"
Noch eine blöde Frage. Wenn bei IKE1 das Textfeld für "local Addresses" leer bleibt, setzt OPNsense %all ein. Da meine OPNsensen immer hinter einem DSL Router sitzen, wäre es für mich vorteilhafter das WAN Interface zu verwenden. Das blöde hierbei ist, jeder DSL-Router hat einen anderen IP Adressbereich. Gibt es anstatt %all auch eine Variable für WAN?
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / Re: IPSec legacy zu new
July 15, 2025, 07:11:57 PM
@Patrick M. Hausen,
bin voll bei dir. Allerdings wird bei mir eine ESP Regel für Port 4500 automatisch angelegt und die für ISAKMP ist manuell anzulegen. Dieser Mix ist Mist und mMn. sollte das System entweder beides oder keines anlegen.
bin voll bei dir. Allerdings wird bei mir eine ESP Regel für Port 4500 automatisch angelegt und die für ISAKMP ist manuell anzulegen. Dieser Mix ist Mist und mMn. sollte das System entweder beides oder keines anlegen.
#3
German - Deutsch / Re: IPSec legacy zu new
July 15, 2025, 05:03:55 PM
Hallo zusammen,
habs inzwischen ebenfalls geschnallt und erfolgreich umgesetzt. Die Menüstrukturierung ist etwas gewühnungsbedürftig... aber so häufig sind Änderungen am VPN Tunnel nicht.
Vermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut. Die OPNsense ist bei mir der Initiator.
Zweiter negativer Punkt, beim aktivieren des IPSec Option wird keine default FW-Regel für ISAKMP angelegt. Dadurch scheitert logischerweise IKE Phase-1. Kann das jemand bestätigen oder war es nur bei meiner Installation so?
habs inzwischen ebenfalls geschnallt und erfolgreich umgesetzt. Die Menüstrukturierung ist etwas gewühnungsbedürftig... aber so häufig sind Änderungen am VPN Tunnel nicht.
Vermisse allerdings Optionen wie "Dead peer detection"... bei einem Verbindungsabbruch wird der Tunnel nicht wieder aufgebaut. Die OPNsense ist bei mir der Initiator.
Zweiter negativer Punkt, beim aktivieren des IPSec Option wird keine default FW-Regel für ISAKMP angelegt. Dadurch scheitert logischerweise IKE Phase-1. Kann das jemand bestätigen oder war es nur bei meiner Installation so?
#4
German - Deutsch / IPSec legacy zu new
July 12, 2025, 09:52:43 AM
Hallo zusammen,
nutze mehrere OPNsense FW mit IPSec site-2-site Tunnel im Legacy modus. Mit der anstehenden OPNsense Version 26.x soll der Legacy Mode endgültig Geschichte sein. Sah mir gestern den neuen Modus an und muss gestehen, ich kapiere es nicht wie es in der OPNsense Doku beschrieben ist.
Kennt jemand eine Seite die die Konfiguration ausführlichst beschreibt/erklärt?
nutze mehrere OPNsense FW mit IPSec site-2-site Tunnel im Legacy modus. Mit der anstehenden OPNsense Version 26.x soll der Legacy Mode endgültig Geschichte sein. Sah mir gestern den neuen Modus an und muss gestehen, ich kapiere es nicht wie es in der OPNsense Doku beschrieben ist.
Kennt jemand eine Seite die die Konfiguration ausführlichst beschreibt/erklärt?
#5
German - Deutsch / Ganzer Datenverkehr an VPN Partner senden
January 06, 2025, 05:31:43 PM
Hallo und guten Abend,
habe ein Verständnisproblem bzw. fehlt mir aktuell der richtige ansatz.
Folgendes, verwende 3 IPSec VPN Tunnels für die Außendienststellen (A, B, C) die zu unser Zentrale (Z) sternformig verlaufen. Zukünftig soll der ganze Datentransfer der Außenstellen (A, B, C) über die Zentrale laufen auch was beispielsweise das Internet betrifft. Genügt es an den Außenstellen eine default Route 0.0.0.0 an das VPN GW übergeben?
habe ein Verständnisproblem bzw. fehlt mir aktuell der richtige ansatz.
Folgendes, verwende 3 IPSec VPN Tunnels für die Außendienststellen (A, B, C) die zu unser Zentrale (Z) sternformig verlaufen. Zukünftig soll der ganze Datentransfer der Außenstellen (A, B, C) über die Zentrale laufen auch was beispielsweise das Internet betrifft. Genügt es an den Außenstellen eine default Route 0.0.0.0 an das VPN GW übergeben?
#6
German - Deutsch / Re: Fragen zum Routen von ip4
February 05, 2022, 06:38:15 PM
Wieso:
Die Route ist mit 192.168.1.1/24 und Gateway mit 192.168.178.30 eingerichtet.
