Messages

Hi,

danke für eure Rückmeldungen - da ich der einzige "echte" user bin, und einen useraccount pro gerät verwende, habe ich mich für ein Zertifikat für alle entschieden.

LG

Hi, zwei kurze Fragen:

ich habe einen VPN server eingerichtet um mit meinem Arbeitsrechner, laptop, und telefon auf mein Heimnetzwerk zugreifen zu können.

Frage 1: Brauche ich für jedes Endgerät einen eigenen User account, wenn die gleichzeitig eingewählt sein sollen?
Frage 2: Braucht jeder user ein eigenes Zertifikat? (Das macht IMHO ja nur sinn wenn verschiedene reale nutzer den Server nutzen, um ggf certificates zu revoken)

Danke
LG

> Warum nicht statisch einbinden. also immer die selben IP's?
klingt gut - wie mach ich das?
> Oder du hast in der Windows Firewall Ping überall erlaubt.
das sollte gehen
> das RDP Gemüse muss man erst einmal scharf machen.
hab ich!
> VPN rules die kommunikation untereinander freigeben
hab ich jetzt auch gemacht, aber weder ping noch RD

zu den IPs: werden eigentlich die virtuellen IPs in lokale uebersetzt? also, bekommt 10.0.8.6 eine IP im 192.168.99.XXX range wenn ich den DHCP dafuer konfiguriert hab?

ganz konkret moechte ich auf meinen arbeits PC zugreifen koennen, per ssh oder eben Remote desktop. laeuft das dann alles ueber die virtuelle IP?   

Hi,

hab einen openvpn split tunnel zum zugriff auf lokale resourcen. Läuft super, auch mit zwei clients (zwei verschiedene user, beide windows). Ich möchte nun versuchen aus dem LAN eine remote-desktop verbindung mit einem verbundenen client aufzubauen, aber wenn ich den computer-namen eingebe wird nichts gefunden, obwohl der entsprechende client frei mit anderen netzwerkteilnehmern (e.g. NAS) kommunizieren kann. Ich kann den client auch nicht an-pingen, weil ich einerseits die lokale ip adresse nicht kenne (nur die virtuelle: 10.0.8.14), und andererseits - wenn ich alle im DHCP range möglichen IPs durchgehe - nichts zurueck kommt.
Darueber hinaus wuerde ich auch gerne die beiden clients miteinander uber das heimnetz kommunizieren lassen wenn beide von remote ueber den tunnel eingewaehlt sind, aber auch da weis ich nicht wie ich das anstelle (ping funktioniert dort ebenfalls nicht, auch wenn ich nur die virtuellen IPs anpinge).

Hier also meine konkreten fragen:

1. Wo sehe ich die lokale IP die der client vom opnsense DHCP erhält (192.168.99.xxx)?
2. Ist ping per default von der firewall blockiert, so dass ich da was bei den rules bei OpenVPN eintragen muss?
3. Muss fuer den Windows remote service noch etwas speziell eingerichtet werden?
4. Wie kann ich zwei clients aus der ferne miteinander komm lassen (haken bei Inter-client communication ist gesetzt)?

Code Select Expand

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (isp coax router)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   
      |  OPNsense  | (TLSense 5200U 4x NIC)
      '-----+------'   
            |
        LAN | 192.168.99.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (wifi AP, TV box, laptop [per kabel], NAS, ...)

Hi,

(sorry to revive this old thread, but it fits well with my issue)

I am using push "route 192.168.99.0/24" to allow remote access through an OpenVPN tunnel to my resources in LAN (NAS, firewall, etc.), but leave all remaining traffic on the client side and not go through the tunnel. It appears to work, but when I dial in this error pops up in the log:

Options error: route parameter network/IP '192.168.99.0/24' must be a valid address

What am I missing?

ah verstehe. also, in anderen worten: es wird erlaubt das die firewall WAN-IP Vergaben seitig des ISP mittels DHCP akzeptiert?

ok

bezüglich IPv6, was ist denn eigentlich mit den regeln hier:

top - bedankt!

> Wenn man kein IPV6 hat sollte mann noch unter ip/system_advanced_firewall.php
also wenn ich vom isp nur IPv4 bekomme? wo genau stell ich das aus?

ja es soll ein opnvpn dienst angeboten werden, damit ich von meinem arbeitsrechner auf das NAS zugreifen kann.

ok danke, macht sinn.

was "von aussen rein" kommt würde ich dann bei den regeln im WAN interface festlegen, oder?

[TL;DR: Bei ersteinreichtung, ab welchem punkt ist es safe den ISP router in bridge mode zu schalten und opnsense dem internet zu exponieren?]

TL;DR: Bei ersteinreichtung, ab welchem punkt ist es safe den ISP router in bridge mode zu schalten und opnsense dem internet zu exponieren?

Hi,

bin seid ein paar Tagen dabei mein Heimnetz um einzurichten und opnsense zu konfigurieren. Dies ist mein erster kontakt mit open source firewalls, entsprechend steil ist die Lernkurve. Hänge mit opnsense im Moment noch hinter dem ISP router (ist noch nicht im bridge mode), weil ich erst noch die firewall regeln verstehen und konfigurieren will, aber ich bin mir nicht sicher wann es safe ist die kiste dem internet zu exponieren und den ISP router in den modem/bridge betrieb zu schalten. Gibts da eine checkliste an konfiguration die man vorher getätigt haben sollte?

Meine kurzfristigen ziele sind i) eben das heimnetzwerk zu sichern und dann so bald wie möglich ii) per vpn auf das heimnetz zugreifen zu können.

Hier is das setup:

Code Select Expand


      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (isp coax router)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   
      |  OPNsense  | (TLSense 5200U 4x NIC)
      '-----+------'   
            |
        LAN | 192.168.99.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (wifi AP, TV box, laptop [per kabel], NAS, ...)