Messages

Thanks for the hint, you mean Aliases within the Firewall menu, right?

Hello there

I need some clarification how I need to implement this scenario with OPNsense.
I've got a /29 subnet from my provider: 192.168.33.65/29

On my WAN interface I configurted the IP 192.168.33.70/29 and set the upstream gateway to 192.168.33.65, which is the gateway on the provider side.

Now I want to use the additional ip addresses with port forwarding:

192.168.33.67:443 --> 10.10.10.167:443

Do I need to configure this additional ip as a vIP on the OPNsense or is it enough when I just configure port forwarding and the firewall rules?

Thanks in advance

Hallo zusammen

Brauche kurz eine OPNsense Erklärung. Ich habe hier von unserem Provider das /29 Subnetz 2xx.1xx.3x.64/29.
65 ist der Upstream Gateway und wir verwenden 66 bis 70

Jetzt möchte ich mehrere Port forwardings einrichten:

66 https -> 192.168.10.100 https
67 https -> 192.168.10.101 https
etc.

Muss ich dafür auf der OPNsense virtuelle IP Adresse definieren oder reicht es im Port forwarding mit den entsprechenden IP Adressen zu arbeiten? Nach meiner Logik müsste ich die vIPs machen, da mir sonst die OPNsense gar nicht reagiert, weil ja keine IP aktiv ist, sehe ich das richtig?

Danke für die Hilfe

So nach einer Woche bissel Ruhe in meinen Ferien, habe ich beschlossen, diesen VPN Versuch mit den Weidmüllern zu lassen und auf deren eigene VPN Lösung zu setzen. Normale OpenVPN und IPsec VPNs bastel ich in 30-60 Minuten ohne weitere Probleme. ;D

Wie schon besprochen und festgestellt, wenn die Gegenseite unbekannt ist, ist IPsec keine Lösung und da die Geräte keinen OpenVPN Site-to-Site können, ohne riesen Gebastel.

Btw. ja mir ist klar, dass BF-CBC völliger Stuss ist - da mir am Ende diese Einstellungen für den Moment egal waren, waren die auch im Screenshot zu erkennen.  ;)

Danke trotzdem für die Mithilfe.

Ja stimmt, ist ein bisschen aus dem Ruder gelaufen...  :o
Mittlerweile geht es eigentlich um Site-to-Site VPN mit Weidmüller FW - IPsec ist der komplett falsche Ansatz, da ich immer eine Unbekannte Gegenseite habe. Ich muss nachher mal kurz die Titel anpassen, hab's eben selber auch gemerkt. Sorry.

Hier https://forum.opnsense.org/index.php?topic=14243.msg65780#msg65780

Gerade habe ich noch heraus gefunden, dass Weidmüller unter u-Link eine eigene Art VPN anbietet. Basierend auf OpenVPN kann man damit über ein Webinterface bei Ihnen plus einem "VPN Client" auf dem eigenen PC eine Verbindung zwischen Weidmüller Gerät und dem eigenen PC aufbauen.... GENAU so wie ich es mit der OPNsense machen möchte.

Würde mich also nicht wirklich wundern, wenn der OpenVPN Client nur als Dial-In tauglich ist - denn sonst würde man ja sein tolles "eigenes" Produkt nicht kaufen.  ;D >:(

Im Bild siehst du was ich aktuell drin hab - damit steht der Tunnel und von der Sense her kann ich die Tunnel IP des Weidmüllers pingen aber nicht mehr.

Ich kann nur Client oder Server auswählen, langsam vermut' ich, dass sch**ss Teil macht bei Client einen gewöhnlichen Dialup und daher erreiche ich nix. Hier noch die Routingtabelle des Weidmüllers.

