Messages

Hallo,

habe das Problem eingrenzen bzw. lösen können!
Es liegt an der Metric des VPN-TAP-Adapter! Dieser hat schlicht und ergreifen eine höhere Metric als der LAN-Adapter und somit nutzt Windows den DNS vom LAN-Adapter. Habe einfach manuell in die Metrik eingegriffen und seitdem funktioniert alles so wie es soll!
Nicht komfortabel aber es geht....oder kennt jemand noch einen besseren Weg?

https://www.small-blog.de/dns-aufloesung-via-openvpn-bei-windows-10-adapter-priorisierung/

Hallo,

ich habe ein Problem und hoffe das mir hier jemand helfen kann.

Ich habe einen Jitsi-Meet-Server in meinem Netz installiert auf den eine Domain zeigt.

z.B.: jisti.meinedomain.de

Es funktioniert alles super! Jetzt habe ich einen VPN-Tunnel eingerichtet, darüber soll intern auf den Server zugegriffen werden.

Unbound DNS wurde auch eingerichtet mit jisti.meinedomain.de --> 192.168.20.5

Jetzt das Problem!

In meiner VPN-Server-Konfiguration habe ich neben der "normalen" Konfiguration folgede Zeilen mit eingetragen:

push "dhcp-option DOMAIN mydomain.us"
push "dhcp-option DNS 192.168.10.1"
push "redirect-gateway autolocal"
push "register-dns"

Und es läuft alles übe den Tunnel, wenn ich z.B tracert web.de ausführe sehe ich wie das Paket über den VPN zum Gateway über die Transferzone raus ins Netz geht! Somit super!
Wenn ich jetzt aber ein tracert auf  jisti.meinedomain.de laufen lasse, nutzt er meine fritzbox und löst die öffentliche WAN-IP auf und versucht das Paket über die Fritzbox und dessen Gateway zu senden, statt auf die in Unbound DNS eingetragene IP zu gehen. Das zeigt mir, dass er nicht über den DNS 192.168.10.1 in Verbindung mit Unbound die Adresse auflöst und komischerweise auch nicht wie bei web.de den Weg über das Tunnelnetz raus an di eigene WAN-Adresse geht. Komischerweise aber nur die Domains, welche als IP die WAN-Adresse hinterlegt haben.

Stelle ich jetzt in den Netzwerksetting in meinem Client-LAN den DNS von der OPNsense ein läuft alles perfekt!
Wenn ich ping jisti.meinedomain.de schreibe kommt brav die Adresse 192.168.20.5 statt die öffentliche, da Unbound DNS greift!!

Es wird also beim Domains welche die OPNsense-WAN-Adresse hinterlegt haben nicht der Tunnel als weg genutzt sondern, es wird versucht den Weg über die Fritzbox zu gehen um die öffentliche IP aufzurufen.

Irgendwie kapiere ich das nicht!

Das stimmt irgendwas nicht...

Viele Dank für Eure Hilfe!

JeGr, vielen Dank! Das war der Fehler...

Richtig...bin jetzt auch beim HAProxy-Plugin und hänge nun daran, dass ich kein SSL-Offloading haben möchte, sondern das der Server das Zertifikat hält.
Bekomme aber im Browser den Fehlercode

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Kann mir jemand sagen was ich falsche mache?

Host oder Domain overrides?

Habe bei Domain Overrides mal die Domain

https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

eingetragen, wird aber logischerweise noch an dem in den NAT-Rules eingetragene Maschine weitergeleitet.

Was müsste ich denn in den NAT-Rules ändern?

Hallo,

mit der Gefahr hin, dass ich mich hier blamiere stelle ich doch mal eine Anfrage rein.

Wenn ich mehrere Domians im Netz registriert habe und darüber verschiedene Server hinter der Opnsense erreichen möchte, ist das möglich?

Beispiel:

https://www.domain01.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.20.2
https://www.domain02.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.30.3
https://www.domain03.de:443 --> 45.200.100.40 (OPNsense) --> 192.168.40.4

Irgendwie stehe ich auf dem Schlauch und brauch einen Denkanstoß!

