Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - hdkirschbaum

Pages: [1]

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: May 02, 2024, 12:11:24 pm »

Ich glaube , ich habe die Lösung gefunden.

Zunächst habe ich auf dem Notebook Wireguard-client deinstalliert und neu installiert. Anschließen habe ich das das WLAn als "Privates Netzwerk" eingerichtet.

Hinweis wurde aus der website
https://www.andysblog.de/wireguard-server-unter-windows-einrichten
entnommen. Da steht:

"Eine Einschränkung scheint es zu geben: Die Clients können zwar auf den WireGuard-Server zugreifen (z.B. ping, rdp, usw.) aber umgekehrt vom Server auf die Clients klappt dies nicht. Die Netzwerkkategorie auf dem VPN-Client ist dabei richtig konfiguriert (Privates Netzwerk) und die gewünschten Dienste sind in der Firewall zugelassen."

Zusätzlich wurde in der Windows-Firewall als "Eingehende Regel" wiregauard.exe zugelassen.

Ja Windows ist halt nicht Linux.

Der code von Wireguard-client wurde Schritt für Schritt angepasst. Es klappt nun mit o.a. Code, selbst ohne die internen Subnetze als AllowedIPS anzugeben.

Selbst nach einem Reboot des Notebooks, läuft alles wie gewünscht.
Vielen Dank für die Unterstützung.
hdkirschbaum

Code: [Select]

[Interface]
PrivateKey = xxxxxxx
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = xxxxxxxxx
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = xxxxxxxxxx

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 30, 2024, 09:21:22 am »

Guten Morgen oder besser schlechter Morgen,

nach der Freude, daß gestern der Zugriff auf alle sunetze vom Notebook geklappt hat, heute morgen die große Enttäuschung. Nach dem Booten des Notebooks und Aktivieren von wireguard konnte kein subnetz erreicht werden.
Ichvermute, das liegt nicht an OPNsense sondern an windows.
Ich versuche heraus zu kriegen, woran dieses Verhalten liegt.

Vielleicht hat jemand noch einen Tipp....auch wenn es vielleicht an Windows liegt.
Schade !!!!
Gruß
hdkirschbau

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 29, 2024, 09:39:06 pm »

Vielen Dank für die vielen Tipps.
Ich glaube der Tipps von @lewald und @chemlud waren die Lösung. Ich habe alle möglichen Allowed IPS eingetragen, ebenso den Tunnel selbst. Zusätzlich wurde DNS erweitert mit 8.8.8.8.
Siehe Code

Somit scheint das Problem gelöst zu sein. Zur allgemeinen Information, Client.conf für mein Smartphone klappte die Verbindung ohne die o.a. Erweiterungen, auch die Verbindung auf das 2. Subnetzt. Es scheint wohl eine Eigenart von Windows auf meinem Notebook zu sein.

Nochmals vielen Dank für Eure Hilfe!!!!
Gruß
hdkirschbaum

Code: [Select]

[Interface]
PrivateKey = 
Address = 10.10.0.2/32
DNS = 192.168.1.1, 8.8.8.8

[Peer]
PublicKey = 
AllowedIPs = 10.10.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 27, 2024, 10:47:41 pm »

Hier der Code auf dem Notebook:

[Interface]
PrivateKey =
ListenPort = 51821
Address = 10.10.0.2/32
DNS = 192.168.1.1

[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = kiropnsense.ddnss.de:51821

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 27, 2024, 03:24:55 pm »

Vielen Dank für die schnellen Antworten.
Hier meine Meine Firewall Regeln

Interface Wireguard:

IPv4 TCP/UDP * * * * * * Allow WireGuard devices access to anywhere
IPv4 UDP WireGuard net * 192.168.1.1 5310 * * ADGuard DNS

Interface LAN2 (hier NAS)

