Messages

1

German - Deutsch / Re: OpenVPN Client sperren

« on: June 16, 2021, 12:24:51 pm »

Du musst das Zertifikat auf deine Zertifikatsrückrufliste setzen.
Nur weil du es aus der OPNsense löscht, bleibt es ja trotzdem gültig

Stimmt und klingt logisch!
Hätte mir auch klar sein müssen, habe aber schon lange nicht mehr mit Zertifikaten gearbeitet.

Gesendet mit Tapatalk pro

2

German - Deutsch / Re: OpenVPN Client sperren

« on: June 16, 2021, 09:58:31 am »

Hi,

ich möchte einen Client aus der Zugriffsliste für das VPN entfernen. Ich habe den Benutzer und das Zertifikat gelöscht, und trotzdem kann sich der Client verbinden.
Ist das Zertifikat noch irgendwo gespeichert?
Hilft ein Neustart der OPNsense?

Danke
Freddy

Ich würde erst mal ein Neustart probieren.

Schadet nicht...

Gesendet mit Tapatalk pro

3

German - Deutsch / Re: Mit Tunnel keinZugriff Intranetserver - Landingpage ist immer opnsense

« on: June 14, 2021, 04:25:02 pm »

Hallo,

ich hab Server, welche port 80/443 senden im Intranet.
Zugriff aus dem Internet klappt. Sobald ich aber meinen Wireguard Tunnel an habe, lande ich statt auf meinem Intranetserver immer auf dem Login der Firewall.
Der Zugriff durch den Tunnel auf andere Freigaben (z.B. SSH) klappt problemlos. Die Ip des (web) Intranetservers funktioniert ebenfalls über den Tunnel.

Nur der Zugriff auf den externen Namen des Intranetservers landet auf der FW.
Wo fehlt da noch die passende Einstellung?


LG
Bfo

Dies ist ohne nähere Angaben nicht wirklich zu beantworten.

Ich gehe davon aus das du über den Tunnel einen anderen DNS Server nutzt, dieser löst dein FQDN dann vermutlich mit der internen IP der Sense auf, was dazu führt das du auf der Login Page landest.

Aber dies ist nur eine Vermutung aus der Glaskugel.

Wenn du die entsprechende Konfiguration mal posten könntest, wäre eine genauere Analyse möglich.

Gesendet mit Tapatalk pro

4

German - Deutsch / Re: Probleme mit der RS232 Konsolenverbindung

« on: June 13, 2021, 09:06:23 pm »

Die Sense schaltet die Konsole ab. Musst du mal in den Einstellungen schauen über die WebGui.

Gesendet mit Tapatalk pro

5

German - Deutsch / Re: Projekt: Netzwerk in der Schule

« on: June 12, 2021, 10:00:07 pm »

Warum denn das Rad neu erfinden?

Gesendet mit Tapatalk pro

6

German - Deutsch / Re: Projekt: Netzwerk in der Schule

« on: June 12, 2021, 08:02:01 pm »

Hallo,

dazu gibt es was Schönes.

https://schulnetzkonzept.de/opnsense

Grüße.

Genau das hätte ich jetzt auch vorgeschlagen.

Da steht alles drin was du brauchst und was für eine Schule sinnvoll ist

Gesendet mit Tapatalk pro

7

German - Deutsch / Re: Anfänger - Problem Internetzugang DMZ

« on: March 10, 2021, 09:00:53 pm »

Binde deine Regel 4 mal an das Lan Interface als destination. Dann sollte er alles aus der DMZ Richtung Lan blocken.

Deine Regel 2 blockt nur DNS aus der DMZ heraus.
Jedoch verstehe ich den Sinn nicht.
Die DMZ liegt ja vermutlich al einem eigenen Interface. Sprich du hast 3 Netzwerkkarten WAN, LAN und DMZ.

Folglich geht nur über die Sense Pakete die geroutet werden müssen. Alles am switch der DMZ spricht direkt miteinander ohne über die DMZ zu gehen.

Gesendet mit Tapatalk pro

8

German - Deutsch / Re: Fritzbox / opnsense / Playstation

« on: March 05, 2021, 12:29:03 pm »

Ja, auf NAT2 bin ich auch schon gekommen. Es stehen aber immer noch nicht alle Funktionen zur Verfügung z.B. FiFa21 Spiele gegen Freunde. Andere Sachen wie online Spiele gegen andere (zufällige) funktionieren, genauso wie Headset usw. In den Logs wird auch nichts geblockt....

