Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - visionsbox

Pages1
#1
General Discussion / Re: WAN DHCPv6 and IPsec
November 21, 2024, 02:30:24 PM
Thanks for that hint. This has taken me a good step forward.

I have now simply duplicated my existing IPv4 tunnel and switched it to IPv6 and connected the whole thing to the DMZ interface.

Connecting via the VPN now works already - the clients are getting an IPv4 and an IPv6 address. Unfortunately, I now have the problem that those coming via the VPNv6 tunnel have no access to the services in the network and I don't understand why :) I made a mistake somewhere.

Can someone help me with this?


  • My Prefix is 2a00:aaaa:bbbb::
  • I edited the local subnets of phase 2 to match my prefix with 2a00:aaaa:bbbb:0::/48
  • the mobile clients are assigned a virtual IPv6 from the area 2a00:aaaa:bbbb:0::/120
  • the IPsec interface of the firewall rules is very liberal with IPv4+6 * * * * * *

What I don't understand:
the VPN clients all get an IPv6 with 2a00:aaaa:bbbb:cccc::[XX] - the cccc corresponds to the subnet that is assigned to the DMZ (IPv6 Prefix ID).

I am still grateful for any help
#2
General Discussion / WAN DHCPv6 and IPsec
November 19, 2024, 12:22:23 PM
Hello everyone,
I'm still fairly new to the topic of IPv6 and probably still very much stuck in the "good old" IPv4 idea. Maybe I'm getting old and no longer flexible? Who knows ;D

Anyway - I have problems understanding the following and I haven't been able to solve it with my research so far. I'm hoping for some helpful advice here.

I have a static IPv4 address with VODAFONE: dial-in takes place via WAN and PPPoE - fully functional for years.

With the help of OPNsense manual(https://docs.opnsense.org/manual/ipv6.html) I have successfully set up a functional IPv6 setup and distributed IPv6 addresses locally (LAN, WLAN and DMZ) to all my computers and servers.

My problem now is that I still have an IPsec service running on the OPNsense that is listening on the WAN interface. With the checkbox "Request only an IPv6 prefix" (Interaces > WAN > DHCPv6 client configuration) the WAN interface does not get an IPv6 address and I cannot access IPsec via IPv6.

What is the best way to solve this?


  • move IPsec service from OPNsense to the DMZ?
  • create a separate interface for IPsec via VLAN?
  • another, secret technology?

I would be very grateful for any help!

Best regards!
Simon
#3
German - Deutsch / Re: penVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 11, 2020, 10:29:41 AM
Wisst ihr was?! Das Problem ist nicht OPNSense - oder OpenVPN. Das Problem hier bin ich...  >:(

Hier läuft alles wie es soll. Wenn man es denn auch so konfiguriert wie es sein soll und nicht ein dummen Quatsch macht.

Danke  ;D
#4
German - Deutsch / Re: penVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 10, 2020, 08:46:39 PM
Sorry - ich muss das Thema doch nochmal erwärmen. Ich hab mich leider zu früh gefreut denn es funktioniert immer (oder wieder?!) nicht. Ich muss die Tests gerade immer auf den Abend verschieben wenn ich bei mir daheim in meinem Testaufbau ungehindert werkeln kann.. und das geht leider auch nicht immer.

Ich hab jetzt von der Clientseite aus meinen Faux-Pas bereinigt und beide Test-Clients eindeutig in das eine VPN-Clientseitige LAN gehängt (Default Gateway: 10.0.21.1).

Ich kann jetzt auch von beiden Seiten aus (Server/Client) beliebige IPs pingen - das ging vorher schon mal nicht.
Ich kann clientseitig einen erfolgreichen tracert ausführen - ein serverseitiger tracert ergibt aber wieder/immernoch:
Code Select

  1    <1 ms    <1 ms    <1 ms  10.0.20.1
  2    47 ms    51 ms    47 ms  10.0.55.2
  3     *        *        *     Zeitüberschreitung der Anforderung.


