Messages

Hallo JeGr,

ahhhh verstehe. Jetzt erklärt sich mir so einiges.
OK, das klingt gut und das teste ich mal aus.
Und wir haben die Variante - wie du schriebst - "altem Server Screen konfiguriert".
Somit ist "Force CSO Login matching" mein Anlaufpunkt.

Danke nochmals!

Bfo

Hallo JeGr,

danke für die Erklärung.
Unsere Authentifizierung läuft nur über User, Pass und Zert. Kein radius Server.

Den "Instances (new)" Modus inkl. dem "Advanced mode"  Eintrag "Username as common name" habe ich gefunden.
Allerdings: Wir haben keine weitere "Instance", also keinen Eintrag. Ich müsste also einen erstellen.
Ist das korrekt? Wofür wäre diese weitere Instanz, bzw. was genau macht diese dann?

Bfo

Hallo,

danke für den Tip und die Bilder.
Leider finde ich den Menupunkt, bzw. das Untermenu nicht, wo ich "Username as CN" einstellen kann.

Bfo

Hajo  klar :-)
Aber auf was beziehen sich die Regeln?

Dem VPN Client ist doch keine IP zugewiesen, oder wenn ja, wo?

Bfo

Hallo,

bisher haben alle openvpn Clients Zugriff auf das gesamte Intranet.
Nun möchte ich einem Client nur den Zugang zu einer IP im Intranet gewähren (zu einem Host auf den Port 80) - alles andere soll blockiert sein.

Mir ist die Vorgehensweise hierzu nicht klar.

Jan

Hallo,

wir haben folgendes Wunsch-Szenario:

Code Select Expand

Internet -> [FW] -> DMZ Netz -> [VM nginx Proxy] -> [PortForward an VM im Intranet]

Der nginx Proxy, welcher in der DMZ liegt, soll nur einen Port eines Rechners im Intranet erreichen können. Nichts anderes.

Ich bin mir nicht sicher, von welcher Seite ich das am besten angehen sollte, bzw. wie und welche Regeln dafür sinnvoll wären.
Ich habe angehängtes Bild als Regel in der DMZ erstellt, aber lohne Erfolg.
192.168.132.126/24 ist der DMZ Proxy, 192.168.128.120/24 ist der Intranet Server mit den WEB Ports
Bfo

Beim "packet capture" ist aufgefallen, das *kein* einziges Paket bei der FW an dem entsprechenden Interface ankommt.
Fehler lag an dem Kabel, welches von der FW in den *falschen* Switch ging.
OMG - Asche auf mein Haupt.

Danke an alle, die mir hilfreiche Tipps gegeben haben!!!

Bfo

Bitte mal einen Screenshot von der interface Übersicht (alle).
- nutzt du für die DMZ einen eigenen Switch?
- bitte mal einen grafischen netzwerkplan

Interfaces: Wie ich schrieb: LAN, WAN, DMZ
Netzwerkplan: Für obige Interfaces nicht wirklich interessant. Intranet == LAN, WAN am dedizierten Port der FW und DMZ am dedizierten Port der FW auf den LAN Switch (wie ich in meinem primären Post schrieb). Was ich nicht schrieb, da ich davon ausging, dass es klar sei: *keine* Vlan's.

Eigentlich eine ganz einfache Konfiguration.

Ich werde morgen mal ein packet capture an der FW als auch an der VM machen.

Bfo

Dann würde ich als nächstes einen Packet Capture auf dem DMZ-Interface machen und schauen, ob da überhaupt etwas ankommt (Pings oder wenigstens ARP).

Das kann ich erst morgen machen. Melde mich dann.

Bfo

Hallo,

gerade nochmal überprüft- alles richtig. Ich habe mal ein 2 screenshots angehängt, vielleicht habe ich was übersehen.

