Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - csaeum

#1
Ja so sagte es mir der Dienstleister.

wir haben eine gleiche Verschlüsselung aber 2 Gateways die vom Büro ins Internet und somit zur OpnSense gehen.

Oder reden wir gerade aneinander vorbei, das ich deine Frage nicht richtig verstehe.
#2
Hallo zusammen,

ich versuche aktuell eine Site-to-Site VPN-Verbindung per IPSec mit IKEv2 zwischen einer OPNsense-Firewall (bei Hetzner) und einer Sophos-Firewall (bei uns im Büro) herzustellen. Ich arbeite mit der neuesten OPNsense-Version und möchte ausschließlich die neue Oberfläche verwenden – also keine Legacy-Konfiguration, da diese bald entfällt.
Ausgangslage:

    Büro:

        Zwei Internetanschlüsse (DSL)

            Anschluss A

            Anschluss B

        Internes Netzwerk: 192.168.239.0/24

        Sophos-Firewall mit 2 IPSec-Verbindungen (für Redundanz)

    Hetzner (VServer):

        OPNsense-Firewall mit 2 nachgelagerten Servern:

            TA-Proxy

            TA-Master

        LAN-Netz: 10.0.0.0/32

    Geplante Tunnel-Interfaces:

Verbindung   Hetzner IP   Büro IP
PBX Default Tunnel   10.100.1.2/30   10.100.1.1/30
PBX Backup Tunnel   10.100.2.2/30   10.100.2.1/30
Ziel:

Die OPNsense bei Hetzner soll zwei Site-2-Site-Verbindungen zum Büro aufbauen – je eine pro Internetleitung (A und B). Damit soll im Fehlerfall automatisch umgeschaltet werden können.
ASCII-Netzwerkdiagramm:

                     +--------------------+
                     |     Büro           |
                     +---------+----------+
                               |
         +---------------------+---------------------+
         |                                           |
  [DSL Leitung A]                              [DSL Leitung B]
         |                                           |
+--------+--------+                        +--------+--------+
|     Sophos FW   |                        |     Sophos FW   |
|   (Büroseite)    |                        |   (Büroseite)    |
|  192.168.239.x   |                        |  192.168.239.x   |
+--------+--------+                        +--------+--------+
         |                                           |
         |            Site-to-Site VPN               |
         |       (IKEv2 / IPSec jeweils 1 Tunnel)    |
         |                                           |
+--------v--------+                        +--------v--------+
| PBX Default     |                        | PBX Backup      |
| 10.100.1.1/30   |                        | 10.100.2.1/30    |
+-----------------+                        +-----------------+

        <================ Internet (Failover) ================>

+-----------------+                        +-----------------+
| PBX Default     |                        | PBX Backup      |
| 10.100.1.2/30   |                        | 10.100.2.2/30    |
|     OPNsense    | <---- Hetzner VServer ----> OPNsense     |
|     Firewall    |                        |   (gleiche FW)   |
+--------+--------+                        +--------+--------+
         |               

                       Hetzner Internes LAN
    +----v----+                                 +----v----+
    | TA Proxy|---------------------------------| TA Master|
    +---------+                                 +----------+
       LAN: 10.0.0.0/32 (Hinter OPNsense)

Problemstellung:

Unser Dienstleister ist mit OPNsense (v.a. der neuen GUI) nicht vertraut.
Daher suchen wir jemanden, der uns beim korrekten Aufbau der Tunnel-Konfiguration auf OPNsense-Seite unterstützen kann – speziell:

    IPSec mit IKEv2 – modern und GUI-basiert

    Zwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

    Korrekte Einrichtung der Phase 2 (für z.B. 192.168.239.0/24 <=> 10.0.0.0/32)

    Optional: Hinweise zur Failover-Steuerung auf OPNsense-Seite (z. B. Routing-Prio oder Monitoring via Gateway-Group)

Frage:

Wer kann mir helfen, die OPNsense-seitigen Einstellungen korrekt aufzusetzen?
Sobald die Tunnel stehen, bekomme ich gemeinsam mit dem Dienstleister das Routing geregelt.

