Messages

1

German - Deutsch / Domain/Externe-IP Erreichbarkeit via Intern bei 1:1 NAT mit Virtueller-IP

« on: September 05, 2020, 06:28:58 am »

Hallo,

seit einigen Stunden suche ich mich durch alle möglichen Foren um mein Problem zu lösen:

Ich habe ein Subnet mit 5 Nutzbaren IP-Adressen zur verfügung.

BEISPIEL:

155.100.0.58 - 192.168.0.1 - OPNSense WAN IP)
155.100.0.59 - FREI
155.100.0.60 - FREI
155.100.0.61 - 192.168.0.15 - Webserver VM
155.100.0.62 - FREI

Um nun meine Domain (meineDomain.de) zu erreichen habe ich ein 1:1 NAT angelegt. Nach langen versuchen funktioniert dies nun wunderbar. Jeder Benutzer von außerhalb kann auf die jeweilige Domain zugreifen, und landet auf meinem Webserver.

Da auf dem Webserver auch Blogs etc liegen sollen, welche auch von Intern Verwaltet werden, sollten die Domains ebenfalls Intern erreichbar sein. Nun bekomme ich allerdings keine Verbindung zum Internen Server. Ich habe bereits den Port der Firewall verlegt, so dass dieser weder mit Port 80 noch mit Port 443 in Konflikt kommt. Vorher habe ich natürlich eine Warnung erhalten, dass ich von einer Domain mit Externer-IP von Intern auf die Firewall zugreifen möchte. Dies habe ich auch versucht abzuschalten, aber es wird weiterhin versucht auf die Interne Firewall IP zuzugreifen, auch wenn keine Antwort mehr kommt.

Eine meiner Lösungsansätze, welche ich durch Lesen in Foren erhalten habe sind:

Firewall -> Einstellungen -> Erweitert

 AKTIV - Reflektion für Portweiterleitungen   
 AKTIV - Reflektion für 1:1   
 AKTIV - Automatisches ausgehendes NAT für Reflektion

Leider ohne erfolg. Eine weitere Möglichkeit wäre evtl. gewesen:

Firewall -> NAT -> Eins-zu-Eins -> 1:1 REGEL

NAT reflection: Aktivieren

Auch dies hat nicht zum gewünschten erfolg geführt.

Gibt es eventuell eine einigermaßen saubere Lösung dafür?

Würde mich über eure Denkanstöße freuen.

Gruß
Björn

2

German - Deutsch / Re: Portweiterleitung via VPN

« on: June 28, 2020, 10:08:06 pm »

Es scheint, dass der Fehler im Browser lag. Ich teste es gerade mit einer anderen Domain. Irgendwie hat er im Cache etwas falsch gespeichert.

Ich teste noch ein par Sachen, aber es kann sein dass es nun funktioniert.

Danke für die Hilfe!

Gruß
Björn

3

German - Deutsch / Re: Portweiterleitung via VPN

« on: June 28, 2020, 09:00:52 pm »

Hey,

Du musst als erstes das Web interface auf einen anderen Port legen (Achtung HTTP redirect!) - zum Beispiel 8443 für HTTPS und dann kannst du 80 und 443 entweder mit einem lokalen Load Balancer bedienen (nginx, HAProxy) oder eine Portweiterleitung konfigurieren. In beiden Fällen braucht es eine Firewall Konfiguration.

vielen Dank für diesen Tipp.

Den port der OPNsense Firewall habe ich nun auf "8443" gelegt und das HTTP-redirect ausgeschaltet.

Wie auf den Bilder zu sehen, habe ich daraufhin eine Portweiterleitung angelegt für die Schnittstelle "OpenVPN". Die ausgebelendete IP ist die vom VPN-Anbieter zur vefügung gestellte IPv4-Adresse.

Durch die Portweiterleitung wurde automatisch eine Rege in der Schnittstelle "OpenVPN" angelegt.

Quelle in der Portweiterleitung ist um es aktuell sicher zu halten, das Netzwerk von dem ich das ganze von Extern teste. Ziel ist die Adresse welche ich vom VPN-Anbieter bekommen habe als Static-Public-IP.

In den Regeln für die Schnittstelle "OpenVPN" ist die Quelle ebenfalls das externe Netzwerk. Als Ziel wurde dort automatisch die IP des Reverse-Proxy eingetragen, so wie ich es in der Portweiterleitung auch angegeben habe.