Protocol   Source   Port   Destination   Port   Gateway   Schedule      Description
Automatically generated rules
        IPv4 TCP/UDP   *   *   *   *   *   *      wiregard access to NAS
        IPv4 TCP/UDP   NAS net   *   *   587 (SUBMISSION)   *   *      Allow SMTP ohne Surfshark
        IPv4 ICMP   NAS net   *   This Firewall   *   *   *      NASnrt_To_Firewall_Ping
        IPv4 TCP/UDP   192.168.2.100   *   This Firewall   6556   *   *      Checkmk allow
        IPv4 *   NAS net   *   *   *   *   *      Allow alltraffic
        IPv6 *   NAS net   *   *   *   *   *      Default allow LAN IPv6 to any rule

NAT For Ward

Interface   Proto   Address   Ports   Address   Ports   IP   Ports   Description
LAN   TCP   *   *   LAN address   22, 80, 443   *   *   Anti-Lockout Rule
         LAN   UDP   LAN net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS
         WireGuard   UDP   WireGuard net   *   *   53 (DNS)   192.168.1.1   5310   ADGuard DNS
         WAN   TCP   *   *   WAN address   22 (SSH)   192.168.2.100   22 (SSH)   NAT SSH to Miniserver

Zusätzlich muß ich erwähnen, daß ich über einen VPN-Server "Surfshark" ins Internet gehe.
In OPNsense ist ein "Surfshark - client" eingerichtet; Port 51280.
Unabhängig ob ich den Traffic über "surfshark" leite oder nicht (client auf OPNsense disabled) kann ich nicht von Extern auf das 2. subnetz zugreifen.

Gruß
hdkirschbaum

German - Deutsch / Re: Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 27, 2024, 01:37:17 pm »

Peer:
allowed adress:10.10.0.2/32

Client 10.10.0.2
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
bei windows ist kein Haken bei "Blockiere Verkehr außerhalb des Tunnels"

wird der Haken gesetzt, dann
AllowedIPS = 0.0.0.0/0, ::/0

German - Deutsch / Wireguard - Tunnel: Keine Verbindung zum 2. Subnetz hinter OPNsense

« on: April 27, 2024, 11:15:53 am »

Nach langem Probieren wende ich mich an Euch. Auf meiner OPNsense habe ich einen Wireguard -Server .
installiert.
Wiregard -Netz / Tunnel ist :10.10.0.0/24

Die OPNsense ist hinter der Fritzbox und folgende Interfaces:

WAN: 192.168.179.11
Lan 1 : 192.168.1.1
LAN 2 : 192.168.2.1
Wireguard-Server: 10.10.0.1

Die Instanz und die Peers wurden nach Anleitung eingerichtet und der Tunnel von Extern steht.

Ich kann ohne Probleme von Extern - hier dargestellt als Notebook (10.10.0.2) - auf das Netzwerk hinter dem Interface LAN1 zugreifen, z.B. Aufruf des Apache auf Raspberry.

Was nicht klappt ist der Zugriff über den Tunnel auf das Netz hinter LAN2. Im Heimnetzwerk kann ich problemlos von Netz 192.168.1.0/24 auf 192.168.2.0/24 und umgekehrt zugreifen.

Warum klappt der Zugriff auf LAN1 und nicht auf LAN2. Bei einem log auf interface sieht man, es kommt nichts an, es wird nichts blockiert. Ich vermute es liegt irgendwie an forwarding oder NAT.

Ich bin sicher, für Euch Experten wird es leicht sein, mir eine Lösung / Tipp zu geben.

Jetzt schon einmal vielen Dank

hdkirschbaum

Code: [Select]

                                                                                                                            
                                                                                                                          
                                                                                                                            
                                                                                                                            
                                                                                                                            
                                                                                                                            
