"
Vielen Dank.
Ich hatte schon erwartet, dass es so einfach ist.
Das wäre dann damit gelöst.
Ich hatte schon erwartet, dass es so einfach ist.
Das wäre dann damit gelöst.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#1
German - Deutsch / Re: VPN lässt sich nach Verwendung einer Adresse im CSO nicht mehr aufbauen
December 09, 2025, 06:40:58 AM #2
German - Deutsch / VPN lässt sich nach Verwendung einer Adresse im CSO nicht mehr aufbauen
December 08, 2025, 06:09:36 PM
Hallo,
wir versuchen einer Gruppe von VPN-Benutzern feste IP-Adresse über CSO in OpenVPN zuzuweisen.
Wenn wir eine beliebige IP-Adresse, die sich im Server-Range befindet und nicht bereits in Benutzung ist, unter "IPv4 Tunnel Network" eintragen, baut sich das VPN nicht mehr auf.
Also z.B. nehme ich die 10.123.234.200/32 als "IPv4 Tunnel Network" und die "Server (IPv4)" lautet 10.123.234.0/24.
Ansonsten hat der Eintrag noch einen Namen und einen passenden CN. Alle anderen Optionen sind leer.
Was übersehe ich?
Vielen Dank für die Unterstützung.
Ralf
wir versuchen einer Gruppe von VPN-Benutzern feste IP-Adresse über CSO in OpenVPN zuzuweisen.
Wenn wir eine beliebige IP-Adresse, die sich im Server-Range befindet und nicht bereits in Benutzung ist, unter "IPv4 Tunnel Network" eintragen, baut sich das VPN nicht mehr auf.
Also z.B. nehme ich die 10.123.234.200/32 als "IPv4 Tunnel Network" und die "Server (IPv4)" lautet 10.123.234.0/24.
Ansonsten hat der Eintrag noch einen Namen und einen passenden CN. Alle anderen Optionen sind leer.
Was übersehe ich?
Vielen Dank für die Unterstützung.
Ralf
#3
Virtual private networks / Re: Enabling CSO blocks Network access (OpenVPN)
December 08, 2025, 05:59:43 PM
The subnet mask in 'IPv4 Tunnel Network' must be identical to the subnet mask of the server IP.
#4
25.7, 25.10 Series / Re: Manual outbound NAT rules no longer work since the update to 25.7.3
September 12, 2025, 05:53:13 AM
Since patch _7, it seems to be working perfectly again.
Thank you very much.
We will continue to check.
Thank you very much.
We will continue to check.
#5
25.7, 25.10 Series / Re: Manual outbound NAT rules no longer work since the update to 25.7.3
September 11, 2025, 10:44:41 AM
We have no aliases used for the NAT
#6
25.7, 25.10 Series / Manual outbound NAT rules no longer work since the update to 25.7.3
September 10, 2025, 10:49:00 PM
Hi,
manual outbound NAT rules no longer work since the update to 25.7.3.
Update _4 has at least ensured that automatic outbound NAT rules work.
But this means we can only work via one public IP address, which causes a number of problems.
Is there anything we can do as a workaround?
Thank you very much for your support.
Cheers,
Ralf
manual outbound NAT rules no longer work since the update to 25.7.3.
Update _4 has at least ensured that automatic outbound NAT rules work.
But this means we can only work via one public IP address, which causes a number of problems.
Is there anything we can do as a workaround?
Thank you very much for your support.
Cheers,
Ralf
#7
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 11, 2025, 07:15:08 PM
Also,
ich habe jetzt alles, was Wireguard und das NAT und die Berechtigungen dazu angeht abgerissen und neu eingerichtet.
Eigentlich genau wie vorher, nur die Reihenfolge etwas anders.
Jetzt geht es.
?
Danke für die Unterstützung.
ich habe jetzt alles, was Wireguard und das NAT und die Berechtigungen dazu angeht abgerissen und neu eingerichtet.
Eigentlich genau wie vorher, nur die Reihenfolge etwas anders.
Jetzt geht es.
?
Danke für die Unterstützung.
#8
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 11, 2025, 07:11:03 PMQuote from: Monviech (Cedrik) on July 10, 2025, 04:17:28 PMMan mach dass wenn man z.b. einen Server hosted der eine ACL hat und nur bestimmte IP addressen zulässt. Dann routet man via VPN über die Firmen IP Addresse. Damit man nicht jede youtube verbindung über das VPN jagt, nimmt man halt nur einzelne IPs für den Split tunnel. An sich sollte das funktionieren.
Genau so ist das. Danke.
#9
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 10:34:34 AM
Das LAN-Interface des Upstream-Routers hat die IP-Adresse 192.168.123.1 im Netzwerk 192.168.123.0/24
#10
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 09:59:06 AM
Das ist auf dem WAN-Interface auf der OPNsense-Firewall. Dieses befindet sich im Netzwerk 192.168.123.0/24 hinter dem Kabelrouter, der wiederum in das Internet nattet.
Die 123.123.123.123 kann natürlich nicht auf die 192.168.123.29 antworten. Allerdings auf die öffentliche IP-Adresse des Kabel-Routers und der wiederum auf die 192.168.123.29.