Ich stelle die Tage mal meine Regeln hier rein.

Hat den hier jemand ne PS4 mit FiFa21 und einer FB vor der opnsense am rennen?

Schau mal auf der Seite von PSN, da stehen die ports die genutzt werden. Pack sie in ein Alias und gib die ports eingehend an deine PS weiter.

Ich habe für Game und Multimedia ein eigenes VLAN. Somit gebe ich die Ports für das Playstation Network an das gesamte VLAN.

Habe bisher noch keine Einschränkungen festgestellt.

Gesendet mit Tapatalk pro

9

German - Deutsch / Re: Anfänger - Nur Internet

« on: March 05, 2021, 11:47:29 am »

Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!

Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

10

German - Deutsch / Re: Anfänger - Nur Internet

« on: March 05, 2021, 11:02:28 am »

Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

11

German - Deutsch / Re: Telekom Wifi-Calling geht nicht.

« on: March 05, 2021, 06:51:05 am »

Ich habe das Problem gefunden

Wifi Calling funktioniert nur, wenn der DNS Eintrag aus Deutschland kommt. Da ich DNSSEC und DoT von Cloudflare benutze funktioniert WIFI Calling nicht. Auch Google 8.8.8.8 funktioniert nicht. Mal schauen, wie ich es lösen kann.

Also ich habe auch den DNS Server von Cloudflare, allerdings ist in meinem Netz ein Domaincontroller der als 1. NS Server fungiert.

Vielleicht hilft es wenn du die Sense als NS laufen lässt?

Gesendet mit Tapatalk pro

12

German - Deutsch / Re: Fritzbox / opnsense / Playstation

« on: March 05, 2021, 05:52:36 am »

Hallo,

Besser als NAT-2 wirst du nicht bekommen da NAT-1 bedeutet das die PS eine öffentliche IP haben müsste und direkt erreichbar wäre.

Gesendet mit Tapatalk pro

13

German - Deutsch / Re: Telekom Wifi-Calling geht nicht.

« on: March 04, 2021, 06:39:22 pm »

Die ports welche freigegeben sind (500 4500) werden für VPN verwendet. Ich kann mir nicht vorstellen das WLAN Call diese ports nutzt.

Die Ports sind notwendig, da VoWLAN über IPSec mit NAT-T läuft.

Danke. Wieder mal was neues gelernt.
Wundere mich nur, das es bei mir ohne diese ports funktioniert.

Gesendet mit Tapatalk pro

14

German - Deutsch / Re: Port-Forward funktioniert nicht

« on: March 04, 2021, 01:41:56 pm »

Wenn es bei Deiner Telefonanlage über das WAN Interface funktioniert, machst Du irgend etwas anders als ich... oder das WAN Interface hat bei Dir eine Public IP, die vielleicht anders gehandhabt wird als meine private IP.

Ich weiß ja nun, dass es nicht an der Regel hakt, sondern am Interface. Denn wenn ich alles auf LAN stelle, funktioniert es... macht aber natürlich keinen Sinn. Also back to the roots... Was mache ich falsch? :-(

Ja das ist möglich. Ich habe auf dem WAN VLAN mit PPPoE und einer public IP.

Ich sage ja schon die ganze Zeit das es vermutlich an den IPs liegt. Wenn du in einem Lab bist ohne Internet dann gib einfach eine öffentliche IP an dein WAN.

Gesendet mit Tapatalk pro

15

German - Deutsch / Re: Telekom Wifi-Calling geht nicht.

« on: March 04, 2021, 01:38:21 pm »

Hallo,

Die ports welche freigegeben sind (500 4500) werden für VPN verwendet. Ich kann mir nicht vorstellen das WLAN Call diese ports nutzt.

Was sagt denn der Log der Firewall wenn du versuchst dich anzumelden? Gibt es da irgendwelche Meldungen die darauf schließen lassen das dort etwas blockiert wird?

Normalerweise müsste es funktionieren, denn ich habe auch die Telekom und habe nichts dafür getan.

Wenn du allerdings einen Proxy laufen hast auf der Sense, könnte es sein das dieser die Kommunikation verhindert.

Gesendet mit Tapatalk pro