Code Select Expand

default via 10.26.9.1 dev WAN
192.168.40.0/24 via 10.10.55.1 dev L3-VPN1
10.26.9.0/24 dev WAN proto kernel scope link src 10.26.9.170
10.10.55.0/24 dev L3-VPN1 proto kernel scope link src 10.10.55.2
192.168.254.8/29 dev LAN proto kernel scope link src 192.168.254.9

seitens Sense hab ich folgende entsprechende Routen gefunden

Code Select Expand

ipv4 10.10.55.0/24 10.10.55.2 UGS 3 1500 ovpns1
ipv4 10.10.55.1 link#8 UHS 2 16384 lo0
ipv4 10.10.55.2 link#8 UH 2 1500 ovpns1
ipv4 192.168.254.8/29 10.10.55.2 UGS 2 1500 ovpns1

Also das wär ja schonmal korrekt... dass das Netz 192.168.254.8/29 auf das oVPN Interface geroutet wird! d.h. wenn ich aber keinen Ping absetzen kann, scheint noch was am Packetfilter zu klemmen.... seh ich das richtig?

Ok du hast ja bereits das meiste über den Stahlblock herausgefunden. ;D Das Ding ist nicht auf meinem Mist gewachsen, auch die mehr schlecht als recht überlegte Aktion dem Kunden solche eine Lösung anbieten zu können, um immer auf die Steuerung zugreifen zu können.... naja anyway, soll mich nicht stören, immerhin hab ich eine Sense nun bei mir. Vorher war's eine Zyxel....  :-X

Mit 8er Netz mein ich /29  :D

Die Konfiguration ist eher unspektakulär bei den Weidmüllern, siehe Anhang. Ein paar Infos aus dem Handbuch.

The OpenVPN menu allows to create and establish virtual private network connections based on the Open-VPN implementation. The Router can be configured both as OpenVPN client and OpenVPN server either based on Layer 2 (Bridging) or on Layer 3 (Routing). A maximum of 10 OpenVPN connections (either as client or as server) can be configured and started at the same time. Each VPN connection can be configured individually at Tab's VPN1...VPN10.

Dann eine Aussage zum tun/tap device - da kenn ich mich nicht in der Tiefe aus.

L3 interfaces can either be run as TUN or TAP devices. The letter is de- fault on the device type. TUN connections will always use the OpenVPN topology subnet. If subnets behind clients shall be reachable in TUN mode, there are route entries required in the OpenVPN server configura- tion. These entries will be available only if the routes to the subnets are configured in the client configuration table on the server.

Ansonsten ist der Rest selbsterklärend denk ich - ich hab's aktuell klassisch mit zwei Zertifikaten am laufen und kann, wie erwähnt, auf die Weidmüller verbinden via Tunnelnetzwerk IP. Von der Weidmüller kann ich das remote Netzwerk pingen, von der Sense aber nicht.

Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.

Dann glaube ich, dass ich das bei der Weidmüller FW anders machen muss. Denn Zitat Webinterface von denen "there are iroute entries required in the OpenVPN server configuration" - wenn man den tun adapter verwendet. Deren OpenVPN sehe ich aktuell eher als klassische Client Lösung an, damit ich von fern auf die lokale Umgebung kommen kann, ich benötige aber genau das Gegenteil.

Korrekt. Er sagt dir damit, dass er keine passende Konfiguration gefunden hat, die die .254.8/29 mit .40.0/24 verbindet. Also ggf. auf der einen Seite mit /29 und auf der anderen mit /28 oder /24 versehentlich eingerichtet. Dann passt die Phase 2 nicht (Child_SA) und die P2 kommt nicht hoch.

Ok alles klar, immerhin da hab ich den Durchblick. :-)

Andere Frage: Warum das denn? Ein Tunnel wird ja nicht zwischen "Unbekannten" aufgebaut?

Nun vielleicht ist es auch eine Fehlüberlegung, aber ich hab die "Idee" von meinem Kollegen übernommen. Ich versuche hier Industrie Firewalls von Weidmüller aufzusetzen, damit wir von unserem Büro Netz auf die LAN Netze dieser Firewalls kommen.

