Messages

Hello,

i have the same problem. Configure both opnsense via documentation. On both firewalls dosnt see any log for port or the ips i use for the s2s fireguard tunnel. What you need to help me?

Das Nat erfolgt auf Cloud und Kundenseitig. Da wir bei den Kunden einen Agenten laufen haben ist das beidseitige NAT erforderlich.

Bei uns bekommen die Kunden jeweils ein eigenen netzt und bei den Kunden ist das unsrige netzt immer das gleiche im NAT.

Kannst du mir kurz den Unterschied L2 L3 nat erläutern?

Wir machen 192.168.1.0/24 auf 10.33.10.0/24. stellen wir in der OpnSense unter NAT 1:1 ein.

Das es doppelte Netzt gibt werden wir vermeiden. Deswegen ja das NAT

Gesendet von iPhone mit Tapatalk

Puh ok ich Versuchs.

Wir haben einen Hauptstandort der Firma

Netz A

Einen Cloud Standort mit Servern

Netz B

Und nun Je Kunde die unterschiedlichsten Netzt local z.B. 192.168.178.0/24 oder 192.168.5.0/24 oder 10.0.0.0/24

Diese Kunden netzt werden via NAT bei uns übersetzt damit es keine IP Konflikte gibt.

Kunde A 10.33.10.0/24

Kunde B 10.33.20.0/24

Unser Cloud Netzwerk ist also mit allen Kunden Netzen via IPSEC s2s und Hat verbunden.

Um zukünftig Effizienter zu arbeiten wollen wir gerne die Kunden Server via

Firma -> s2s -> Cloud -> s2s -> Kunde

direkt erreichen um z.B. über Powershell zu arbeiten. User erstellen, Rollouts, alles was einem das Leben leichter machen kann um nicht auf jeden einzelnen Server manuell über z.B. Teamviewer zu müssen.

Gestern haben wir erfolgreich das mit dem Nat hinbekommen. Nun müssen wir noch das Routen über zwei S2S Tunnel hinbekommen.

Hallo Gemeinde. Wir haben netzt A,B und C.

Netzt A und B haben einen s2s IPSec und B und C ebenfalls.

Nun möchte ich von A direkt nach C. Geht natürlich nur über B. Ich vermute mal das Stichwort heißt Routing. Firewall A kennt natürlich Netzt C nicht und weis auch nicht wie es dahin kommt. Leider waren meine Suchen im Netzt erfolglos. Hat das schon mal jemand gemacht?  Muss ich nur Einstellungen an Firewall A machen oder auch an Firewall B damit die Anfragen von A nach B umgeleitet werden?

Besten Dank.


Gesendet von iPhone mit Tapatalk

Hallo gemeinde. Möchte mich hier mal eben einklinken. Ich habe evtl ein ähnliches Problem und bin mir nicht sicher ob das ein Broadcast ist oder ein direkter Zugriff.

Ich habe einen HomePod 10.10.40.40. Eine Homebridge 10.10.50.10. Separate Vlans alles über die Opnsense. MDNS als dienst ist in der Opnsense aktiv. Die Handys / iMacs sind alle in anderen VLANS. Alle IOT Geräte sind im VLAN40IOT

Nun habe ich an der Firewall im Log das Problem das ich folgenden Eintrag sehe.

VLAN40WLANIOT      Jun 10 23:03:39   10.10.40.40:49688   10.10.50.10:33773   tcp   Default deny rule

Ich möchte aber diesen Trafik erlauben.

Ich habe eine Regel auf der Schnittstelle erstellt
Schnittstelle:VLAN40IOT
Richtung:in
IPV4
TCP/UPD
Quelle:10.10.40.40
Ziel: 10.10.50.10

er block den Traffic aber weiterhin. Hat hier jemand ne Idee oder gibt es evtl. Experten die Explizit SmartHome hinter der Firewall in unterschiedlichen VLAS betreiben. Das Thema Mans habe ich lange nciht gefunden mein Smart Home lag seit Einführung der OPNSense auf eis weil der mDNS nicht konfiguriert war.

Danke für jede Unterstützung.

