outbound NAT sollte auf jeder Seite eine Regel für das Netzwerk auf der ANDEREN Seite des Tunnels haben (interface WAN).
2. openVPN Firewall tabs: Nicht vergessen entsprechende Regeln zu setzen, um den Verkehr zu erlauben.

Nur kann mit mit OpenVPN (Client-To-Site) kein Site-To-Site-VPN aufbauen...
Dazu benötigt man IPSec


Gesendet von iPhone mit Tapatalk

Haste bei IPSec die FWRules eingerichtet für die Netze und alle Netze bei jeder jeder FW eingetragen?

Sprich:
- Unter die FWRules von IPSec mal ein All:All machen (nur zum testen! damit wird jeder Traffic auf dem IPSec-Interface durchgelassen)
- In der IPSec-Config jeweils die entfernten Netze eingetragen, die man darüber erreichen soll (die muss auf beiden FWs passieren, damit dies funktioniert)

Kann heute Abend meine Config schicken.
Ist einfacher zu erklären.

Trotzdem hier die offizielle Anleitung von OPNSense: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

Vielleicht hilft die dir weiter.
Bei mir hat es so einwandfrei getan.

Wichtig! Alle Standorte brauchen eine fixe IP!


Gesendet von iPhone mit Tapatalk

Vielleicht versteh ich das Falsch aber untagged/tagged in doch nur bei Switches wirklich wichtig.

Diese Option setzt man pro Port und der Unterschied ist:
- Untagged: IP-Pakete die an dem Switch ankommen besitzen keine VLAN-Tag. Dadurch setzt der Switch den definierten untagged VLAN-Tag an den Paketen und schickt sie weiter.
- Tagged: IP-Pakete die an dem Switch ankommen besitzen einen VLAN-Tag. Der Switch macht nichts mit dem Tag und schickt das Paket einfach weiter

Die Firewall macht selbst nur tagged VLANs oder versteh ich das falsch?

Hint: Nutze selber VLANs und Smart-managed Switches von Netgear und musste mich selbst mit untagged/tagged auseinander setzen.

Hier ist noch eine gute Erklärung dazu: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

PS: Eine Firewall kann nicht mehrere untagged-VLANs auf einem Interface haben, da sie virtuelle Interfaces anlegt, die über den VLAN-Tag identifiziert werden.

Ich kann heute Abend mal meine Konfigurationen (FW, Switch) schicken, um alles klar darzustellen.


Gesendet von iPhone mit Tapatalk

Hallo white_rabbit,

wenn ich Dich richt verstehe hast Du 1 untagged VLAN und X tagged.

Dann brauchst Du doch nur die Tagged anlegen da dein Untagged ja die Schnittstelle LAN ist.

Lg

Kommt drauf an wenn das untagged VLAN1 ist und somit das Default VLAN.
Alle anderen bräuchten ein VLAN-Tag. Ansonsten bringt dieses untagged VLAN nichts beziehungsweise der VLAN-Tag, da er dann eh automatisch VLAN1 wird auf der Firewall.


Gesendet von iPhone mit Tapatalk

Also:
Vom Switch zur Firewall: tagged
Damit die Firewall die VLAN Tags bekommt

Vom Switch zum Endgerät kann untagged bleiben. Dann setz der Switch den Tag und schickt in am tagged Port zur Firewall mit.

Gruss
MBg


Gesendet von iPhone mit Tapatalk

Salute

Für den Switch ist der Traffic zur FW komplett tagged.
Die FW braucht immer die VLAN-Tags, da ja mehrere VLANs auf den selben Interface laufen.

Hint: Untagged brauchst du nur für Geräte, die selbst keinen VLAN-Tag setzen können (zb: Fernseher, Drucker usw.).

Gruss
MBG


Gesendet von iPhone mit Tapatalk

[Fazit:]

Hallo Dirk

ich gehe mal davon aus, dass Du auch den SSL-Traffic aufbrichst.

Ja... Obwohl lieber mein Ziel wäre den SSL-Trafic über den Proxy zu leiten ohne ihn aufzubrechen... Aber dies ist wahrscheinlich nicht möglich.

Schon mal viel Spaß beim pflegen der der Ausnahmeliste!!!  ;)

Danke!  :P

Proxy-Verteilung per GPO nutzt Dir nichts bei mobilen Devices (iPad/iPhone/Android). Wenn Du einen nichttransparenten Proxy nutzen willst, würde ich die Verteilung per wpad-datei machen! Dann braucht es keine GPO und mobile Devices kommen i.d.R. auch damit klar.

Mir ging es auch bei der Verteilung über die GPO auch darum, dass die mobilen Clients zum Proxy ausgeschlossen werden, damit Sachen wie Whatsapp, Facebook usw. funktionieren.
Wenn ich dies über eine WPAD-Datei mache, haben die mobilen Geräte ja auch wieder den Proxy drin...

Und ja, natürlich kannst Du in der FW auch Regeln definieren, dass z.B. Geräte die sich in einer bestimmten Alias-Gruppe befinden auch direkt ins Internet kommen.
Das sollte aber immer die letzte Option sein. Gerade wenn die Geräte wohlmöglich im gleichen Netz hängen, wie Deine anderen Geräte!
Ich nutze das bei mir zu Hause um unseren Smartphones den vollen WhatsApp Funktionsumfang zu ermöglichen.

Nur wie? Ich brauche diese Regel nur für unsere Smartphones. Ja Sie müssen im selben Netz hängen wie die Desktop-PCs, da wir Streaming-Geräte haben (z.B.: Sonos-Multi-Room-System, AppleTC, Chromecast), wo wir von PC und Handy drauf streamen und diese Geräte nicht für die Erkennung von VLANs ausgelegt sind...

Server liegen trotzdem nicht im selben Netz. Es teilen sich nur PCs, Smartphones und Multimedia-Geräte ein Netz.

Fazit:
Ich solle lieber eine GPO machen, die ich an die PCs (bzw. Userspezifisch auf die End-User) verteile, damit ich meine Smartphones und Streaming-Geräte vom Proxy ausschliessen kann, da die FW-Rule eher keine Option ist. Habe ich das richtig verstanden? :D

Gruss
Tony

Hallo Zusammen

Ich habe jetzt seit neustem in unserem Netzwerk einen transparenten Proxy eingerichtet (HTTP 80/HTTPS 443). Der funktioniert auch soweit gut (Bisl Arbeit wegen CA aber dank Group Policy alles tip top).

Ich bin aber jetzt auf ein paar merkwürdige Probleme gestossen, wo ich nicht ganz verstehe:

- VMware vSphere Client funktioniert nicht, da der Proxy-Server nicht https://localhost.localdomain aufrufen kann (so Fehlermeldung von Squid) -> Kann man für diese Domains/IPs Regeln erstellen, dass diese nicht über den Proxy laufen?
- Diverse mobile Apps auf den Smartphones funktionieren nicht mehr (zB.: Snapchat kann sich nicht mehr aktualisieren; Facebook läuft auch mehr schlecht als recht) -> Kann man vielleicht in der Firewall Regeln konfigurieren, dass diese Geräte, bevor die NAT-Rule zum transparenten Proxy greift, direkt ihre Anfragen senden und direkt eine Antwort bekommen? Oder müssen Sie dafür in ein eigenes Netzwerk? Oder muss ich den transparenten Proxy deaktivieren und die Proxy-Einstellungen via Group Policy verteilen?

Gruss und danke für eure Hilfe!

PS: Falls mir noch mehr auffällt, poste ich es hier auch drin.