Entweder:
192.168.178.0/24 über 192.168.178.1
oder
0.0.0.0/0.0.0.0 über 192.168.178.1
Die FW Regeln müssen natürlich auch passen.
Wenn die Fritzbox als Upstream GW eingetragen sollte das schon passen. Änderungen am GW bedarfen aber einen Neustart oder beim Neustart des Interface.
- Prüfen ob ping von der opnsense zur Fritzbox möglich ist
- Clients haben den GW eingetragen
Die Route ist mit 192.168.1.1/24 und Gateway mit 192.168.178.30 eingerichtet.
Entweder:
192.168.178.0/24 über 192.168.178.1
oder
0.0.0.0/0.0.0.0 über 192.168.178.1
Die FW Regeln müssen natürlich auch passen.
Wenn die Fritzbox als Upstream GW eingetragen sollte das schon passen. Änderungen am GW bedarfen aber einen Neustart oder beim Neustart des Interface.
- Prüfen ob ping von der opnsense zur Fritzbox möglich ist
- Clients haben den GW eingetragen
#7
German - Deutsch / Re: Windows Update Server im Internet
December 19, 2021, 06:39:15 PMQuote from: micneu on December 19, 2021, 06:34:22 PM
wir nutzen macOS mit M$ Office 365, das geht gut hauptsache kein Windoof
Naja, macOS ist auch nicht gerade der Burner. Zudem die überteuerte Standardhardware zu Applepreise kaufen... nein Danke.
Pest oder Cholera, dann lieber Windows.
#8
German - Deutsch / Re: Windows Update Server im Internet
December 19, 2021, 06:37:46 PM
Also wir verwenden in einem anderen Bereich auch WSUS Server. Das funktioniert seit jahren tadellos und sehr stabil. Daher ist Linux keine alternative zu einem gut funktionierendem WSUS System.
Meine Idee war eine Whitelist im Proxy Modul zu nutzen. Allerdings verwende ich den Webproxy bereits für eine andere Schnittstelle. In der grafischen Oberfläche konnte ich keine Möglichkeit entdecken mehrere Konfigurationen für den Webproxy zu hinterlegen.
Hat jemand vielleicht noch eine Idee wie die Windows Update Server, die dummerweise Wildcard URIs verwenden, in OPNsense eintragen kann?
Meine Idee war eine Whitelist im Proxy Modul zu nutzen. Allerdings verwende ich den Webproxy bereits für eine andere Schnittstelle. In der grafischen Oberfläche konnte ich keine Möglichkeit entdecken mehrere Konfigurationen für den Webproxy zu hinterlegen.
Hat jemand vielleicht noch eine Idee wie die Windows Update Server, die dummerweise Wildcard URIs verwenden, in OPNsense eintragen kann?
#9
German - Deutsch / Re: OPNsense Updateserver
December 19, 2021, 05:34:45 PM
Github -> Sourcecode -> Perfekt!
Vielen Dank... darauf wäre ich nicht gekommen :)
Vielen Dank... darauf wäre ich nicht gekommen :)
#10
German - Deutsch / Re: Windows Update Server im Internet
December 19, 2021, 05:30:39 PM
Bei den Admins mache ich mir keine Sorgen. Allerdings möchte ich der Gefahr durch Schadsoftware vorbeugen. Wenn seitens der Firewall nur Zugriff auf "vertrauenswürdige" Microsoft Seiten durchgewunken wird, wäre seitens der Sicherheit vieles gewonnen.
#11
German - Deutsch / Re: Windows Update Server im Internet
December 19, 2021, 05:21:55 PM
Hallo zusammen,
der WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.
Warte mal noch ab ob jemand eine Idee hat wie das mit Bordmitteln zu lösen ist. Denke ich werde nicht der einzige sein der vor dem Problem steht/stand.
der WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.
Warte mal noch ab ob jemand eine Idee hat wie das mit Bordmitteln zu lösen ist. Denke ich werde nicht der einzige sein der vor dem Problem steht/stand.
#12
German - Deutsch / Windows Update Server im Internet
December 19, 2021, 05:11:31 PM
Hallo zusammen,
nach viel testen komme ich ziemlich gut mit der OPNsense zurecht.
Was mir aber bisher nicht gelungen ist, ist für die Windows 10 Clients das Update über das Internet einzustellen.
Gelungen eigentlich schon, aber es ist nicht richtig gut da das Loch doch etwas groß ist.
Die Vorgabe ist, ein Windows 10 Client darf sich nur zu den Microsoft Update Servern im Internet verbinden. Ansonsten ist jegliche Kommunikation ins Internet verboten.