An den Firewall-Regeln hat sich nichts geändert. Auch an den Interface-Settings oder VPN-Server/Client Einstellung nicht.
Hat das vielleicht was mit der clientseitigen OPNSense, die hinter dem DS-Lite/NAT meiner UnityMedia-Box hängt zu tun?
Klingt vielleicht nach einer DAU-Frage, doch ich weiß nicht mehr was mir sonst noch einfallen soll, aber das meine beiden LAN-Interfaces jeweils mit /24 maskiert sind spielt doch keine Rolle.. oder?! Irgendwas ist grundlegend falsch und ich finde es nicht..  ::)

Bin um jede Hilfe dankbar.
#5
German - Deutsch / Re: OpenVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 05, 2020, 09:40:09 PM
Boar... neh - .. ich Depperle. Das war's..

Ich hab, um es mir "einfach zu machen" (haha!) meinen Testprobanden (Win-Client und einem NAS) jeweils die zweite Schnittstelle konfiguriert und ein Parallel-Netzwerk aufgebaut. Dabei hab ich vergessen den Standard-Gateway anzupassen (und bei der Win-Dose die lokale FW angelassen/nicht konfiguriert). Die Clients hinter der ClientFW haben immer an das falsche Netzwerk (oder gar nicht) geantwortet.. Kein Wunder krieg ich auf Serverseite kein Feedback.

superwinni2: danke!  8)
#6
German - Deutsch / Re: OpenVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 05, 2020, 08:49:24 PM
Hey, danke für euren ganzen Input.

Ich hab hier weiterprobiert und um etwaige voherige Fehler zu vermeiden einen neuen Server und einen neuen Client aufgesetzt. Dabei hab ich jetzt ein neues Tunnel-Netzwerk verwendet (10.0.55.0/30) und einen anderen Port (1197). Die restlichen Einstellungen hab ich wieder wie gehabt aus der Dokumentation und entsprechend angepasst.

Nichts desto Trotz.. es geht noch immer nicht :'( Von der Clientseite komme ich überall hin, von der Serverseite aus kann ich max. die LAN-Schnittstelle der ClientFW pingen. Danach ist (opn)Sense.

QuoteNoch etwas: Der Server Modus des OpenVPN Servers... Ist dieser auf Peer-to-Peer?
Ja, der steht auf Peer-to-Peer (Shared Keys) - der Client auch

QuoteEbenfalls würde ich bei der ClientFW den "Remote Network" rauslöschen.
Wenn ich das mache, dann kann ich weder von Server- noch von Clientseite aus etwas erreichen. Trage ich das "Remote Network" ein klappt es zumindest mal von der Clientseite aus.

QuoteDa fehlte glaube ich manchmal eine automatisch erstellte Route
Über System > Routes > Status bekomme ich angezeigt:
ipv4   10.0.21.0/24   10.0.55.2 (ServerFW-Seite)
ipv4  10.0.20.0/24   10.0.55.1 (ClientFW-Seite)

tracert von einem Client auf der Serverseite aus ergibt
Code Select

tracert 10.0.21.10
Routenverfolgung zu 10.0.21.10 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  10.0.20.1
  2    46 ms    43 ms    44 ms  10.0.55.2
  3     *        *        *     Zeitüberschreitung der Anforderung.


Sieht aus als blockt die ClientFW was - doch die FW-Regeln sind es nicht. Die LiveView zeigt
Code Select
lan Mar 5 20:45:51 10.0.20.105 10.0.21.10 icmp let out anything from firewall host itself

... ich versteh es nicht  :-[

Edit: Korrektur was wie erreichbar ist.
#7
German - Deutsch / Re: OpenVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 05, 2020, 08:58:39 AM
Danke für deine Rückmeldung.

Die serverseitige FW-Regel für das LAN hatte ich vergessen an zu geben. Die ist zur Zeit mit "Source: LANnet:* Destination: any:*" sehr freizügig.