Die Geräte haben nur 8er Netze konfiguriert, da diese später in Anlagen verbaut werden welche (theoretisch) und um den Globus verteilt sind. Aktuell werden zwei nach USA und eine nach Singapur geschickt. Das ganze machen wir im Auftrag eines anderen Kunden, somit habe ich null informationen über deren Netzwerk dort geschweige denn über deren WAN IP... deshalb versuche ich IPsec Tunnel nach "Unbekannt" aufzubauen, aber das ist ja eigentlich völliger Schwachsinn.

Aktuell stehe ich vor dem Problem, dass ich unbekannte Clients habe, mit welchen ich einen Site-to-Site Tunnel aufbauen möchte, damit wir vom Büro auf die verschiedenen 8er Netze zugreifen können. Vermutlich ist ein IPsec Tunnel der falsche Ansatz. Theoretisch geht es auch mit OpenVPN, aber da bekomme ich das Routing zwischen Tunnelnetz und LAN Netz an der industrie Firewall (noch) nicht hin.

Also der OpenVPN Aufbau hat soweit geklappt und ich kommt auf den gegenüberliegenden Weidmüller Router mittels der Tunnel IP (10.10.55.2) - aber aktuell komme ich nicht auf das Netz dahinter.

Ich vermute, ich muss noch was routen technisch machen?

Hallo zusammen

Kann mir jemand ein Howto zeigen, wie ich mit OpenVPN eine Site-to-Site Verbindung einrichten kann?

Gegeben sind:
- Standort A 192.168.40.0/24, soll OpenVPN Server sein
- Standort B 192.168.254.0/29, soll OpenVPN Client sein
- Standort C 192.168.254.8/29, soll OpenVPN Client sein

Ziel ist es, dass ich von Standort A auf die IP Adressen in Standort B und C zugreifen kann. Ich geb's auf, dies mit IPsec zu realisieren, weil ich die Remote IP Adressen von den Standorten B und C nicht kenne.

Vielen Dank

Ich komm dem ganzen näher.

Code Select Expand

no matching CHILD_SA config found for 192.168.254.8/29 === 192.168.40.0/24

D.h. meine Phase 2 hat noch einen Fehler, richtig?

Vielleicht mal grundsätzlich eine Frage: wie muss ich vorgehen, wenn ich mehrere unbekannte Clients habe, die auf die OPNsense via IPsec zugreifen wollen? Kann ich mehrere Phase 1 machen mit 0.0.0.0 als Remote Adresse? Oder muss ich auf eine Art Mobile Client Konfiguration zurück greifen?

Moin, habe gerade gesehen das diese weidmüller auch OpenVPN kann, warum nimmst du nicht das und ist jemand Vorort der dir die lokale ip usw geben kann?

In der Regel muss man davon ausgehen, dass niemand vor Ort ist, der genug Ahnung hat. d.h. die weimüller werden von mir vorkonfiguriert und dann verschickt. Ich kenn also die LAN IP Informationen - WAN IP ist immer eine unbekannte. Ich hab's mit OpenVPN probiert, aber nicht so hinbekommen, dass nach einem connect auch ein Zugriff auf die Box möglich war....

Kannst du mal Screenshots von beiden Seiten der ipsec Verbindung posten
Wer ist Server und wer Client?

Server die OPNsense hier, Client immer die Weidmüller (wird mehrere geben).

Habs aber gerade geschafft. Ich hatte bis vorhin immer mehrere Ciphers und Hashes zur Auswahl bei der Weidmüller. Habe dies nun alles immer auf genau einen reduziert und siehe da, der IPsec Tunnel kommt zum stehen, so wie er sollte.

Muss bei Gelegenheit mal probieren zu Reproduzieren, aber für den Moment ist der Auftraggeber zufrieden.  :)

Gruss und Danke dennoch