Messages

Okay, alles gut, ich bin bescheuert   :-\

Es lag einfach daran das ich die Regeln nicht unter "IPSec" konfiguriert habe und dann sind sie in die default deny policy gerutscht.

Irgendwie war ich gedanklich irritiert und habe Gedacht mein erster IPSec Tunnel wird unter "IPSec" konfiguriert und die Regeln vom zweiten dann unter meinem Interface "IPSecTest" .... Naja... wer lesen und denken kann ist klar im Vorteil.

Vielen Dank für die Hilfe, ich habe dadurch auf jeden Fall wieder einiges über die Logs der OPNsense gelernt und wie ich Port Probe verwenden kann  ;)

Kann man hier eigentlich einen Thread als "Gelöst" markieren?

Grüße
Somebody

Hallo chemlud,

nein, das ist auf beiden Interfaces deaktiviert.

Vielleicht kennt jemand einen Weg um diese Regel 11 zu finden? Soweit ich das in den Live-View nachvollziehen kann agiert die Regel auf mehreren Interfaces, also müsste es die Default Block Regel sind, allerdings bin ich auch schon her gegangen und habe die IP´s und Ports explizit freigegeben.
Aber auch eine ALL ALL ALL Regel sollte ja seinen zweck erfüllen, wenn diese auf dem IPSec Interface und auf dem LAN Interface gesetzt ist....

Hab aktuell echt keine Idee mehr :/

Grüße
Somebody

Hallo,

ich versuche gerade einen zweiten IPSec Tunnel auf meiner OPNsense zu konfigurieren.
Das hat soweit eigentlich auch ganz gut geklappt, ich habe aktuell noch erleichterte Bedingungen da die beiden FW´s nebeneinander stehen und ich erstmal die ganzen Policys usw. konfigurieren wollte bevor sie dann an die Außenstelle kommt.

Ich habe das Tutorial von OPNsense benutzt um das Szenario zu konfigurieren inklusive den zusätzlichen Gateways welche Vorgeschlagen werden wenn man zwei OPNsense nebeneinander mit einem Netzwerkkabel verbindet.

Leider bin ich hier jetzt auf ein Problem gestoßen welches ich nicht nachvollziehen kann.
Der Ping von Standort A auf Standort B läuft in beide Richtungen, mit Firewall A komme ich auch auf das Webinterface von Firewall B. Aber wenn ich RDP / HTTPS von Standort B auf Standort A starten möchte werden meine Pakete von der Firewall A immer geblockt, meiner Ansicht nach sind die Firewall Regeln aber korrekt gesetzt. Ich habe es auch schon mit einer "pass ALL ALL ALL" Regel beiden Interfaces (LAN und IPSec) getestet.

Aber ich erhalte auf Firewall A immer folgende "blocks" in der Log:

Code Select Expand


Jan 16 13:19:29 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24440,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51044,3389,0,S,4230192352,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:26 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24423,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51044,3389,0,S,4230192352,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:14 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24322,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51039,3389,0,S,2784949483,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:19:11 filterlog: 11,,,0,enc0,match,block,in,4,0x0,,127,24279,0,DF,6,tcp,52,192.168.1.24,192.168.0.116,51039,3389,0,S,2784949483,,64240,,mss;nop;wscale;nop;nop;sackOK
Jan 16 13:18:55 filterlog: 55,,,0,em0,match,pass,out,4,0x0,,126,24080,0,none,1,icmp,60,192.168.1.24,192.168.0.116,datalength=40
Jan 16 13:18:55 filterlog: 62,,,0,enc0,match,pass,in,4,0x0,,127,24080,0,none,1,icmp,60,192.168.1.24,192.168.0.116,datalength=40


Kann mir da vielleicht jemand helfen?

Vielen Dank und Grüße
Somebody

WoW, super es läuft.... man wahnsinn, ich fass es nicht :)

Endlich!!!

Jetzt muss ich nur noch den Tunnel ins HA Cluster bekommen und ich bin happy.

Vielen Dank für eure Unterstützung.

Und falls ein anderer Verzweifelter suchen sollte, es lag bei mir am Outbound NAT jetzt zum ende...

Da bin ich jetzt aber auf die einzelnen IP´s der Drucker gegangen, sicherheitshalber wegen verschiedenen Subnetzen....

Also anhand meines Beispiels:

Interface: WAN

Source: 192.168.11.55
Port: any

Destination:  199.144.231.25
Port: any

Translation: 192.168.55.55/32


Tausend Dank nochmal für eure Unterstützung.

Beste Grüße
Somebody

[/22]

Hallo,

sorry hat ein paar Tage gedauert mit Urlaub und Problem Analyse.

Ich habe es jetzt mit One-to-One NAT hinbekommen das die Gegenseite mich pingen kann und ich sie. RDP vom Lieferanten Netz zu uns funktioniert auch.

Allerdings habe ich jetzt noch ein Problem und weiß nicht genau wo ich dieses Lösen muss. Vielleicht hat jemand von euch eine Idee.

Wenn ich den Port 9100 für Drucker über Telnet testen will klappt das nicht.

Ich habe jetzt mit dem Firewall Admin der Gegenseite telefoniert und dieser hat mir gesagt das meine Request über meine Gateway IP ankommen und nicht über meine "(interne) Fake IP).

Deshalb werden die Packete denied.

Ich dachte ich hätte das von meiner Seite über die BINAT Regel schon richtig konfiguriert, aber scheinbar ist dem nicht so.

Gerade sehe ich das mein ICMP Request auch über meine Gateway IP läuft....

