Messages

Was mir direkt bei dem Firewall-Log auffällt ist, dass dort nicht einmal die IP meines Laptops (192.168.1.106) auftaucht sondern nur die 192.168.1.1

FirewallOutput

Hallo superwinni2,

das Netzwerk hier besteht aus einem VDSL2modem am Telekom-Anschluss, dass an die OPNsense geht (dort direkte Einwahl mit vlan7). Danach gehts mit einer 10gbit Karte mit zwei Ports im LAGG zu einem 10gbit Switch von Mikrotik, der dann vom Keller aus auf die Etagen (Ergeschoss+Spitzboden) verteilt.
In den jeweiligen Etagen sind unmanaged Switches installiert und ein TP-Link Eap660HD WLAN AccessPoint.
Im Anhang habe ich versucht den Netzwerkplan abzubilden, ohne groß auf die Etagen Rücksicht zu nehmen.

Ein Auszug der Firewall ist auch dabei, der den Versuch wiedergibt die Synology eines Freunds aufzurufen, welche den identischen WebIf port der meinigen NAS her im Haus hat.
Das Problem entsteht scheinbar nur dann, wenn ich hier bei mir identische Ports bei Endgeräten verwende, so dass ich anstatt nach Außen geleitet zu werden im eigenen LAN lande.

Der besagte Freund hat auch eine OPNsense als Router und bei ihm tritt das Problem ebenfalls auf, wenn er versucht über meine DynDNS auf meine NAS zuzugreifen.

Wenn etwas fehlt, bzw. die Auszüge nicht langen, bitte Bescheid geben und am Besten noch wie ich die gescheit rausbekomme aus dem System. Danke schon mal vorneweg.

Gruß Stephan

UPDATE:

Das Ganze ist tritt auch nur bei identischen Ports (also intern wie extern) auf.
Bei anderen externen Ports klappt es einwandfrei.

Okay, das Problem besteht auch, wenn ich die direkte externe IP+Port aufrufe.
Da stimmt doch etwas im DNS nicht oder?

Hallo zusammen,

stehe grad etwas auf dem Schlauch, bei folgender Konstellation:

Hier im eigenen Netzwerk gibt es eine Synology NAS mit Port 5000
Sofern ich nun aus meinem eigenen Netz einen externen Link zu einer anderen Synology aufrufe,
leitet er mich auf meine NAS um.

Obwohl ein eine DynDNS aufgerufen wird, welche eine andere öffentliche IP hat, lande ich wieder auf
meiner Eigenen hier im internen Netz.
Die NAS gilt hier nur als Beispiel, da mir nach und nach auch andere Ports auffallen, z.B. identische RasPis bei mir
und meinen Eltern.

Über einen Tipp wo ich mal nachsehen könnte, wäre ich dankbar.

Gruß Stephan

Guten Abend,

das Tutorial von Thomas hatte ich auch schon gelesen und bin es erneut durchgegangen.
Jetzt kommt mir eine vielleicht doofe Frage auf, aber...

muss ich den WireGuard-Port im WAN auch freigeben, bzw. den Port forwarden für ausgehende Verbindungen über den Tunnel, wenn ich mich eigentlich nur als Client an meinen VPN-Anbieter dranhänge?

Das hab ich derweil auch mal probiert, komme aber nicht über die VPN-Verbindung auf meinen WebServer auf dem Pi, trotz funktionierender Portfreigabe (getestet als StandaloneVariante auf dem Pi selbst) drauf.

Guten Abend,

ein Handshake findet statt und unter Local ist das Routen abgewählt.
Die Adresse wurde unter erweitert auf die 10.0.1.1 gelegt, mit dieser dann (natürlich erst ein Interface und dann) ein Gateway angelegt.
Es ist eigentlich alles (bis auf die Routenadresse von 10.0.1.1) alles wie in dem verlinkten Tutorial aus meinem ersten Post aufgebaut.
Mit dieser Anleitung funktioniert auch die Selektion des RasPi in den Tunnel, währendessen die restlichen Clienten im Netzwerk über meine öffentliche IP ins Inet gehen.
Gibt es eine andere Alternative zu der oben benannten Anleitung?

Link  https://forum.opnsense.org/index.php?topic=21205.0

Nicht das da schon der Wurm drinne ist... obwohl es sinnig nachvollziehbar ist mit dem RFC1918 für Privatnetze.

TESTUPLOAD

@Tigerl:

bei der 7590 kann man den WAN-Eingang benutzen und hat somit im IP-Client Modus alle normalen LAN-Anschlüsse zur Verfügung.
Bin gerade selbst noch über LAN an der FritzBox dran, währendessen mein Handy über deren WLAN ins Internet geht.

Hallo chemlud,

habe nun zusammen mit einem Kollegen die Regeln definiert und sie werden auch nicht mehr von der Firewall blockiert. Leider geht es ( auch nach einem Neustart der OPNsense) nicht, dass ich den Server auf dem Pi erreiche.

Zusätzlich wurde Wireshark angeschmissen, ergab aber leider kein Ergebnis, da er weder über WLAN, noch direkt über LAN (an der FritzBox angeschlossen) überhaupt den Traffic vom RasPi anzeigt. Lediglich die Kommunikation zum Laptop wurde ersichtlich.

Wie müsste denn, bzw. wo müsste denn eine Firewall-Regel eingesetzt werden, um von Lokal (dem RasPi) über den VPN-Tunnel nach Außen kommunizieren zu dürfen?

Hallo Tigerl,

das hatte ich auch schon probiert und den Raspi direkt unten an den unmanaged Switch vor der OPNsense gehängt. Das Ergebnis bleibt das Gleiche.
Die FritzBox macht halt das WLAN im Wohnzimmer und ich hab u.a. den Raspi an einem der LANports angeschlossen.

OPNsense->unmanaged Switch->Fritzbox->Raspi (alles über Kabel verbunden)

PS: Wo finde ich denn im OPNsense die Default Deny Rule?

Die detaillierte Regelinformation betitelt die Standard Deny Regel

Hier eine Aufnahme der Liveansicht der Protokolldateien.

Es handelt sich beim Raspi tatsächlich um den Port 35953
und die IPs die zugreifen wollen sind externe Clients.
Die 10.13.128.89 ist die TorGuardInterfaceAdresse

Das ging fix mit dem Feedback, hätte ich nicht gedacht.  :)

Jetzt bin ich wieder vor Ort und kann mich voll drauf konzentrieren.
Hier nun auch ein "Netzwerkplan" (nicht schön, aber selten).

Der Raspi bekommt den VPN-Tunnel von der OPNsense zugewiesen und erzeugt ihn nicht selbst.

PS:

Zum Testen habe ich meinen Laptop auch in der Alias unter Firewall eingetragen, wodurch der natürlich auch mit im Tunnel nach Außen kommuniziert.
Das musste ich nun umstellen, da ich gemerkt habe, dass ich das Bild des "Netzwerkplans" nicht hochladen konnte...