Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - lidynia.sven

#1
German - Deutsch / Re: OpenVPN Client sperren
June 16, 2021, 12:24:51 PM
Quote from: lfirewall1243 on June 16, 2021, 12:13:40 PM
Du musst das Zertifikat auf deine Zertifikatsrückrufliste setzen.
Nur weil du es aus der OPNsense löscht, bleibt es ja trotzdem gültig
Stimmt und klingt logisch!
Hätte mir auch klar sein müssen, habe aber schon lange nicht mehr mit Zertifikaten gearbeitet.

Gesendet mit Tapatalk pro

#2
German - Deutsch / Re: OpenVPN Client sperren
June 16, 2021, 09:58:31 AM
Quote from: fvonderhoeh on June 16, 2021, 09:33:27 AM
Hi,

ich möchte einen Client aus der Zugriffsliste für das VPN entfernen. Ich habe den Benutzer und das Zertifikat gelöscht, und trotzdem kann sich der Client verbinden.
Ist das Zertifikat noch irgendwo gespeichert?
Hilft ein Neustart der OPNsense?

Danke
Freddy
Ich würde erst mal ein Neustart probieren.

Schadet nicht...

Gesendet mit Tapatalk pro

#3
Quote from: bforpc on June 14, 2021, 04:02:23 PM
Hallo,

ich hab Server, welche port 80/443 senden im Intranet.
Zugriff aus dem Internet klappt. Sobald ich aber meinen Wireguard Tunnel an habe, lande ich statt auf meinem Intranetserver immer auf dem Login der Firewall.
Der Zugriff durch den Tunnel auf andere Freigaben (z.B. SSH) klappt problemlos. Die Ip des (web) Intranetservers funktioniert ebenfalls über den Tunnel.

Nur der Zugriff auf den externen Namen des Intranetservers landet auf der FW.
Wo fehlt da noch die passende Einstellung?


LG
Bfo
Dies ist ohne nähere Angaben nicht wirklich zu beantworten.

Ich gehe davon aus das du über den Tunnel einen anderen DNS Server nutzt, dieser löst dein FQDN dann vermutlich mit der internen IP der Sense auf, was dazu führt das du auf der Login Page landest.

Aber dies ist nur eine Vermutung aus der Glaskugel.

Wenn du die entsprechende Konfiguration mal posten könntest, wäre eine genauere Analyse möglich.

Gesendet mit Tapatalk pro

#4
Die Sense schaltet die Konsole ab. Musst du mal in den Einstellungen schauen über die WebGui.

Gesendet mit Tapatalk pro

#5
Warum denn das Rad neu erfinden?

Gesendet mit Tapatalk pro

#6
Quote from: maclinuxfree on June 12, 2021, 07:46:39 PM
Hallo,

dazu gibt es was Schönes.

https://schulnetzkonzept.de/opnsense

Grüße.
Genau das hätte ich jetzt auch vorgeschlagen.

Da steht alles drin was du brauchst und was für eine Schule sinnvoll ist

Gesendet mit Tapatalk pro

#7
Binde deine Regel 4 mal an das Lan Interface als destination. Dann sollte er alles aus der DMZ Richtung Lan blocken.

Deine Regel 2 blockt nur DNS aus der DMZ heraus.
Jedoch verstehe ich den Sinn nicht.
Die DMZ liegt ja vermutlich al einem eigenen Interface. Sprich du hast 3 Netzwerkkarten WAN, LAN und DMZ.

Folglich geht nur über die Sense Pakete die geroutet werden müssen. Alles am switch der DMZ spricht direkt miteinander ohne über die DMZ zu gehen.

Gesendet mit Tapatalk pro
#8
Quote from: Traxer on March 05, 2021, 10:37:28 AM
Ja, auf NAT2 bin ich auch schon gekommen. Es stehen aber immer noch nicht alle Funktionen zur Verfügung z.B. FiFa21 Spiele gegen Freunde. Andere Sachen wie online Spiele gegen andere (zufällige) funktionieren, genauso wie Headset usw. In den Logs wird auch nichts geblockt....

