Messages

1

German - Deutsch / IPSec Routing Notebook zur OpnSense

« on: May 11, 2021, 01:46:35 pm »

Hallo, zur Verbindung per VPN ins LAN habe ich mir eine mobile IPSec Verbindung eingerichtet (nach folgendem Guide: https://administrator.de/knowledge/ipsec-vpn-mobile-benutzer-pfsense-opnsense-firewall-einrichten-337198.html)
Stand jetzt erreiche ich nur die Firewall im LAN. Ich kann aber an der Firewall sehen dass sie die Pakete empfängt (bei Status Overview gehen die "In" Bits hoch), das Notebook scheint also richtig zu routen. Dachte erst an ein Firewall Problem aber selbst bei einem allow any auf das IPSec Interface kommt nichts zurück.
Andere IPSec Site2Site Verbindungen funktionieren problemlos

Habt ihr vielleicht eine Idee?

Danke!

2

German - Deutsch / OpenSense Migrations Probleme VPN und Routing

« on: April 28, 2021, 08:44:45 am »

Hallo zusammen,
hoffe es geht allen trotz den Umständen gut

Folgendes Problem: wir ziehen unsere Firewall um und haben in dem Zug auch den User-Zugang per OpenVPN und die entfernten Server per IPSec umgezogen - funktioniert auch alles einwandfrei, allerdings hat die Sense jetzt noch ein default Gateway, Netzwerkplan:

Code: [Select]

     
                      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  WAN-Gateway
      '-----+-----'
            |
        WAN IP
            |
      .-----+------.   VPN-Verbindungen 
      |  OPNsense  +----------------- (OpenVPN für User-Zugriff, IPSec für Verbindung von Server aus anderen Netzen)
      '-----+------'      '------------'
            |
            |
      .-----+-----.
      |  Gateway  |  Lan-Gateway (alte Firewall)
      '-----+-----'
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


jetzt soll die alte Firewall abgeschalten werden damit es in etwa so ausssieht:

Code: [Select]

      WAN / Internet
            :
            :
            :
      .-----+-----.
      |  Gateway  |  WAN-Gateway
      '-----+-----'
            |
        WAN
            |
      .-----+------.   VPN-Verbindungen
      |  OPNsense  +-----------------
      '-----+------'     
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Dafür hatte ich alle LAN-Gateways auf der Sense deaktiviert, im LAN-IF auf "auto-detect" gestellt und das WAN-Gateway als Upstream Gateway konfiguriert.

In dem SetUp komm ich zwar per OpenVPN auf alle internen Systeme, jedoch nicht mehr an die Systeme hinter den IPSec Tunneln, wenn man sich im LAN befindet funktioniert alles wie gewollt - ist die alte Firewall als LAN-Gateway eingetragen funktioniert das allerdings.

Hat jemand eine Idee was das Problem sein könnte?

3

German - Deutsch / Re: Newbie Frage: IPSec Antworten nur auf bestehende Verbindungen

« on: March 26, 2021, 09:10:30 am »

also im IPSec Teil der Firewall Rules zB. 192.168.10.0 allow eintragen und sonst keine Regeln?

oder muss ich das im LAN einstellen?

Danke

4

German - Deutsch / Newbie Frage: IPSec Antworten nur auf bestehende Verbindungen

« on: March 24, 2021, 04:19:39 pm »

Hallo zusammen, ich bin noch recht neu in der Thematik und hätte eine Frage
kann ich die Firewall so einstellen dass bei konfigurierten IPSec Verbindungen nur eine Antwort gesendet wird wenn die Verbindung aus meinem Netz initiiert wurde?
Also zum Beispiel dass ich mit meinem Notebook den entfernten Server erreichen kann, der aber keine Verbindung zu meinem Notebook initiieren kann?

Danke & Grüße

5

German - Deutsch / Re: Sense als Default Gateway

« on: December 29, 2020, 01:44:41 pm »

Danke !

6

German - Deutsch / Re: Sense als Default Gateway

« on: December 23, 2020, 01:31:11 pm »

danke für die Antworten

die IP-Adresse war nur aus der Luft gegriffen, es handelt sich hier nicht um eine vorhandene Konfiguration oder etwas das Konfiguriert werden soll, sondern nur um eine Verständnis-Frage (allerdings wurden mir hiermit Defizite im Wissen aufgezeigt, werde mich da informieren - danke)

hier mal ein Netzwerkplan was ich meinte:

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  WAN-Gateway
      '-----+-----'
            |
        WAN | IP
            |
      .-----+------.   private DMZ   
      |  OPNsense  +-----------------
      '-----+------'   LAN-IP 10.0.0.1 
            |
        LAN | 10.0.0.0/24
            |

            |
    ...-----+------... (Clients/Servers) (10er-Netz zum Beispiel)


Muss ich jetzt in der LAN-Interface-Konfig von der OpnSense noch mal die 10.0.0.1 (also ihre eigne LAN-IP) als Gateway eintragen oder bekommt das Interface einfach gar kein Gateway und bleibt auf "auto-detect"?

Und wie müsste dann das WAN-Interface eingestellt werden damit ich ins Internet komm? Dort dann einfach das WAN-Gateway als "upstream"-Gateway eintragen?

7

German - Deutsch / Re: Sense als Default Gateway

« on: December 22, 2020, 05:02:24 pm »

Also die OpenSense ist im Lan, bei der ip war n blödes Beispiel, sagen wir 169.254.0.1 ist das gateway (und dementsprechend die ip der sense) muss ich jetzt in der config für das LAN IF noch ein Gateway hinzufügen und da dann die 169.254.01 eintragen oder einfach leer lassen?
WAN mäßig ist das IF alles konfiguiert und funktioniert, mir geht es nur um das LAN interface ob ich da in das Gateway feld was eintragen muss oder nicht

8

German - Deutsch / Sense als Default Gateway [Solved]

« on: December 22, 2020, 11:46:44 am »

Hi, ich weiß dass ist eine dumme Frage aber ich hab im Nezt nichts gefunden was mir weitergeholfen hätte, vielleicht kann mir hier jemand auf die Sprünge helfen.

Wenn ich die OpenSense als default Gateway meines LANS haben will, muss ich dann in der IF-Config vom LAN die IP-Adresse der OpnSense eintragen
Also wenn die OpnSense die Adresse 169.10.10.1 hat muss ich dann in den Inteface-Einstellungen dazu auch 169.10.10.1 als Gateway eintragen? Dreht sich dann ja eigentlich im Kreis