Die 123.123.123.123 kann natürlich nicht auf die 192.168.123.29 antworten. Allerdings auf die öffentliche IP-Adresse des Kabel-Routers und der wiederum auf die 192.168.123.29.
#11
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 09:38:01 AM
Was genau meinst Du?
07:34:25.049713 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1979, length 40
0x0000: 4500 003c 14ac 0000 7f01 98cd c0a8 b21d E..<............
0x0010: d9a0 41e1 0800 45a0 0001 07bb 6162 6364 ..A...E.....abcd
0x0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst
0x0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi
07:34:25.049713 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1979, length 40
0x0000: 4500 003c 14ac 0000 7f01 98cd c0a8 b21d E..<............
0x0010: d9a0 41e1 0800 45a0 0001 07bb 6162 6364 ..A...E.....abcd
0x0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst
0x0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi
#12
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 10, 2025, 07:52:11 AM
Ja, klar.
Der Kabel-Router macht ja auch nochmal NAT. Von daher ist das aus meiner Sicht alles korrekt. Irgendwo habe ich noch einen Knoten und das NAT scheint es nicht zu sein.
Also nochmal kurz zusammengefasst.
Die Anfrage geht über das VPN und kommt am WAN-Port der Firewall an, was aus meiner Sicht korrekt ist.
Zugriff von 10.2.120.0/24 auf 192.168.0.0/24 (VPN-LAN) funktioniert
Zugriff von 192.168.0.0/24 auf 123.123.123.123 (LAN-WAN) funktioniert
Zugriff von 10.2.120.0/24 auf 123.123.123.123 VPN-WAN) geht nicht
Der Kabelrouter hat keine Firewall aktiv, nur NAT und bekommt alle drei Anfragen von der 192.168.123.29
Der Kabel-Router macht ja auch nochmal NAT. Von daher ist das aus meiner Sicht alles korrekt. Irgendwo habe ich noch einen Knoten und das NAT scheint es nicht zu sein.
Also nochmal kurz zusammengefasst.
Die Anfrage geht über das VPN und kommt am WAN-Port der Firewall an, was aus meiner Sicht korrekt ist.
Zugriff von 10.2.120.0/24 auf 192.168.0.0/24 (VPN-LAN) funktioniert
Zugriff von 192.168.0.0/24 auf 123.123.123.123 (LAN-WAN) funktioniert
Zugriff von 10.2.120.0/24 auf 123.123.123.123 VPN-WAN) geht nicht
Der Kabelrouter hat keine Firewall aktiv, nur NAT und bekommt alle drei Anfragen von der 192.168.123.29
#13
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 11:22:33 PM
Ja, genau. Da ist ein Kabelrouter vor der Firewall
#14
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 11:14:29 PM
Hallo Patrick,
danke für Deine Antwort.
NAT Outbound Hybrid hatte ich schon eingestellt, nachdem es nicht funktionierte.
Und dann verschiedene Einstellungen getestet.
pfctl -s nat
no nat proto carp all
nat on igb1 inet from 10.2.120.0/24 to any -> (igb1:0) port 1024:65535
nat on igb1 inet from 10.2.120.0/24 to any port = isakmp -> (igb1:0) static-port
10.2.120.0/24 ist das VPN-Netzwerk
Beim tcpdump kommt folgende Meldung:
21:04:22.683457 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1734, length 40
Wobei 192.168.123.29 die IP-Adresse auf dem WAN-Device ist
danke für Deine Antwort.
NAT Outbound Hybrid hatte ich schon eingestellt, nachdem es nicht funktionierte.
Und dann verschiedene Einstellungen getestet.
pfctl -s nat
no nat proto carp all
nat on igb1 inet from 10.2.120.0/24 to any -> (igb1:0) port 1024:65535
nat on igb1 inet from 10.2.120.0/24 to any port = isakmp -> (igb1:0) static-port
10.2.120.0/24 ist das VPN-Netzwerk
Beim tcpdump kommt folgende Meldung:
21:04:22.683457 IP 192.168.123.29 > 123.123.123.123: ICMP echo request, id 1, seq 1734, length 40
Wobei 192.168.123.29 die IP-Adresse auf dem WAN-Device ist
#15
German - Deutsch / Re: Über Wireguard kann ich eine Öffentliche IP-Adresse nicht erreichen
July 09, 2025, 09:44:45 PM
In den Einstellungen des Wireguard-Clients steht:
Erlaubte IPs: 192.168.0.0/24, 123.123.123.123/32
Dann sieht die Routingtabelle wie folgt aus:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
...
123.123.123.123 255.255.255.255 Auf Verbindung 172.30.2.1 5
...
192.168.0.0 255.255.255.0 Auf Verbindung 172.30.2.1 5
...
Die Geräte im Netzwerk 192.168.0.0/24 sind erreichbar, die IP-Adresse 123.123.123.123 nicht.
Erlaubte IPs: 192.168.0.0/24, 123.123.123.123/32
Dann sieht die Routingtabelle wie folgt aus:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
...
123.123.123.123 255.255.255.255 Auf Verbindung 172.30.2.1 5
...
192.168.0.0 255.255.255.0 Auf Verbindung 172.30.2.1 5
...
Die Geräte im Netzwerk 192.168.0.0/24 sind erreichbar, die IP-Adresse 123.123.123.123 nicht.