Ich stelle die Tage mal meine Regeln hier rein.

Hat den hier jemand ne PS4 mit FiFa21 und einer FB vor der opnsense am rennen?
Schau mal auf der Seite von PSN, da stehen die ports die genutzt werden. Pack sie in ein Alias und gib die ports eingehend an deine PS weiter.

Ich habe für Game und Multimedia ein eigenes VLAN. Somit gebe ich die Ports für das Playstation Network an das gesamte VLAN.

Habe bisher noch keine Einschränkungen festgestellt.

Gesendet mit Tapatalk pro

#9
German - Deutsch / Re: Anfänger - Nur Internet
March 05, 2021, 11:47:29 AM
Quote from: keebie on March 05, 2021, 11:16:03 AM
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

#10
German - Deutsch / Re: Anfänger - Nur Internet
March 05, 2021, 11:02:28 AM
Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

#11
Quote from: Thomas on March 04, 2021, 10:48:21 PM
Ich habe das Problem gefunden :(

Wifi Calling funktioniert nur, wenn der DNS Eintrag aus Deutschland kommt. Da ich DNSSEC und DoT von Cloudflare benutze funktioniert WIFI Calling nicht. Auch Google 8.8.8.8 funktioniert nicht. Mal schauen, wie ich es lösen kann.
Also ich habe auch den DNS Server von Cloudflare, allerdings ist in meinem Netz ein Domaincontroller der als 1. NS Server fungiert.

Vielleicht hilft es wenn du die Sense als NS laufen lässt?

Gesendet mit Tapatalk pro

#12
Hallo,

Besser als NAT-2 wirst du nicht bekommen da NAT-1 bedeutet das die PS eine öffentliche IP haben müsste und direkt erreichbar wäre.

Gesendet mit Tapatalk pro

#13
Quote from: schnipp on March 04, 2021, 03:40:10 PM
Quote from: lidynia.sven on March 04, 2021, 01:38:21 PM
Die ports welche freigegeben sind (500 4500) werden für VPN verwendet. Ich kann mir nicht vorstellen das WLAN Call diese ports nutzt.

Die Ports sind notwendig, da VoWLAN über IPSec mit NAT-T läuft.
Danke. Wieder mal was neues gelernt.
Wundere mich nur, das es bei mir ohne diese ports funktioniert.

Gesendet mit Tapatalk pro

#14
Quote from: ChrisVH1982 on February 27, 2021, 10:37:38 PM
Wenn es bei Deiner Telefonanlage über das WAN Interface funktioniert, machst Du irgend etwas anders als ich... oder das WAN Interface hat bei Dir eine Public IP, die vielleicht anders gehandhabt wird als meine private IP.

Ich weiß ja nun, dass es nicht an der Regel hakt, sondern am Interface. Denn wenn ich alles auf LAN stelle, funktioniert es... macht aber natürlich keinen Sinn. Also back to the roots... Was mache ich falsch? :-(
Ja das ist möglich. Ich habe auf dem WAN VLAN mit PPPoE und einer public IP.

Ich sage ja schon die ganze Zeit das es vermutlich an den IPs liegt. Wenn du in einem Lab bist ohne Internet dann gib einfach eine öffentliche IP an dein WAN.

Gesendet mit Tapatalk pro

#15
Hallo,

Die ports welche freigegeben sind (500 4500) werden für VPN verwendet. Ich kann mir nicht vorstellen das WLAN Call diese ports nutzt.

Was sagt denn der Log der Firewall wenn du versuchst dich anzumelden? Gibt es da irgendwelche Meldungen die darauf schließen lassen das dort etwas blockiert wird?

Normalerweise müsste es funktionieren, denn ich habe auch die Telekom und habe nichts dafür getan.

Wenn du allerdings einen Proxy laufen hast auf der Sense, könnte es sein das dieser die Kommunikation verhindert.

Gesendet mit Tapatalk pro