                                                                                                                            
  Wireguard   .------------.                                                                                                
  Client      + Notebook   |                                                                                                
  10.10.0.2   '-----:------'                                                                                                
                    :                                                                                                       
     ────────────────────────────────────                                                                                   
                    :                                                                                                       
      Tunnel10.10.0.0/24      Internet                                                                                      
                    :                                                                                                       
                    :                                                                                                       
     ───────────────────────────────────                                                                                    
                    :                                                                                                       
                    :                                                                                                  -    
              .-----+-----.                                                                                                 
 192.168.178.1| Fritzbox  |                                                                                                 
              '-----+-----'                                                                                                 
                    |                                                                                                       
                WAN |192.168.178.11                                                                                         
                    |                                          Mailserver                                           -       
              .-----+------.                 .------------.    Nextcloud                                                    
Wireguard     |  OPNsense  +------LAN-2------+ Miniserver |    MySQL                                                        
Server        '-----+------'   192.168.2.1   '------------'                                                                 
10.10.0.1           |                                                                                                       
              LAN 1 | 192.168.1.1                                                                                           
                    |                                                                                                       
              .-------------                                                                                                
              | LAN-Switch |                                                                                                
              '-----+------'                                                                                                
                    |                                                                                                       
          |---------+--------|                                                                                              
          |                  |                                                                                              
          |                  |                                                                                              
    .------------.   .------------.                                                                                         
    + Client     |   +  Client    |                                                                                         
    '-----:------'   '-----:------'

German - Deutsch / Re: opnsense surfshark switch traffic to 1und1.tv

« on: December 21, 2023, 10:57:11 am »

Vielen Dank für die schnelle Antwort. Die Tips von micneu und Patric M. Hausen habe ich umgesetzt.
Ip der TV-Box ermittelt und in der LAN-Regel als source eingesetzt, Gateway mit Default.
Klappt, kann trotz VPN über surfshark fernsehen mit 1und1.tv.

So ganz rund ist die Sache jedoch noch nicht.
Bei der Verwendung der apps (1und1.tv) auf Smartphon und Tablet (beide Clients im LAN-Netz) erhalte ich weiter die Fehlermeldung :
Sie befinden sich gerade nicht im 1&1Heimnetzwerk.

Was zu erwarten war.
Wie finde ich eine Regel für das Smartphon oder Tablet, source und destination sind mir unbekannt.
Ist surfshark lokal auf dem Smartphon installiert kann die app 1und1.tv an VPN vorbeigeleitet werden. Es müßte auch für die opnsense eine einfache Lösung möglich sein.

German - Deutsch / opnsense surfshark switch traffic to 1und1.tv

« on: December 20, 2023, 12:11:48 pm »

Hallo,
ich habe in opnsense surfshark nach Anweisung installiert, VPN-Tunnel läuft. Ich habe nur ein Problem, wenn ich 1und1.tv (TV-Streaming) aufrufe, bekomme ich die Meldung:

Sie befinden sich gerade nicht im 1&1Heimnetzwerk.Der Stream kann daher aus rechtlichen Gründen leider nicht angezeigt werden.

Deaktiviere ich die Lan-regel

Protokoll => source => Port => destination => port => gateway
ip4 => LANnet =>* => * => * => SURFSHARKVPN_VPNV4

kann ich wieder auf 1und1.TV zugreifen, ohne Fehlermeldung, was zu erwarten war

Deshalb versuchte ich eine Regel vor o.a. Regel zu erstellen, die den traffic ohne VPN direkt zu 1und1.tv leitet.
Habe folgende Regel erstellt, die aber nicht funktioniert:

Protokoll => source => Port => destination => port => gateway
ip4 => LANnet => * => 91.123.100.151 => * => *

Was muß ich in opnsense einstellen, um ein Splitting zu 1und1.tv zu erreichen.

Schon mal ein Danke für eine Unterstützung.

German - Deutsch / Re: Wireless hostap durch Cron steuern

« on: August 20, 2020, 10:37:21 am »

Wie würdest Du es da machen?

In Linux per Crontab

# start hostapd 6:00
0 8 * * * /etc/init.d/hostapd start
# stop hostapd 23:59
59 23 * * * /etc/init.d/hostapd stop

German - Deutsch / Re: Wireless hostap durch Cron steuern

« on: August 20, 2020, 08:52:47 am »

Vielen Dank für die schnelle Antwort und die Empfehlung.
Opnsense läuft bei mir auf "terra black" mit athero-wireless. Für meinen kleinen Homebereich reicht die performance bisher aus und zunächst wil ich nicht in einen accesspoint investieren.

Deshalb nochmals meine Bitte, wie kann ich Wireless hostap in Freebsd per Cron steuern. In Opnensens fehlt ja diese Möglichkeit.