Guten Morgen. Mich würde interessieren was du auf der OpnSense alles monitoren würdest. Ich mache dies gerade via snmp. Da sind die Mittel ja begrenzter oder ich schreibe noch ein paar Scripte.


Gesendet von iPhone mit Tapatalk

Danke für die Info. Ich würd mich nach meinem Urlaub nochmal melden da ich noch das Problem habe das wlan Geräte die sich mit der FB 7590 vor der Sense verbinden komischerweise eine DHCP Adresse von der Sense bekommen. Den Netzplan habe ich als Bild vorbereitet aber leider jetzt nicht zur Hand. Kann ja eigentlich nur an einer WAN Regel liegen vermute ich da der DHCP der Sense ja nur in LAN aktiv ist. Lediglich mein IMac ist per LAN in Sense LAN netzt und Per WLAN im FB netzt. Evtl Bridged der ungewollt. Wie gesagt Netzplan folgt.


Gesendet von iPhone mit Tapatalk

Wie macht man das in dem Falle das man einen AP hinter der Sense hat? Dieser ist ja dann kein Interface. Trotzdem die Ip sperren, da ja die WLAN Geräte den AP als Gateway nutzen? Oder muss ich die IP,s der Geräte sperren? Zwei DHCP wären ja auch keine Lösung oder kann man den DHCP der Sense so einstellen das nur Kabelgebundenen Geräte eine IP bekommen?


Gesendet von iPhone mit Tapatalk

So ich habe jetzt mal folgende Regel erstellt.

Block   IPv4 UDP   Smart_Rollos    *   *   6667   *   *   Block_Smart_Broadcast

Smart Rollos ist dabei ein Alias der die ganzen Ins meiner Smarthome Rollo Schalter enthält.
Der Punkt Protokolliere Pakete die von dieser Regel behandelt werden in der Regel wähle ich cniht aus, weil dann Logeinträger erstellt werden.

Eigentlich brauche ich die Regel nicht, da die Default einstellungen der Firewall diesen zugriff sowieso blockt. Aber wenn ich eine Deny Regel erstelle, tauchen diese Blockierungen nicht mehr in den Logs auf. Damit wird es übersichtlicher.

Naja um ehrlich zu sein währen es ja mehr Einträge. Bei einer default Installation darf der komplette LAN Verkehr ja nach draußen. Ich lasse nur die Ports raus die ich eingestellt habe. Damit werden mehr Sachen geblockt und es kommen mehr Einträge. Kannst du mal ein Screenshot von der log machen?


Gesendet von iPhone mit Tapatalk

Ich betreibe meine Firewall seit zwei Wochen und das ist mir auch aufgefallen dass die Ports von welchen die Anfrage kommt nicht den entsprechen wo die Anfrage hingeht. Ich habe die zwei Standard Regeln im Lan die bei der Einrichtung angelegt werden abgeschaltet und für alle Ports selber ausgehende Regeln definiert somit geht kein Traffic raus den ich nicht möchte. Alles was vom WAN rein will wird default erstmal geblockt.


Gesendet von iPhone mit Tapatalk

Hallo. Erfolgen die Zugriffe den von externen Ip Adressen oder von Internen? Ich habe z.b an meiner FB einige Smart Home Geräte. Die senden einen Broadcast alle paar Sekunden, der von der Opnsense geblockt werden.


Gesendet von iPhone mit Tapatalk

Ich habe natürlich noch weitere Freigaben für rdp dateitransporte etc. eingerichtet. So kann man aber explizit festlegen was raus darf. Für zb Spiele muss man dann auch die entsprechenden Ports freischalten.


Gesendet von iPhone mit Tapatalk

Guten morgen. Ich vermute mal das du aus dem Lan ins Inet möchtest. Die 2 default Any Regeln habe ich auch gleich abgeschaltet.

Ich habe mit einen Alias erstellt mit den folgende Ports:
53,80,443

Danach habe ich im Lan die folgende Regel erstellt.

       Protokoll           Quelle           Port   Ziel   Port   Gateway   Zeitplan   Beschreibung          
        IPv4 TCP/UDP   LAN Netzwerk   *   *   iNet     *   *           Webzugriff

Somit kannst du gezielt einstellen was raus geht aus deinem Lan.

Die zwei default Regeln einfach abschalten.