Messages

1

German - Deutsch / Frage zu Netzwerktopologie / Switch / OpenVPN

« on: August 28, 2021, 08:16:37 am »

Hallo.
Ich habe aktuell einen Kunden, der "ganz überraschend jetzt" einen VPN Server bzgl. Homeoffice braucht.

Kurz zur Situation:
- An der bestehenden Verkabelung und Netzwerkkonfiguration etc. darf aktuell nichts verändert werden (das kommt dann in einigen Wochen erfahrungsgemäß).

- Ich überlege aktuell für den OpenVPN Server evt. eine OPNSense zu verweden. Das ist zwar Overload, aber es gibt ein schönes GUI und der OPNsense läuft schön rund. Der Kunde an sich wird zwar nichts dran Arbeiten, aber will immer einen "Einblick" haben. "Konsole only" vs .hübsche GUI ....könnt ihr euch denken

- Nebensächlich: Eventuell kommt er auf den Geschmack das eine Firewall doch irgendwie sinnvoll wäre und garnicht sooo kompliziert ist

Problem/Frage:
Es geht darum das sich Mitarbeiter von aussen verbinden können um die Server etc. im LAN zu benutzen. (Homeoffice)
Ich kann den OpenVPN Server nur an einen bestehenden Switch hängen, an dem auch die ganzen Clients hängen. Es gibt nur ein Subnet. Der vorhandene Standard-Router (Tel.Anbieter) bekommt eine Portfreigabe für OpenVPN.

1) Wie sieht das bzgl. Sicherheit aus, wenn ich vorher über einen Switch gehe ? Wär da nicht ein übergriff auf andere Geräte möglich ? Realistisch ?

2) Ist das Vorhaben so überhaupt mit OPNsense möglich, da ja dann auf dem "WAN" Interface (welches ja faktisch im LAN hängt) und am LAN Interface das gleiche Subnetz / gleicher IP Bereich liegt.


-> Bin wahrlich kein Experte auf dem Gebiet, betreibe aber selbst eine OPNsense seit Jahren und bin sehr zufrieden damit. Einiges an Hintergrundwissen vorhanden, aber so etwas wie oben stellt mich dann doch vor eine Fragen.

Code: [Select]

      WAN / Internet
            :
            :
      .-----+-----.
      |  Router   | (DSL)
      '-+-------+-'
        |       |
     LAN|       |LAN (192.168.1.0/24)
        |       |
.-------+----. .+-----------.   "WAN".------------.
|LAN-SwitchA | |LAN-SwitchB +--------+  OPNsense  | (OpenVPN Server)
'-----+------' '-------+--+-'        '------+-----'
      |                |  |                 |
      |                |  +-----------------+
      |                |
...---+---...    ...---+---...
       (Clients/Servers)


2

German - Deutsch / Re: Probleme mit OpenVPN / NAT

« on: January 31, 2019, 09:16:54 am »

Uuuuund : ich bin drin.

Anscheinend machte den unterschied wirklich der DynDNS auf dem Router ?!?
Habe den DynDNS auf der OPNsense noch deaktiviert und den Client-Export nochmal mit selbst eingetragenem Hostnamen gemacht.

Ich danke euch für diesen Tip

...wobei ichs trotzdem merkwürdig finde   Jetzt muss ich noch die FW Regeln etwas anpassen das ich ins LAN komme, aber das schaff ich denke ich.
Vielen Dank!

3

German - Deutsch / Re: Probleme mit OpenVPN / NAT

« on: January 31, 2019, 08:37:09 am »

Weder noch, es ist LTE (sitze im Ausland).

Allerdings - wie ich das sehe - bekomm ich immer die gleiche IP, zumindest habe ich min. die letzten 2 Wochen die gleiche    Per ping ist es erreichbar, und der Webserver war auch über den DynDNS Namen und die IP erreichbar.

Habe den DynDNS jetzt aber mal auf dem Router eingerichtet, der kann ausschließlich No-Ip.com und hatte da die einrichtung bislang verweigert.
Vielleicht ist auch einfach UPD blockiert...man weiß ja nie. Bisher getestet mit netcat  (netcat -z -v -u IP 1194), da sagt er open.

Seit der dyndns auf dem Router läuft wird die VPN Verbindung vom Handy immerhin "direkt" abgelehnt. Vorher hat er anscheinend ~1 Minute versucht den Server zu erreichen....ich werd da mal grad weiter forschen.... 

4

German - Deutsch / Probleme mit OpenVPN / NAT

« on: January 30, 2019, 01:02:38 pm »

Hallo,

- ich möchte mich vorab schon mal für das unprofessionelle wirrwarr entschuldigen

- Ich versuche aktuell von Unterwegs (also Handy etc.) via OpenVPN auf mein lokals Netzwerk zuzugreifen.

- DynDNS ist auf der OPNsense eingerichtet und funktioniert.

- In der OPNsense ist ein NAT eingerichtet weil aller LAN-Traffic nach aussen über ein (anderes) VPN läuft.

- Vor der OPNsense steht der Router vom Tel.Anbieter, der hat UDP 1194 freigegeben und zugeordnet an die WAN IP der OPNsense.

--> Problem: ich kriege keine Verbindung vom Handy (Android mit OpenVPN Connect).


Folgende Beobachtungen / Tests :

- Bin ich mit dem Handy im WLAN des Routers, kann ich mich problemlos verbinden (über die OPNsense WAN IP, nicht den DynDNS Namen). (Firewallregeln sind dafür eingerichtet.)

- Getestet habe ich auch einen Webserver im LAN, dafür habe ich im NAT eine Portweiterleitung eingerichtet. Zugriff von extern funktionierte. Daraus schließe ich also das die Portweiterleitung etc. im Router schon mal funktioniert.

- Ich habe mich an den beiden Anleitungen orientiert :
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten
https://docs.opnsense.org/manual/how-tos/sslvpn_client.html

--> Verbinde ich mich über die OPNsense WAN IP aus dem Router WLAN, tauchen auch im Firewall Protokoll einträge auf. Verbinde ich mich von extern, sehe ich überhaupt nichts. Daher meine Vermutung das es irgendwie am NAT liegen könnte. Ich habe dort schon diverse Portweiterleitungen ausprobiert, aber nichts hat zu etwas geführt.

Ich hoffe ich konnte es halbwegs darstellen um was es mir geht, sonst bitte fragen. Bin "nur" Laie, der froh ist das die OPNsense sonst so gut funktioniert und er viel bei lernen kann

Code: [Select]

     WAN / Internet
               :
      .-----+-----.   
      |  Router  |  (Router vom Provider 192.168.32.1; Port UDP 1194 offen)
      '-----+-----'   (WLAN vom Router; 192.168.32.0/24)
            |
        WAN
            |
      .-----+------.   WAN 192.168.32.5  .------------.
      |  OPNsense  +-----------------+ OpenVPN Server| (tun = 192.168.100.0/24)
      '-----+------' 
            |
        LAN | 192.168.8.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)