German - Deutsch / Wireless hostap durch Cron steuern

« on: August 19, 2020, 07:01:24 pm »

Ich möchte gerne wirelss über Nacht abschalten.

Für wireless ist der Prozess hostap zuständig. Dieser Prozess müßte eigentlich mit cron gestartet und gestoppt werden können.
Ich kenne mich leider mit Freebsd nicht aus. In opensens wird diese Möglichkeit unter Cron nicht angegeben.
In Linux wäre dies kein Problem. Gibt es ein script

Gruß
hdkirschbaum

German - Deutsch / Re: Fremdzugriff mit dyndns myfritz.net

« on: July 08, 2020, 04:40:22 pm »

Vielen Dank für die schnellen Antworten.
Im Netzwerkstruktur war ein Tipp-Fehler.

Die OPNsense hat als WAN-Schnittstelle 192.168.178.10 und nicht 192.168.179.10.

Werde den Hinweis berücksichtigen und die ips im Fritz-Netzwerk umbenennen.

Die Empfehlung für das Port forwarding werde ich zunächst mal einpflegen. Mal schauen, ob es damit klappt.

Vielleicht werde dann doch vielleicht auf eine VPN-Lösung umsteigen.

German - Deutsch / Fremdzugriff mit dyndns myfritz.net

« on: July 08, 2020, 01:40:21 pm »

Guten Morgen

Ich bin Neuling mit OPNsense und habe zunächst die Firewall auf eine Terra Black Dwarf G2 installiet. Schritt für Schritt bin ich dabei OPNsense für meine Bedürfnisse zu konfigurieren und einzurichten.

Bisher war mein Netzwerk direkt an einer Fritzbox 7362 angebunden. Mit dydns myfritz.net konnte ich von Außen über das Internet auf Webseiten der angeschlossenen Raspberrys zugreifen.

      Internet
:
:
:
.-----+-----.
| Fritzbox |
'-----+-----'
|
|
WAN 192.168.178/24
|
|
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.178.24)
|
|   --------PC (192.168.178.41)
|
|   -------   Raspberry – Owncloud    (192.168.178.57)
|     Extern https;//ip.xxxxxxx.myfritz.net
|
|
|   -------   Raspberry-openHAB2   (192.168.178.22)
           Extern https;//ip.xxxxxxx.myfritz.net:8080

In meiner neuen Netzstruktur ist zwischen der Fritzbox und dem Homenetz die Firewall OPNsenseund ein Switch geschaltet.

      Internet
:
:
:
.-----+-----.
| Fritzbox |
'-----+-----'
| |
|
WAN 192.168.178/24
|
.------------. 192.168.179.10
| OPNsense |
'-----+------' 192.168.1.1
|
192.168.1.0/24
        |
        |
.------------.
| Switch |
'-----+------'
|
|
|--------+------... (Clients/Servers)
|
|--------Notebook (192.168.1.100)
|
|   --------PC (192.168.1.101)
|
|   -------   Raspberry – Owncloud    (192.168.1.102)
|     extern

? https;//ip.xxxxxxx.myfritz.net
|
|
|   -------   Raspberry-openHAB2   (192.168.1.103)
           Extern?

? https;//ip.xxxxxxx.myfritz.net:8080

Ich möchte nun auch wie bisher von Extern über das Internet auf die Raspberry-Anwendungen Owncloud und openHAB2 zugreifen.
In der Freigabe der Fritzbox ist OPNsense als Exposed Host deklariert, um Pakete direkt durchzuleiten.

Was muß ich in OPNsense einrichten, daß man mit dyndns myfritz.net auf die Raspberries zugreifen kann. Geht das überhaubt, oder muß man VPN verwenden?

Ich bin sicher, daß diese Frage oder ähnliches Problem schon mal im Forum behandelt worden ist, habe trotz Suche bisher nichts gefunden. Wenn dem so ist, schickt mir bitte den entsprechenden Link.

Wüde mich freuen, wenn ich einen Tipp bekommen kann.

Vielen Dank im voraus

hdkirschbaum

Pages: [1]