Nun, bis hierhin funktioniert es nun dass ich über die Öffentliche IP vom VPN Anbieter meinem Reverse-Proxy erreiche. Dieser verarbeitet aktuell nun die IP und leitet mich weiter an den jeweilien WebServer.

Nun habe ich das ganze mit einer Domain versucht ... intern1.MEINEDOMAIN.de ... dies natürlich auch im Reverse Proxy angegeben, aber leider Ohne erfolg.

Gibt es dazu nun eine spezielle Einstellung, welche ich vornehmen muss in den Regeln? Die VPN-IP habe ich natürich auch versuchsweise gegen einen Alias augetauscht, wo die jeweilige Domain  hinterlegt war. Ebenefalls auch ohne erfolg.

Du kannst doch auch einfach einen Reverse Proxy (z. B. nginx). Auf deinem externen Server aufsetzen und dort einfach die Adressen von dir zuhause erreichbar machen. Du brauchst keine portweitetleitung. Da ja dein Server über das VPN in dein Netz kommt


Gesendet von iPhone mit Tapatalk Pro

Es gibt keinen externen Server. Vielleicht hast du da etwas falsch verstanden oder ich habs nicht gut genug ausgedrückt.

Die Server, welche ich erreichen möchte stehen bei mir Zuhause. Als VPN-Server nutze ich keinen eigenen. Ich nutze einen normalen VPN-Anbieter, welcher Public-IPv4 bereit stellt.

Danke schonmal für eure hilfe!

Gruß
Björn

4

German - Deutsch / Portweiterleitung via VPN

« on: June 28, 2020, 06:35:04 pm »

Hallo!

seit einigen Tagen suche ich nun für folgendes Szenario eine Lösung:

Aktuell habe ich hinter meinem LTE-Modem eine OPNsense Firewall laufen. Da über LTE keine feste IP-Adresse bezogen werden kann, habe ich meine Firewall mit einem VPN Anbieter verbunden, welcher eine Static-Public-IPv4 Adresse anbietet. Die Verbindung funktioniert nach anfänglichen schwierigkeiten mit dem DNS soweit ganz gut. Sowohl der Traffic aus meinem Netzwerk ins Internet, als auch der Traffic aus einem Externen Netzwerk in mein Netzwerk über die Öffentliche IP des VPN-Anbieters funktioniert, sofern ich natürlich eine entsprechende Firewall-Regel gesetzt habe.

Nun habe ich die möglicheit über die Öffentliche IP des VPN-Anbieters die Web-GUI meiner Firewall von Extern zu erreichen.

Rufe ich nun aus dem Externen Netzwerk die IP über den Browser auf, kann ich mich in meine Firewall einloggen.

Mein Plan war nun eigentlich, hinter der Firewall beispielweise einen ReverseProxy zu nutzen, welcher dann diverse Server anspricht (Nextcloud, Proxmox etc.). Um dies zu ermgliche habe den DNS-Eintrag einer Subdomain auf die IP des VPN-Anbieters gelegt.

Beispiel:

intern-1.MEINEDOMAIN.de
intern-2.MEINEDOMAIN.de

Beide lösen natürlich auf die Öffentliche IP des VPN-Anbieters auf. Nun möchte ich dass auch beide Domains an den ReverseProxy weitergeleitet werden, da dieser weiß was er damit machen soll.

Wenn ich mit einer Portweiterleitung arbeite, bekomme ich immer folgende Meldung:

Code: [Select]

A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname.
Gut die Firewall funktioniert, und lässt natürlich nur zugang über einen bekannten Hostname oder die IP zu.

Wie mache ich der Firewall nun verständlich, dass wenn eine Anfrage über die Domains oben und ber die IP vom VPN-Anbieter rein kommt, diese direkt an den Reverse Proxy weitergeleitet werden.

Einen direkten Zugang von Außerhalb zur Firewall ist für mich ganicht von nöten.

Ich hoffe ich konnte mein Vorhaben erklären und hoffe auf ein par denkanstöße :-)

Viele Grüße
Björn

5

German - Deutsch / VoIP mit FritzBox 6490, OPNSense und SNOM M300

« on: February 09, 2020, 10:33:10 am »

Guten Tag,

habe bereits einige Beiträge mit dem Thema VoIP und OPNSense durchgelesen, aber nicht wirklich erfolg beim Ausprobieren gehabt.