Vielen Dank vorab für eure Unterstützung! 🙏
#3
Ich habe mir eine Aufgabe gestellt über Weihnachten :)

Ich habe folgende Konstellation:

Router von Vodafone im Bridge Mode
OPNSense mit WAN auf DHCP und DHCPV6
ein LAN mit 192.168.1.0/24
eine DMZ mit 192.168.10.0/24

TrueNAS die mit einem Port im LAN steckt (192.168.1.10)
und mit den 2ten Port steckt sie in der DMZ mit (192.168.10.10)

Ich habe heute mehrere Youtube Videos mir angeschaut die aber erstens immer von einem VLAN ausgehen und oder aber mit komplexen Virtuellen Umgebungen.

Ich habe es eigentlich sehr einfach aufgebaut aber an der Konfig das man über das WAN an die DMZ kommt und dann an den als Beispiel auf der TrueNAS installierten Uptime Container auf Port 31050 zu kommen scheitere ich.

Vor 2-3 Jahren hatte ich es mal einige Zeit aufgebaut da fand ich das wesentlich einfacher.


Was habe ich bisher konfiguriert:

3x Schnittstellen:

1. DMZ: Statische IP mit 192.168.10.1/24
2. LAN: Statische IP mit 192.168.1.1/24 mit Übergeordnete Schnittstelle WAN
3. WAN: mit DHCP und DHCPV6

Ich brauch doch eine 1zu1 NAT von WAN auf die DMZ!

Diese habe ich wie folgt probiert:

Schnittstelle: WAN
TYP: BINAT
External network (Target): Hier muss doch das Netzwerk vom Provider rein oder?
Source / Internal: DMZ Netzwerk
ZIEL: DMZ Adresse
NAT reflection: Standard

Derzeit bringt er mir diese Meldungen:

External network (Target): A value is required
Source / Internal: For BINAT rules only addresses or subnets are allowed. - Obwohl ich hier DMZ Netzwerk genommen habe!

Hoffe ihr könnt mich hier ein paar Tipps geben ich werde es mal weiterversuchen.
#4
German - Deutsch / Einrichtung mit 2 Gateways und WLAN
December 18, 2021, 01:59:15 PM
Hallo Leute

ich hatte schon einige Berührungen mit Firewalls (Endian, Astaro (Sophos)) aber gerade stehe ich bei OpnSense auf dem Schlauch und hoffe das ihr mir sagen könnt wie ich da runterkomme  ;D

Ich habe eine alte Astaro und darauf läuft die Opensense.

Der erste Provider ist auch schon "Online Kabeldeutschland 192.168.0.x" über die DNS Diagnose bekomme ich auch die IP von web.de

Aber der PC kommt da nicht durch. Ich brauche das Masquerade aber mir ist gerade nicht klar wie ich das einstelle?

Später soll dann noch Telekom mit ran und auch meine TP-Link Accesspoints. Aber derzeit wäre ich zufrieden wenn mein Test PC erstmal internet bekommt.

Wer kann mir da gerade helfen?
#5
German - Deutsch / WLAN-AP unterstützen
May 01, 2021, 06:34:45 AM
Hey Leute

zuletzt hatte ich ein UBNT (Ubiquiti Networks) System aber nachdem diese Probleme haben mit den Batterien habe ich das System abgeschafft.

Derzeit habe ich einen Synology Router dieser soll nun durch OpenSense ersetzt werden. Habe eine Desktop Sophos UTM hier noch rumliegen auf dieser will ich OpenSense installieren.

Nun meine Frage:
Ich würde gerne bei mir im Haus wieder 2 WLAN AP's aufhängen, da wo damals die UBNT's (ubnt ap ac pro) waren. Aber gibt es AP's die ich direkt per OpenSense konfiguriert bzw gesteuert werden.

Oder muss ich 2 alte Router nehmen. Die UBNT's waren halt super POE usw!

Danke für eure Hilfe bzw Antworten.