Messages

Update:

mit dem default gateway ist es etwas komplex, da wir in einer AD-Domäne arbeiten. Also in Kürze:
- lokale IP des OPNservers (172.16.0.249) im Windows Server -> DHCP-Rolle als Router eingetragen
- Da der Domaincontroller/DHCP-Server/DNS-Server eine statische IP hat, eine permanente Route auf das Subnetz des Tunnels eingetragen:
route add 198.51.100.0 MASK 255.255.255.255.0 172.16.0.249 -P

Das ganze könnte man natürlich umgehen, wenn die einzelnen Tunnel auf Adresse im lokalen Netzwerk (198.51.100.X -> 172.16.X.X) im OPN übersetzt werden könnten. Geht das? Ist das evtl. die Endpoint Address?

Außerdem noch ein dickes Problem: Wie kann ich der Verbindung beim HomeOffice Warrior einen DNS-Suffix geben?

Ich bastel aus den Erfahrungen mal ein HowTo, da Coronal bedingt sich z.Zt. viele damit beschäftigen müssen...

Axel

OK, das war es!  ;D
Weshalb das bei dem Gespann LANCOM/IPSEC kein Problem ist, wenn das Defaultgateway nicht der Router mit dem VPN-Tunnel ist, weiß ich nicht.
War aber so bequem, weil nicht der ganze Traffic der Firma auch noch über den Router ging, der das VPN abwickelte.

Danke nochmal

Axel

Sorry, war ein Verständnisfehler. Du hattest nach dem Standardgateway vom CLIENT/HomeOffice-Warrior gefragt...

In Zahlen:
Firmennetzwerk  172.16.0.0/18
Client 192.168.100.x/24
Tunnel vom OPN 198.51.100.254
Tunnel vom Client 198.51.100.1
IP des OPN im Firmennetzwerk 172.16.0.249

Config des Clients:
  [Interface]
  PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXX
  Address = 198.51.100.1/32
  DNS = 172.16.0.2

  [Peer]
  PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXX
  AllowedIPs = 172.16.0.0/18
  Endpoint = XXX.XXX.XXX.XXX:4445

Bei route print gibt es folgende Ausgabe:

172.16.0.0    255.255.192.0   Auf Verbindung      198.51.100.1      5

Ping auf 172.16.0.249 klappt, andere IPs im Netz 172.16.0.x nicht erreichbar

Die Firewall ist aus.
Der Standardgateway dürfte doch eigentlich kein Rolle spielen, da die Verbindung vom Client uber das OPNsense initiiert wird.
Wir habe bisher zwei LANCOM-Router eingesetzt die beide VPN IPSEC machen und im Firmennetz ist jeweils nur einer als Standardgateway eingetragen. Trotzdem kann über beide Router auf alle Worstations und Server zugegriffen werden.

Aber ich probiere das mit dem Standardgateway mal aus.

Kann man irgendwo einen Trace einschalten mit dem man den Traffic des WireGuard im OPNsense verfolgen kann? Bin noch blutiger OPNsense - Neuling...

Axel

[lokale]

Hallo mimugmail,

ich mache vom Client ein Ping auf die lokale Adresse des Routers im Firmennetz. Auch kann ich vom Client über den Tunnel auf das Webinterface von OPNsense zugreifen. Aber Pings auf andere Ziele im Firmennetz sind nicht möglich.
Bei Firewall: Log Files: Live View ist alles grün...

Ping für die WAN-Schnittstelle ist deaktiviert.

Axel

Hilfe,

ich habe WireGuard als RoadWarrior / Server - Konfiguration (nach Anleitung Thomas Krenn) bis durch den Tunnel ans Laufen bekommen. Allerdings endet ein Ping vom Client auf das Firmennetz im OpnSense, ich komme nicht ins Firmennetz.
Was habe ich vergessen, hat jemand Ideen oder schaut mal auf meine Konfiguration?

Axel

Danke, so oder ähnlich hatte ich das auch aus div. Quellen extrahiert.
Ich habe damit einige leider Probleme:
- Funktioniert so bei mir bisher nicht  ::)
- Irgendwo hatte ich den Ansatz (Anlegen in der Reihenfolge):

• NAT 1:1
• vituelle IPs
• Port Forwarding

gelesen.
- Was ich denn richtig, wie wird sonst der Verkehr mehrerer WAN-IPs über einen physikalische WAN-Schnittstelle weitergeleitet? Die eigentliche WAN-Schnittstelle muss dann doch im promiscuous mode laufen, sonst kann sie den Verkehr mehrerer IPS nicht mitbekommen. Welche IP muss ich ihr denn dann geben oder ist das egal sofern sie nur aus dem Bereich x.x.x.40/29 ist?
- Ich ziehe mich immer gerne an konkreten Beispielen aus dem Sumpf: Bei meinen Versuchen hatte die WAN-Schnittstelle x.x.x.43/29 Muss ich dann für die weitere Verwendung dieser WAN-IP auch eine virtuelle IP mit der x.x.x.43/29 anlegen?
- Die virtuelle IP muss ich in dann beim Anlegen eines Port Forwarding wahrscheinlich als Destination angeben?

Danke

Axel

Hallo,

ich muss 4 externe Telekom-IPs auf div. Server und Ports weiterleiten, da die bisherige Lösung:
  alle Subdomains auf eine IP -> LANCOM
  LANCOM -> Reverse-proxy (Linux-Maschine)
  Reverse Proxy -> div. Server
zu unflexibel und der LANCOM am Ende ist.

Ein generelles Vorgehen oder ein How-To für OPNsense-Anfänger (wie mich) und diesen Anwendungsfall habe ich trotz intensiver Suche nicht finden können.

Konkrete Anforderungen :

Extern:
  IP-Range        x.x.x.40/29
  Gateway         x.x.x.41
  Benötigte IPs  x.x.x.43-46

Intern:
  IP-Range        172.16.0.0/18

Nebenbedingungen:
  DMZ ist nicht möglich
  Die externe x.x.x.42 muss unbedingt ausgeklammert bleiben, da sie bis zum stabilen Betrieb der OPNsense-Firewall weiter über den LANCOM laufen muss. Über den LANCOM machen wir bisher noch IPsec-VPN (was nicht lustig war zu konfigurieren)
  Bei einer externen IP muss der Zugriff auf mehrere Server über verschiedenen Ports möglich sein

Wünsch:
  Wireguard (daher bin ich bei OPNsense hängengeblieben)

Kann mir jemand auf die Sprünge helfen?

Danke