Folgender Aufbau:

INTERNET -> FRITZ!BOX 6490 (Unitymedia Modem) -> OPNSense

An meiner OPNSense sind unteranderem zwei SNOM M300 und eine FRITZ!BOX 7390 (Client, WLAN-AccessPoint) angeschlossen. In der 6490 sind die Rufnummern von Unitymedia Registriert. Dort habe ich dann für jede Rufnummer ein IP-Telefoniegerät hinzugefügt. Das habe ich gemacht, weil eine Registrierung der Rufnummern von anderen Geräten in der Vergangenheit nie funktioniert haben.

Nun habe ich als erstes versucht die Zugangsdaten der Telefoniegeräte direkt in der SNOM M300 einzutragen. Dazu dient die 6490 als Server (130.XXX.XX.XX). Leider wird immer ein SIP-Fehler angezeigt.

Um einen Fehler der SNOM M300 auszuschließen habe ich das gleiche bei der  7390 versucht. Geiles Resultat, es kann sich nicht angemeldet werden.

Nun kommt schnell der verdacht auf, dass die Firewall mir da einen strich durch die Rechnung macht.

Welche Regeln muss ich für die Firewall einstellen, damit dies funktioniert?

Würde mich über eine kleine Hilfestellung freuen.

Gruß
Björn

6

German - Deutsch / Re: VPN LAN-LAN Verbindung zwischen Fritz!Box 7390 und OPNsense

« on: January 18, 2020, 09:21:17 pm »

Hi,

habe heute erst deine Antwort gelesen. Habe bereits selber herausgefunden, dass noch eine Firewall Regel gefehlt hat. Alles funktioniert!

Gruß
Björn

7

German - Deutsch / [SOLVED] VPN LAN-LAN Verbindung zwischen Fritz!Box 7390 und OPNsense

« on: January 10, 2020, 11:47:30 pm »

Hallo!

Aktuell stehe ich vor einem kleinen Problem. Ich betreibe aktuell zwei Netzwerke hinter einem Business Anschluss von Unitymedia. An einem Anschluss hängt eine Fritz!Box 7390 als "Home-Network" mit der Öffentlichen IP: "111.111.111.111" und dem Subnet 192.168.10.0/24. An einem weiteren Anschluss hängt eine OPNsense Firewall mit der IP "222.222.222.222" und dem Subnet 10.0.0.0/24 für das "Büro-Network". Bei bedarf würde ich gerne diese zwei Netzwerke verbinden um aus dem "Home-Network" einen Server im "Büro" zu erreichen.

Die Verbindung an sich habe ich zustande bekommen mit folgenden Einstellungen:

OPNsense Firewall:

Code: [Select]

Anschlussart: Standard
Schlüsselaustauschversion V1
Internetprotokoll IPv4
Ferner Gateway: 111.111.111.111
Authentifizierung: Mutual PSK
Bestimmungsmodus: Agressiv
Meine Kennung: Bedeutender Name -> 222.222.222.222
Peer Identifier: Bedeutender Name -> 111.111.111.111
Verschlüsselungsalgorithmus: AES - 256
Hash: SHA1
DH: Group2
Lebenszeit 28800

Für Phase 2:
Protokoll: ESP
Verschlüsselung: AES/Automatisch
Hash: SHA1
PFS: 2 (1024 Bit)
Lebenszeit 3600
Leicht abgeändert, da ich nur über die IP-Adressen kommuniziere.

Quelle: https://forum.opnsense.org/index.php?topic=6429.msg28668#msg28668

Wenn ich mein Notebook in das "Büro" Netzwerk hänge und auf die Weboberfläche meines Druckers im "Home-Network" zugreife, funktioniert dies ohne Probleme.

Allerdings wenn ich mein Notebook in das "Home-Netzwerk" hänge und die Weboberfläche der OPNsense Firewall öffnen möchte, funktioniert dies nicht.

Gibt es in meiner Konfiguration einen Denkfehler? Würde mich über ein par denkanstöße freuen.

Sollten noch weitere Informationen benötigt werden, kann ich diese gerne anfügen.

Gruß
Björn