Messages

Muss mich mal an die Profis wenden - komme leider selber nicht auf die Lösung

Proxmox und Opnsense - mit 1 Fritzbox und 1 DSL Anschluss ( WAN)
zusätzlich 6 Gateways mit Wireguard VPN zu verschiedenen dedicated Server.

Bis jetzt waren nur Windows 10 Pcs im Lan ( Ips der einzelnen PCs ist in verschiedenen Aliasen definiert für
interne Clients und auch für externe welche sich via Wireguard auf die Opnsense verbinden.

Es gibt verschieden LAN rules wo zb. die Gruppe Alias1 als Gateway WAN, also direkt raus definiert ist und andere Rules wo die verschiedenen Aliase halt VPN WG1 usw. verwenden.

( funktioniert mit Windows perfekt ) , aber bei
Debian Clients funkts zwar auch - aber Linux updates oder github Zugriffe gehen einfach nicht ( wenn ich die Lan rule auf direkten zugriff ohne VPN wähle - dann gehts )
und nein - die vps oder dedis werden nicht geblockt , und der traffic läuft absolut durch das definierte Gateway

Finde leider den Fehler nicht - also über einen Tip wäre ich echt dankbar ............

Hi EdwinKM

Thanks for your answer and your help.
My problem is , i have a second FW - Kerio on the same router. In the Kerio FW this is much easier to solve than in the opnsense.
But in the meantime I have already found a solution that allows the 3 clients to come into the sublan via nfs. (Why easy when there is a complicated way!)

Hi to all

I think i have a mistake in reasoning or I misunderstood something. I can't (a few hours today) ping a client from the subnet or get access.

I only want 3
192.168.1.200  ----- >  Opnsene 192.168.1.82   >>> to 192.168.0.100
192.168.1.201  ------>
192.168.1.202  ------>

it can't be so difficult

Question to the professionals - unfortunately I can't do it and would ask for help

Initial situation: Router Fritzbox 7590 with ADSL
                   (Wlan + Lan 192.168.1.0/24)
                   

Opensense uses the Fritzbox with the IP 192.168.1.82 as gateway to the Internet
                                     IP 192.168.0.0/24 is the internal LAN behind Opnsense

In the meantime, everything works perfectly in our office in the LAN, but there would have to be 3 notebooks which are in the WLAN
( IP 192.168.1.200 / 192.168.201 ... ) route - naten - forward ?? to intern Lan Pc

It would be ideal to pass the WLAN clients completely through to the entire LAN.

alternative

SMB(445) & NFS(2609) to 192.168.0.100


192.168.1.200  ----- >  Opnsene 192.168.1.82   >>> to 192.168.0.100 
192.168.1.201  ------>
192.168.1.202  ------>

After hours of failure - I ask for help or a tip or example

Thank you thank you
horst

Hmm
Kann die Opnsene überhaupt mit ADSL / DSL umgehen ohne ADSL Pcie ?

Komme leider nicht weiter , deshalb meine Frage

2 verschiedene Internetanschlüsse mit 2 Fritzboxen. An der 1 FB hängt eine Kerio FW und an der 2 FB eine Opnsene.

Locales Lan 192.168.0.0/24 - wobei einigen PCs bzw Geräte verwenden als GW die Kerio FW , andere die Pfsense.
Im local Lan sind alle intern erreichbar - egal welchen GW die Geräte verwenden.

nun meine Frage:
Bei einer bestehen WG Verbindung auf die Opnsense kann ich alle PCs welchen als GW die Opnsene eingetragen haben problemlos erreichen - die anderen die sich auch im selben localen Lan befinden nicht.

Könnte mir jemand eventuell einen Tip geben wo ich ansetzen könnte das zu lösen ?

Hmm , danke mal für die vielen Antworten
Mittlerweile hab ich es schon probiert, denke das alles richtig konfiguriert ist
a:) nicht das erste mal mache
b:) einen funktionierenden client auf keesolid ja schon habe
aber egal was ich mache , der gateway will einfach nicht - schon 100x alles geprüft
( einzige erklärung die mir noch einfällt ist das keepsolid keine 2 wireguard verbindungen von der selben ip zulässt ), oder ich übersehe was ...

Trotzdem dank

Also -
Ich verwende eine opnsense mit mehreren Wg Gateways und route damit clients in und auf verschiedene vps als fare gateway )

und nun stellt sich mir die Frage ...

Teste gerade keepsolid vpn  - was simple mit den config files einzubinden ist - aber
wenn ich 2 - 3 verschiedene Gateways in verschiedene Länder erstellen würde, würden die interfaces immer den port 51820 allerdings mit unterschiedlichen Tunnel Adressen verwenden.

d.h. verschiedene Interfaces mit unterschiedlichen peers und unterschiedlichen zielen aber immer 51820
GEHT das eigentlich ?

( hoffe meine Frage ist verständlich )

hallo micneu

Habs gelöst , Fehler war
Bei mir haben alle VPN Verbindungen Site to Site Aufbau.

