Messages

1

German - Deutsch / Re: Allgemeinefrage zum Thema Regeln

« on: February 19, 2020, 03:57:48 pm »

hm.. doppel nat is das dann ja.

Da versuch ich immer drum herum zu kommen.

Ich prinzipiell auch, aber manchmal geht das halt nicht (wenn man bspw kein Modem mit Bridge-Mode hat) - eventuell lohnt es sich auch darüber nachzudenken einfach ein Modem vor das Gateway zu schnallen?

Gruß Atomique

2

German - Deutsch / Re: Outbound NAT über OpenVPN funktioniert nur teilweise

« on: February 19, 2020, 03:14:06 pm »

Hey Leute!

erstmal danke für eure Hilfe! Ich habe mal meine Windows 10 VM direkt ins WAN-Netz gehangen, dort direkt OpenVPN mit Config vom VPN-Provider installiert und herausgefunden, dass ich hier auch nicht auf den entsprechenden Dienst komme. Ich habe dann einmal auf meinen anderen VPN-Provider (Cyberghost nutze ich momentan zum testen) zurückgegriffen und siehe da - der Dienst ist sofort erreichbar. Ich habe nun direkt beim VPN-Provider angefragt, ob diese meinen Port oder ähnliches blockieren. Die von euch vorgeschlagenen Konfigurationen deckten sich mit meiner, weshalb ich hier etwas misstrauisch wurde. Ich denke das Problem liegt nicht an der OPNSense-Konfiguration sondern an der VPN-Verbindung.

Ich danke euch nochmals für eure Hilfe - es funktioniert wirklich alles wie es soll!

Euch noch eine schöne Woche
Atomique

3

German - Deutsch / Re: Allgemeinefrage zum Thema Regeln

« on: February 19, 2020, 03:13:04 pm »

Also ich würde es so machen, dass du vom LAN HTTP/HTTPS raus lässt und dann vom anderen Adapter, wo du es nicht erlauben möchtest den eingehenden Traffic aus diesem Netz einfach abweist. Sowas in der Art:

LAN:

Aktion: Erlauben
Schnittstelle: LAN
Richtung: In
TCP/IP: IPV4
Protokoll: TCP
Quelle: LAN Net
Quellportbereich: HTTPS
Ziel: jeglich


OPT1: (Extra-Adapter)

Aktion: Blockieren
Schnittstelle: OPT1
Richtung: In
TCP/IP: IPV4
Protokoll: TCP
Quelle: LAN Net
Quellportbereich: ANY
Ziel: jeglich

Vielleicht kein ein versierter OPNSense-User hier mal drüber schauen, ich bin hier noch nicht so lange dabei. Aber das sollte funktionieren, probier es mal aus.

Gruß Atomique

4

German - Deutsch / Re: Allgemeinefrage zum Thema Regeln

« on: February 19, 2020, 09:24:58 am »

Also, ich hoffe ich habe jetzt hier nichts übersehen, aber ein solches Szenario löse ich immer so:

- WAN-Interface bekommt IP im (in deinem Fall) Netz 192.168.0.0/24. Für den Weg ins Internet gibst du hier ein "Upstream-Gateway" ein, in deinem Fall die IP-Adresse deines Modems.
- LAN-Interface bekommt IP im LAN-Netz 192.168.1.0/24.
- Du stellst deine LAN-Rule ein, wie bereits beschrieben und nutzt wie empfohlen Unbound. So sollte das ganze funktionieren.
- Für eingehenden Traffic auf einen bestimmten Port musst du in deinem Fall aber ein NAT von deinem Modem (Braucht dann eine Firewall) auf die Firewall und dann ein erneutes NAT von deiner OPNSense auf das Gerät (Server).

Firewall-Regeln versuche ich mir bei OPNSense so zu merken:
Möchtest du Traffic im LAN-Netzwerk blockieren/freigeben? Nutze "LAN". Wenn du vom Interface OPT1 oder ähnliches Traffic erwartest und diesen freigeben willst: Lege Regeln dort an.

Ich hoffe das hilft erstmal weiter.

5

German - Deutsch / Re: Outbound NAT über OpenVPN funktioniert nur teilweise

« on: February 18, 2020, 04:20:35 pm »

Nein, leider nicht. Normale Webserveranfragen und so weiter scheinen zu funktionieren. Versuche ich aber bspw. einen Server über einen bestimmten Port zu erreichen, so scheint das Natting nicht mehr so zu funktionieren, wie es soll. Eine Rückantwort kommt vom Server nicht an. Wenn ich das gleiche auf einem Rechner versuche, welcher nicht im VPN ist: Funktioniert. Wenn ich die VPN-Software direkt auf einem Rechner installiere, den VPN starte und den Portverbindungsversuch starte: funktioniert. Das sagt mir, dass irgendwas an der Konstellation OpenVPN und OPNSense nicht ordentlich funktioniert.

Ich verstehe doch richtig: Das komplette LAN wird ja hinter der VPN-IP genattet. Das bedeutet: LANIP -> NAT -> VPN-INTERNEIP -> VPN-WAN-IP (Austritt aus dem Tunnel) -> SERVER-MIT-SERVICEPORT

Wie kann ich herausfinden, wo genau der Fehler liegt, hat jemand Erfahrung mit Wireshark in diese Richtung? Das Problem muss ja irgendwie zu lösen sein, ich weiß bloß momentan noch nicht ganz wo ich ansetzen soll

Gruß Atomique

6

German - Deutsch / Re: Outbound NAT über OpenVPN funktioniert nur teilweise

« on: February 18, 2020, 11:18:42 am »

Hallo zusammen,

danke für deine Antworten. Ich bin mir ziemlich sicher, dass der VPN funktioniert. Wenn ich bei perfect-privacy auf die Website geht, kann ich meine externe IP (Niederlande) sehen. Ein Traceroute von der OPNSense und von meinem Client hinter der OPNSense geht über das VPN-Gateway hinaus ins Internet über die Niederlande (Rotterdam).