Um bei meinem Beispiel zu bleiben:

Request läuft über: WAN 44.44.44.44
Sollte aber über: (192.168.11.55 Remote Desktop Server) ->192.168.55.55

Meine aktuelle One-to-One NAT Regel sieht wie folgt aus:

Interface: IPSec
Type: BINAT
External network: 192.168.55.0/24
Source: 192.168.11.0/24
Destination: 199.144.231.0/22

Wäre super wenn jemand eine Idee hätte.

Vielen Dank schon mal.

Grüße
Somebody

Hi Leute,

vielen Dank für die Hilfe.

Ich versuche aktuell verzweifelt den Workaround zu implementieren... Allerdings scheitere ich dabei die Befehle im Putty abzuschicken:

Code Select Expand

setkey -f spd.conf

Code Select Expand

spdadd 192.168.101.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/[Local Public IP]-[Remote Public IP]/unique:2;

Ich habe diesen Thread hier dazu gefunden welcher mein Problem ziemlich genau beschreibt:

https://forum.opnsense.org/index.php?topic=9683.msg44153#msg44153

Mein vorgehen:

- Putty via SSH auf meine OPNsense
- Anmeldung als root
- 8 (Shell)

Dann erhalte ich aber folgenden Fehler wenn ich den ersten Befehl eingebe:

Code Select Expand

root@OPNsense:~ # setkey -f spd.conf
setkey: fopen: No such file or directory


Sorry für die Noob Frage, aber ich mach irgendetwas falsch. Könntet ihr mich dahingehend erleuchten?

Vielen Dank

Beste Grüße
Somebdoy

Hi Mimugmail,

okay das macht Sinn, ich habe es versucht zu konfigurieren... Meine VPN Tunnel stehen, also sowohl Phase 1 als auch Phase 2 zeigen mir an das sie connected sind. Aber leider bekomme ich keinen Ping auf die Gegenseite und die Gegenseite keinen Ping zu mir.

Ich glaube ich habe immer noch in meiner NAT Konfiguration das Problem, bei der Firewall Policy habe ich aktuell alles erlaubt.

Ich habe jetzt anhand meines Beispiels oben folgendes in der NAT Regel definiert:

Interface: IPSec
Type: BINAT
External network: 192.168.55.0/24
Source: 192.168.11.0/24
Destination: 199.144.231.0/24

Zusätzlich habe ich noch den manuellen SPD im IPSec auf 192.168.11.0 gesetzt.

So habe ich es zu mindestens in der Anleitung zu BINAT verstanden :( Aber es ist scheinbar nicht korrekt und ich bin auf dem Holzweg...

Ich bin da aktuell ein bisschen Ratlos, wäre super wenn mir das mit dem BINAT nochmal jemand erklären könnte.

Vielen Dank schonmal.

Grüße
Somebody

Hallo liebe Foren Gemeinde,

ich bin frisch zu OPNsense gewechselt und konnte mir bisher ganz gut selber weiterhelfen.
Jetzt bin ich in den letzten Konfigurationsschritten um unsere alte Firewall abzulösen.

Leider bin ich kein kompletter Netzwerk Experte weshalb mir der IPSec und das dazugehörige NAT noch etwas Kummer bereitet. Ich hoffe das mir hier jemand weiterhelfen kann.

Wir haben folgendes Szenario:

Code Select Expand


+------------------------+                 +---------------------------+             +-------------------------------+
|   Standort Lieferant   |                 |    Interner Drucker       |             |    Tatsächliche Drucker IP    |
|                        |-----------------|                           |-------------|                               |
|   22.22.22.22          |                 |    10.10.10.11            |             |    199.144.231.25             |
+------------------------+                 +---------------------------+             +-------------------------------+
            |         |                                                                                               
            |         |                                                                +-----------------------------+
            |         |                                                                |    Clients via RDP auf RDS  |
            |         +----------------------------------------------------------------|                             |
            |                                                                          |    XXX.XXX.XXX.XXX          |
            |                                                                          +-----------------------------+
            |                                                                                                         
            |                                                                                                         
+--------------------------+                +----------------------------+                                           
|    Firmenstandort        |                |  Temp Netzwerk             |                                           
|                          |----------------|                            |                                           
|    WAN 44.44.44.44       |                |  192.168.55.0/24           |                                           
+--------------------------+                +----------------------------+                                           
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                             +----------------------------+                                           
                          -                  |    Remote Desktop Server   |                                           
                                             |                            |                                           
                                             |        192.168.11.55       |                                           
                                             |                            |                                           
                                             +----------------------------+   


An unserem Firmenstandort haben wir die OPNsense stehen.
Die Gegenseite hat ihr NAT schon eingerichtet nun muss ich auf meiner Seite nachziehen.

Ziel ist es das die Clients sich über RDP auf den Remote Desktop Server verbinden können.
Da das eigentliche Netzwerk des RDS Servers auf der Gegenseite schon belegt war musste ich hier ein anderes Netzwerk angeben (192.168.55.0/24) diese RDP Anfragen muss ich jetzt auf den RDS Server 192.168.11.55 NAT´en.

Andersrum muss ich die Drucks vom RDP Server wieder auf die korrekten Drucker im Netzwerk der Gegenseite umleiten.

Ich hoffe Ihr versteht die Problematik vor welcher ich stehe, ich sehe gerade den Wald vor lauter Bäumen nicht mehr :)

Hoffentlich kann mir jemand bei diesem Fall helfen.

Vielen Dank schonmal.

Br,
Somebody