Gerade habe ich keinen Zugriff auf den Client, aber ich werde den Tunnel heute Abend mal auf /30 verkleinern und das "Remote Network" löschen. "Private/Bogon" ist bereits wieder für öffentliche WAN aktiviert.
#8
German - Deutsch / Re: OpenVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 05, 2020, 08:10:36 AM
Guten Morgen!
Dann werf ich mal mit einem Netzwerkplan:
Code Select

+--------------------------+    +----------------------+                +------------------------------+
|client: opnsense          |    |client: modem/router  |                |server: opnsense              |
|LAN: 10.0.21.1/24         |    |LAN: 192.168.0.1/24   |                |LAN: 10.0.20.1/24             |
|Tunnel: 10.0.52.0/24      +----+                      +----------------+Tunnel: 10.0.52.0/24          |
|                          |    |                      |                |                              |
|WAN (DHCP): 192.168.0.5   |    |WAN: DS-LITE          |                |WAN (PPPoE): Static Public    |
+--------------------------+    +----------------------+                +------------------------------+


Die VPN-Einstellungen für den Server sind:
Code Select

Protocol: UDP
Device Mode: tun
Interface: WAN
Local port: 1196
IPv4 Tunnel Network: 10.0.52.0/24
IPv4 Local Network: 10.0.20.0/24
IPv4 Remote Network: 10.0.21.0/24

Entsprechende FW-Rule für WAN besteht: IPV4 UDP; Source: any:*; Destination: any:1196
Entsprechende FW-Rule für OpenVPN besteht: IPV4*; Source: 10.0.21.0/24:*; Destination: any:*

Die VPN-Einstellungen für den Client sind:
Code Select

Protocol: UDP
Device Mode: tun
Interface: WAN
Server host or address: public-ip-of-server
Server port: 1196
IPv4 Tunnel Network: 10.0.52.0/24
IPv4 Remote Network: 10.0.20.0/24

Entsprechende FW-Rules für OpenVPN Schnittstelle besteht: IPV4*; Source: 10.0.20.0/24:*; Destination: any:*


  • Ich kann serverseitig die ClientFW (LAN) pingen - hab aber keinen Zugriff auf das WebInterface oder clientseitiges LAN
  • Ich kann clientseitig die ServerFW (LAN) pingen - und habe Zugriff auf alle Dienste/IPs im serverseitigen LAN

Block private/bogon ist bei beiden opnsense WANs deaktiviert.

#9
German - Deutsch / [Solved] OpenVPN Site-to-Site: Clientseitig Verbindungsprobleme
March 04, 2020, 09:29:15 PM
Hallo!
Eigentlich bin ich schon länger opnsense Benutzer - in der Firma wie auch Privat. Bin bisher immer ganz gut zu Streiche gekommen dank Dokumentationen, Forum und vermutlich mehr Glück als Verstand  ;) Aber jetzt beiße ich mir seit ein paar Tagen die Zähne aus und komme nicht wirklich weiter und brauche Hilfe.

Ziel: OpenVPN Verbindung Site-to-Site von zwei Firmenstandorten.
Umsetzung: Brav nach Dokumentation: https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html
Konkret: Tunnel Network, Local Network und Remote Network eingetragen, sowie FW-Regeln für WAN (Server) und OpenVPN (Server&Client) für das jeweilig andere Lokale Netzwerk gesetzt.

Server läuft - Client verbindet sich: läuft!

Aus dem clientseitigen Netzwerk hab ich prima Zugriff auf das serverseitige Netzwerk. Andersrum aber nicht.. ich kann von der serverseitigen opnsense die clientseitige LAN-Adresse pingen - aber ins LAN Netzwerk komme ich nicht. Live-View auf die FW-Logs geben aber bekannt, das die Pakete ankommen und erlaubt sind. Aber ich kriege keine Antwort.

Was kann ich tun? Welche Informationen kann ich noch bereitstellen?

Schöne Grüße!
Pages1