Die /etc/nwtwork/interfaces der debian VM sieht so aus:

Code Select Expand


       iface ens18 inet static
address 192.168.132.126/24
gateway 192.168.132.1
dns-nameservers 192.168.132.1


Bfo

Hallo,

bin ein wenig am verzweifeln, weil ich offensichtlich irgendeinen Fehler beim Anlegen weiterer Netze mache.
An der FW gibt es LAN (idb0) und WAN (igb1). Nun habe ich einem weiteren Port (igb2) als DMZ (soll er mal werden) angelegt.

* Interface zugewiesen
* IP Adresse gesetzt
* Firewall Regeln (zum Test) "DMZ to any" Rule gesetzt ("LAN to any" existiert bereits)
* den Anschluss der FW (igb2) auf den gleichen Netzwerkswitch wie igb0 (Lan) geklemmt (zum Test).
* Auf einem Proxmox Host, welcher das Netz vom LAN nutzt eine VM mit einer IP aus dem "DMZ" Netz erstellt

Die VM kann die DMZ IP der FW nicht erreichen. Eine zweite VM auf einem anderen Host mit gleicher Konfiguration (bis auf die IP) aber schon. Das heisst: VM im DMZ Netz kann andere Adressen im gleichen Netz erreichen, nicht aber die FW, oder diese scheint sich nicht zuständig zu fühlen.

Wo/wie könnte ich anfangen, das Problem zu identifizieren?

Bfo

Moin Patrick,

die Portforward Regel ist ein Standard Eintrag ... *wollte ich gerade schreiben* .... und schaue gerade auf die Einträge. Und da fällt mir auf, ich habe als "Destination Address" nicht die IP sondern "WAN Address" drin stehen - und da die WAN Address natürlich alle IP's enthält ... oh man (auf denk Kopf klopf).  ::)

Für alle, die das gleiche Problem haben: Als "Destination Address" muss natürlich *eine* Zieladresse gewählt sein, dann wird auch nur genau an diese Adresse weiter geleitet.

Danke für den "schubs".

Bfo

Hallo,

wir haben einen neuen Internet Anschluss mit einem /29er Subnetz bekommen.
Die 1. nutzbare IP habe ich der FW gegeben, die anderen als virtuelle angelegt.
Wenn ich einen Portforward für die primäre IP anlege, dann funktioniert dieser -  un auch über alle andern öffentlichen IP's auch.
Da soll natürlich nicht sein.

Hier beispielhaft die IP's, wie ich sie angelegt habe:
Unser neues Netz: 192.168.1.216/29, GW: 192.168.1.217, FW primäre IP 192.168.1.218, FW virtuelle IP's ...219-222

Hab ich da was falsch angelegt oder ist beim Provider etwas falsch?

Bfo

Ich verstehe nicht...

An einem remote Platz steht letztendlich nur eine OPNsense, eine Kamera und ein Rechner. Der Rechner ist idr. aus.
User sollen über eine (Intranet) Web Seite den Rechner wecken dürfen (diese Seite ist nicht von extern verfügbar).
Eine VPN Verbindung zu der entfernten FW ist immer gegeben (weil diese immer online ist). Das Netz hinter der FW ist aber ein ganz anderes, als das Intranet.

Ich habe das jetzt temporär so gelöst, das der Intranet-Webserver eine shell ausführt, welche per ssh ein shell script auf der entfernten FW ausführt. Das funktioniert soweit.

Mir geht gerade durch den Kopf, ob es möglich wäre, einen WOL aus dem Intranet durch die VPN in das entfernte Netz zu senden und somit kein Befehl per SSH auf der OPNsense ausführen zu müssen?
Bfo

Das ist bei mir leider nicht möglich, weil der aufzuwekende Rechner extern hinter der OPNsense liegt. Und nur diese ist aktiv in dem Netz. Von daher muss ich es über ssh machen, welches per VPN zur FW verbunden ist.
Habe das gerade getestet mit einem weiteren User-account auf der FW.
Das klappt auch, allerdings muss der User in der Admin Gruppe sein, damit ein Login mit Keys automatisch möglich ist.
Kann man das noch einschränken?

Bfo