Vom local Lan stelle ich in den LAN Regeln für bestimmte Ips einfach einen anderen Gateway zur Verfügung- was auch klappt. ( Interfaces wg0 usw. gibts nur eine Regel - alles durch )
Bei Anbindung mit Roadwarrior hats so nicht funktioniert - wobei meine Logik sage mir Tunnel IP gehört einfach zum local Lan usw. - das geht nicht. Lanzugriff geht aber auf einen ander Gateway routen nicht.
Allerdings die selbe Regel in den WgXX Interface und Gateway setzen - dann klappts. ( nur durch Zufall draufgekommen )

Nur zur Info , sollte jemand mal das selbe Problem haben.

hallo

was meinst du mit entsprechenden IN Regeln Interface ?

* WAN , LAN ?

kann ich natürlich machen , bin mir nur nicht sicher was du jetzt meinst ?

Hallo micneu

Ich mach das im local lan 192.168.0.0/24 einfach ( 12 pcs ) - Gateway ist natürlich die Opnsene wo verschiedene site to site Verbindungen ( 2 VPN Anbieter ) + ( 3 VPS gemietete auch mit Opnsene wo ich die Vlans weiterleite ) verbunden. In den Lan Rules werden die localen Ips zb. 192.168.0.12 einfach an das entfernte Vlan weitergeleitet  oder wenn ich die VPN Anbieter verwenden will einfach in den Lan rules für die bestimmten localen Ip die definierten Gateways VPN verwendet. Bissi kompliziert aber funkt perfekt.

VPN road warrior hat den Tunnel 10.77.77.0 , Clients 10.77.77.1 etc ( wobei keine Ahnung ob es eine Rolle spielt der verbundene PC(Notebook ) hat eigentlich die IP 192.168.7.83 )

Wireguard Tunnel passt ( handshake etc ) damit muss auch die Wan Regel usw. passen.
und ich kann auch die entfernten VLANs meiner VPS bzw. meiner Home Lans pingen.

Rule in den LAN Regeln 10.77.77.0 bzw. auch 10.77.77.1 und auch 192.168.7.83 - ->Gateway VPN definiert. wird nicht weitergeleitet , ich hab keine Ahnung warum es nicht klappt.

Live View vom traffic in der firewall hilft mir auch nicht weiter.

??? Danke für die Antwort

Das ist eh klar , es geht ja alles beim Verbinden zur Opnsense , aber ich würde gerne den Client der über den WAN  via Wireguard verbindent direkt in ein anderes VPN ( Site bei Site Verbindung ) auf der Opnsense weiterleiten.
Leider reichen meine Fähigkeiten dafür nicht aus - egal was ich versuche der Client verlässt die Opnsene nur über den Standart Gateway ohne VPN. Die Live View Ansicht in der Firewall hilft mir leider auch nichts. Weil der Client nicht als IP auftaucht.
Arbeitete bis jetzt mit kerio FW - da gings sowas total problemlos

Mal ne Frage

Mein Versuch per Notebook und wireguard from outside eine Verbindung aufzubauen und in mein Homenetzwerk zu kommen - klappt perfekt. Kompletter trafic wird über die VPN Verbindung geschickt.
Auf der Opnsense sind 2 verschiedene VPNs ( Mull** , Zaw** ) in ständiger Verbindung eingerichtet somit kann ich im Homelan die verschiednen PCs über verschieden VPN Gateways routen. ( soweit so gut )

Aber ich schaffe es nicht den Road W vom Notebook so weiterzuleiten damit der gesamte rausgehende Traffic über eins der konfigurierten VPNs weitergerouted wird. ( Mir ist schon klar das ich auch die Clients der verschiedenen VPN Anbieter montieren möchte - was ich aber nicht möchte - da ich der Meinung bin das ich einfach nur zu doof bin für die richtigen Einstellung in der Opnsense zum routen.

Wäre super wenn jemand de sich auskennt mir einen Tip geben könnte - Danke

Schaffe es leider nicht oder Denkfehler

Verwende W10 ( lokales Lan 192.168.0.1 ) mit der Opnsense

VLAN auf der Opnsense ( 172.15.0.1. ) , am Squid VLAN markiert - Im Browser verwende ich Proxy manager
mit der config 172.15.0.1 Port 3888 http und schon läuft alles über den Proxy. ( Eh klar )

Aber da ich mehrere Wireguard VPN habe zu verschiedene VPS würde ich gerne die verschiednen VLAN unterschiedlich weiterleiten , d.h. z.B. 172.15.0.1 > VPN Wg2 ( Schweiz )

Egal was ich einstelle als Gateway bei den Lan Rules - das VLAN geht immer den Standart Gateway .

Jemand einen Tipp - wäre nähmlich super via verschiedener VLANs verschiedene VPNS raus zu verwenden.

Tja , selbe Idee hatte ich auch , in Rules - Wg1 ( incomming Interface ) -- any Gateway ( Wg3 ) - wäre eigntlich eine logische Grundfolgerung - geht aber nicht - wird nicht weitergeleitet.

Trotzdem Danke