Anbei meine Konfigurationen. Ich teile das in zwei Posts auf, wegen der maximalen Anzahl von 4 Uploads pro Post.

EDIT: Ich habe die Bilder bei Imgur hochgeladen, ich hoff ihr könnt sie sehen: https://imgur.com/a/tWjk2F6

7

German - Deutsch / Outbound NAT über OpenVPN funktioniert nur teilweise

« on: February 17, 2020, 09:25:16 pm »

Hallo zusammen,

ich habe hier ein "kleines" Problem, welches mich momentan noch ein bisschen an meine Grenzen bringt. Ich erkläre erstmal meine Umgebung:

Code: [Select]

   WAN / Internet
            :
            : VDSL
            :
            : WAN IP
            :
      .-----+-----.                            LAN 10.5.0.0/24
      |  Gateway  | --- LANCOM --------------+-------------- ... (Clients / Server) ...
      '-----+-----'  
            |                           
            | "DMZ" - 172.16.10.0/24
            |                         
            |  
      .-----+------. 
      |  OPNsense  + OpenVPN über VPN-Dienst (VPN-Adresse wechselt, bspw.: 10.1.194.243)
      '-----+------'
            |
    VPN-LAN | 10.11.0.1/24
            |
            |
    ...-----+------... (Clients/Servers)
Einstellungen:

Firewall > Rules > LAN: Eine Regel die den ganzen Netzwerktraffic von LAN in den Tunnel leitet (Policy based Routing)
Interface: LAN
Direction: In
TCP/IP Version: IPv4
Protocol: any
Source: LAN net
Source port range: any
Destination: any
Destination port range: any
Gateway: OPT1_VPN4: (Gateway des VPN)

Firewall > NAT > Outbound: Manual - Eine Regel die das komplette LAN-Netz vom Interface OpenVPN auf die Interface-Adresse des Interface OpenVPN übersetzt.
Interface: OpenVPN
TCP/IP: IPv4
Protocol: any
source address: lan net
source port: any
destination address: any
destination port: any
translation / target: interface address
static-port: true
pool options: default

Hinweis: static port habe ich absichtlich gesetzt gehabt. Dies scheint auch zu funktionieren, sobald ich dies aktiviere passiert folgendes:

10.11.0.90:563 --> 10.1.194.243:563 --> zielserver:563

Und hier beginnt das Problem: Das Paket kommt nicht mehr zurück (mittels Package Capture / Wireshark herausgefunden). Ich kann den Server von 10.11.0.90 aus pingen, ich kann auf dessen Website usw. weswegen ich davon ausgehe, dass das ein NAT-Problem zu sein scheint. Leider sind meine Skills bezüglich OPNSense / pfsense noch nicht die ausgereiftesten, weswegen ich hier frage.

Aber nochmal zurück zur Erklärung - ich versuche folgendes: Ich würde gerne im VPN Netz hinter meiner OPNSense, 2-3 Clients nutzen können, die nur über den OpenVPN-Dienst ins Internet können. Die VPN-Verbindung funktioniert auch soweit, ich kann ins Internet, ICMP (Ping), DNS, HTTP/S funktioniert alles. Sobald ich aber versuche einen bestimmten Dienst (bspw. 563) über einen Port zu erreichen, rennt dieser in Timeouts, es scheint als würde das Paket nicht mehr zurückfinden.

Hinweise zum Netzwerk: Der LANCOM lässt im Netz "DMZ" - 172.16.10.0/24 alles raus und rein, da hier nur Firewalls platziert sind / wurden. Wenn Ports geöffnet werden müssen, aktiviere ich hier ein NAT von der WAN-Adresse auf die DMZ-Adresse der jeweiligen Firewall, welche den Service hostet. 

Hat hier jemand eine Idee? Ich scheine alles soweit nutzen zu können, nur der Weg zurück schient teilweise nicht zu funktionieren. Braucht Ihr noch Infos? Habe ich etwas vergessen? Ich hoffe ich habe soweit auch alles recht übersichtlich illustriert, wenn eine Netzwerkzeichnugn benötigt wird, dann fertige ich diese eben an

Euch einen schönen Abend!
Gruß Atomique



Additional Info:
Wenn ich via Test-NetConnection hostip -port 563 aus dem VPN-Netz versuche den Port zu erreichen, schlägt dies fehl. Während dieses Vorgangs habe ich einen Statedump (Firewall > Diagnostics > States Dump) laufen lassen. Dieser zeigt zur Zieladresse folgendes an:

Code: [Select]

int Proto Soruce > Router > Destination State
all tcp 10.1.194.243:57481 (10.11.0.90:57481) -> hostip:563                 SYN_SENT:CLOSED
all tcp hostip:563 <- 10.11.0.90:57481 CLOSED:SYN_SENT
Das zeigt mir, dass der Source-Port 57481 static bleibt, wie in der Config eingestellt. So sollte ja der Host den Weg zurückfinden.