Der erste Aufbau meiner Regel sieht so auf:
Source: Alias/Hostname -> Destination: ANY -> Port: 80, 443
Das funktioniert zwar, aber der Rechner kommt auf jede Internetseite. Idee war nur die Destination mit den Zielservern einzugrenzen.
Bei Microsoft existiert eine Liste mit entsprechenden Server URLs. Allerdings verwenden diese Wildcards. Die OPNsense kann aber mit Wildcards nicht umgehen.
Hat mir jemand einen Tipp wie ich das sinnvoll eingrenzen kann?
nach viel testen komme ich ziemlich gut mit der OPNsense zurecht.
Was mir aber bisher nicht gelungen ist, ist für die Windows 10 Clients das Update über das Internet einzustellen.
Gelungen eigentlich schon, aber es ist nicht richtig gut da das Loch doch etwas groß ist.
Die Vorgabe ist, ein Windows 10 Client darf sich nur zu den Microsoft Update Servern im Internet verbinden. Ansonsten ist jegliche Kommunikation ins Internet verboten.
Der erste Aufbau meiner Regel sieht so auf:
Source: Alias/Hostname -> Destination: ANY -> Port: 80, 443
Das funktioniert zwar, aber der Rechner kommt auf jede Internetseite. Idee war nur die Destination mit den Zielservern einzugrenzen.
Bei Microsoft existiert eine Liste mit entsprechenden Server URLs. Allerdings verwenden diese Wildcards. Die OPNsense kann aber mit Wildcards nicht umgehen.
Hat mir jemand einen Tipp wie ich das sinnvoll eingrenzen kann?
#13
German - Deutsch / OPNsense Updateserver
December 08, 2021, 08:12:12 PM
Hallo zusammen,
die OPNsense ermöglicht Updates über das Internet zu beziehen. Gibt es eine Serverliste die das Update im Internet abfragt? Aufgrund von Vorgaben muss ich die Firewallregel so präzise wie möglich gestalten. Mit Destination WAN und Port HTTPS reicht leider nicht aus.
die OPNsense ermöglicht Updates über das Internet zu beziehen. Gibt es eine Serverliste die das Update im Internet abfragt? Aufgrund von Vorgaben muss ich die Firewallregel so präzise wie möglich gestalten. Mit Destination WAN und Port HTTPS reicht leider nicht aus.
#14
German - Deutsch / Re: Dumme Idee? Internet via VLAN?
July 25, 2021, 04:44:57 PM
Wenn ein Failover oder Load Balancing konfiguriert ist die "doppelte IP" mit hoher Wahrscheinlichkeit eine Virtuelle IP. Schau mal in der Konfiguration nach ob es dort einen Punkt dafür gibt.
Ein Switchport kann genau einen Access/untagged und endlich viele Trunk/Tagged Ports besitzen. Der Switch würde meckern oder das Speichern der Konfiguration verbieten wenn bei einem Port mehrere VLANs als untagged definiert wären.
Ein Switchport kann genau einen Access/untagged und endlich viele Trunk/Tagged Ports besitzen. Der Switch würde meckern oder das Speichern der Konfiguration verbieten wenn bei einem Port mehrere VLANs als untagged definiert wären.
#15
German - Deutsch / Re: Probleme mit dem VPN-Router
July 25, 2021, 04:22:14 PM
Warum ein zweites WAN? Steht nirgends und macht doch gar keinen Sinn. Der LAN Port des VPN Routers gehört an ein Interface der OPNSense Firewall.
Ganz ehrlich, was Eure Firma macht oder nicht ist mir ziemlich wurscht. Wenn einer in Eurem RZ Ahnung vom Netzwerkdesign hätte, dann hättet ihr schon längst ein Gespräch gehabt.
Ihr scheint sehr viele Netzwerkbaustellen in der Firma zu haben aber nicht die richtigen Leute die das notwendige Wissen haben um die Anforderungen Professionell umzusetzen.
Wenn alle Stricke reißen holt Euch Rat von einem Systemhaus oder noch besser, lasst es aus einer Hand umsetzen.
Sorry, das klinkt sauhart aber manchmal ist es besser sich Hilfe zu holen als sich komplett zu verzetteln.
Ganz ehrlich, was Eure Firma macht oder nicht ist mir ziemlich wurscht. Wenn einer in Eurem RZ Ahnung vom Netzwerkdesign hätte, dann hättet ihr schon längst ein Gespräch gehabt.
Ihr scheint sehr viele Netzwerkbaustellen in der Firma zu haben aber nicht die richtigen Leute die das notwendige Wissen haben um die Anforderungen Professionell umzusetzen.
Wenn alle Stricke reißen holt Euch Rat von einem Systemhaus oder noch besser, lasst es aus einer Hand umsetzen.
Sorry, das klinkt sauhart aber manchmal ist es besser sich Hilfe zu holen als sich komplett zu verzetteln.