Viele Dank für Eure Hilfe

VG
thron

Es soll eine Datenschleuse realisiert werden, bzw. an dem ByPass ein Rechner angeschlossen werden, der sich in einem komplett anderen IP Bereich befindet und per Replikation Daten überspielen. Dort wo aktuell nur ein Rechner zwischen den Firewalls steht sind später 70 Rechner.

VG

Dort steht Auto-detect drin und im LAN steht 192.168.27.254 drin.
Jetzt weiß ich was du meinst mit Upstream-Gateway. Es gibt ja auch noch die Checkbox unter System --> Gateways --> Single --> GatewayName --> Upstream Gateway (Checkbox). Diese ist deaktiviert, es ist als kein default Gateway sondern eben nur das Gateway an der Schnittstelle, was ja nur die unbekannten Pakete an die hinterlegte Adresse weiter leitet!

VG

Das Gateway ist kein Upstream-Gateway, sondern ein normales.

Hallo,

ich habe ein Problem und komme nicht weiter. Vielleicht kann mir ein schlauer Kopf helfen. Es handelt sich um einen Testaufbau (siehe Anhang).

Dabei ist die OPNSesne01 der Standardgateway und die OPNSesne02 ein "Bypass"!
Die Rules in der OPNSense02 sind any any an beiden Interfaces, da es hier nur um Routing geht.
Wenn ich vom der Adresse 192.168.20.10 eine PING nach 192.168.178.10 send funktionier alles ohne Probleme.

Von 192.168.178.10 zu 192.168.20.10 ging nicht, was klar ist, weil die Rückroute fehlt! Also in der OPNSense02 als GW am LAN-Interface die OPNSense01 eingetragen und eine Route in der OPNSense01 und alles kappt!

Außer der PING auf die OPNSense02 selbst, der geht nicht mehr! Warum, verstehe ich nicht!

Habe ein Capture auf der OPNSense02 auf der LAN-Schnittelle mit ICMP gemacht uns sehe, das die PING-Pakete zwischen OPNsense01 und OPNSense02 hin und her gehen!?

Viele Dank für Eure Hilfe schon jetzt im Voraus.

Hallo,

es sind 5 MBit/s!
Keine Ahnung, vielleicht! Deswegen frage ich ja ob jemand schon so was am Laufen hat!?

VG
thron

Hallo hat leider nichts gebracht.
Was habt ihr den für Konfgurationen (Verschlüsselungen)?

Nachtrag:
Habe jetzt mal als Client NCP genommen und aus IKEv2 EAP-MSCHAPv2 IKEv1 mit Mutual PSK + Xauth gemacht mit AES 256, DH2, SHA128
Und in Phase2 ESP AES 128 Bit/MD5 und SHA1

Jetzt habe ich genau den gleichen Datedurchsat wie bei OpenVPN! Das bedeutet es hat was mit der Verschlüsselung zu tun!! Hat jemand eine "gut funktnierende" Konfig mit dem WindowsVPN Client auf der OpnSesne laufen? Mit den o.g Werten kann ich den WIndwos-Client nicht konfgurieren!!

Viele Grüße

Hallo hat leider nichts gebracht.
Was habt ihr den für Konfgurationen (Verschlüsselungen)?

Hallo,

habe mit der Opensense neben einem VPN-Server jetzt auch einen IPsec Server laufen und habe erhebliche Geschwindigkeitsunterschiede.

Wenn ich mit einen Notebook über LTE eine Verbindung zu meinem VPN-Server aufbaue bekomme ich folgende Werte:

OpenVPN: 15 MBit/s Upload  (OpenVPN-Client)
IPsec:        5 MBit/s  Upload  (Windows 10 native Client)

Es ist alles gleich bis auf die Tunnelprotokolle. Woran könnte das liegen? Dachte zuerst an die MTU, aber  ich finde die Einstellungen für die MTU bei dem IPSec nicht.

Hat jemand eine Idee was ich machen könnte?

Viele Grüße und herzlichen Dank schon im Voraus für eure Hilfe
thron

Hallo,
sorry für die fehlenden Infos. Ja es geht um OpenVPN und die OpnSense läuft auf einem Exsi Host als virtuelles System mit Vmxnet3 als Netzwerkkartenemulator.
Die OpnSense ist direkt hinter dem Router mit der Eingangsfirewall. Bei der Internetanbindung handelt es sich um KabelBW mit 300MBit.