Messages

Hallo Freunde der OPNsense,

wie vermutlich einige von euch habe ich vor V23.1 mit den jetzt als legacy eingestuften Verbindungen gearbeitet welche für mich als früheren Bintec User verständlich waren, auch wenn natürlich die Menge an Optionen ein ganz anderes Kaliber ist.

Um aber endlich mit der aktuellen Technik vertraut zu werden habe ich mir auf meinem Laptop einfach zwei OPNsense als VirtualBox VMs eingerichtet und dahinter jeweils ein Windows System um so die Verbindungen zu testen und die OPNsense zu bedienen.

Leider stehe ich mit manchen Optionen noch auf Kriegsfuß, vielleicht bin ich aber auch einfach nur zu blöd meine Denkweise auf die neue Technik zu ändern...

Mir fehlt gleich im ersten Schritt schon etwas ganz entscheidendes: Wie definiere ich denn, wer der Verbindung aufbaut und wer nur Responder ist? Das einzige was ich bislang gefunden habe sind unter Children die Start und Stop Actions - bin ich da richtig?

Wenn ja, ist das dann richtig wenn eine Seite keine actions definiert hat und die zweite beides auf Start hat damit diese die Verbindung aufbaut und auch bei Abbau erneuert?


Vielen Dank schon mal für Schupser in die richtige Richtung
Norbert

Sehe ich das richtig, wird das nur funktionieren wenn wir nicht die klassischen IPsec Verbindungen nehmen sondern auf die neuen Connections wechseln die mit V23.1 eingeführt wurden? Bei den klassischen Verbindungen lässt sich nämliche jede Remote IP nur einmal einrichten...


Gruß
Norbert

Und wenn ich mehrere dieser Nebenstellen habe? Kann eine Adresse ja nur einmal über alle Tunnel hinweg vergeben (wie ich gerade lernen durfte)


Norbert

Hallo Freunde der OPNsense,

vermutlich bin ich nur zu doof meine Frage richtig zu formulieren, aber vielleicht könnt ihr mir ja weiterhelfen.

Ich habe ein Problem mit IPsec auf der OPNsense was LTE Router (und wegen Standort geht nichts anders) angeht: Diese haben ja keine öffentliche IP, sprich ich kann sie weder per DynDNS noch Public IP im Setup konfigurieren, nur wie schaffe ich es dann eine eingehende VPN Verbindung einzurichten?

Im Firewall LOG sehe ich von drei IPs eingehende UDP 500 Verbindungen, nur meine Idee einer Einrichtung der Verbindungen mit Dummy DNS Namen und Aktivierung der Option Allow any remote gateway to connect hat bei mir nicht funktioniert.

Wie bekomme ich sowas trotzdem ans laufen? Bei der vorher genutzten Bintec war einfach die Hostadresse der Gegenstelle leer und die Verbindungen wurden efolgreich aufgebaut, nur das erlaubt ja die OPNsense nicht...

Gruß
Norbert

Hey Ronny,

und was hilft mir das beim Versuch das per Skript zu machen? Muss ich jetzt jeden Host doppelt pflegen? Also sowohl in den Skripten als auch der OPNsense? Wieso jetzt doppelte Arbeit? Bei rund 100 Clients pro Standort in den pädagogischen Netzen ist das bissel viel Arbeit - daher die Frage ob das doppelte Geschäft wirklich notwendig ist


Gruß
Norbert

Hast schon recht, nur reden wir bei meinem Problem ja nicht von einem Client der per DHCP die DNS Informationen und damit auch Server bekommen kann sondern von Site to Site, daher war die Problematik nur über die Anpassung im Routing zu lösen

Norbert

Hallo Freunde der OPNsense,

ich hoffe mal ich bin nicht der einzige unter uns der gerne Wake on LAN benutzt um Clients auch mal aus der Ferne anschalten zu können ohne dafür extra vor Ort zu sein - so mache ich das zum Beispiel immer sehr gerne in den Ferien um die Clients mit den aktuellen Updates bespielen zu können, nur leider funktioniert es nicht mehr so wie früher seit wir von Bintec auf die OPNsense umgestiegen sind.

Ich habe mir extra dazu mal ein paar Batchdateien gebaut die die jeweiligen Clients enthalten, die Funktionsweise ist eigentlich sehr einfach:

wake "Mac Adresse" "Broadcast Adresse", exemplarisch wake 84-A9-3E-72-4F-45 192.168.178.255

Wie gesagt - es lief bis zum Wechsel der Router weswegen ich die Clients, das Tool und auch die Adressen komplett ausschließen kann, ebenso funktionieren die Skripte weiterhin wenn ich sie auf einem Host direkt im jeweiligen LAN ausführe, nur sowas muss doch auch remote gehen - nur wie?

P.S.: Müsste ich eigentlich nicht im Firewall LOG der OPNsense das WOL Paket sehen können?


Grüße aus BaWü
Norbert

Hallo Freunde der OPNsense,

ich glaube ich komme meinem Problem mit dem Unbound DNS und der DNS Weiterleitung endlich auf die Spur. So wie früher mit den Gateways anderer Hersteller versuche ich mit der OPNsense eine gefühlte einfache Lösung: DNS Weiterleitung an einen entfernten, nur per VPN erreichbaren DNS Server damit das Active Directory vom Hauptstandort auch per IPsec Tunnel erreichbar ist ohne die Clients direkt auf DNS Server der entfernten Gegenstelle zu schicken.

Heute glaube ich endlich den Grund für meine nicht funktionierende DNS Weiterleitung mit Unbound gefunden zu haben: Er kann den entfernten DNS schlicht und einfach nicht erreichen! Wie ich darauf komme: Versuche ich von einem beliebigen System hinter der Remote OPNsense den zentralen DNS zu pingen klappt das, nicht aber wenn es die OPNsense selber probiert (habe es über die SSH Shell getestet).

Von Bintec Routern kenne ich die IPsec Konfiguration so, das ich im Tunnel konfigurieren muss mit welcher IP der Router selber in den Tunnel kommunizieren darf, sonst würde er nämlich nicht die richtige IP nehmen. Kann es ein das genau hier mein Fehler liegt und ich der OPNsense bei einem IPsec Tunnel sagen muss mit welcher seiner IPs er überhaupt in den Tunnel gehen soll?

Hintergrund: An unserer Schule läuft eine OPNsense 24.1 mit zwei DSL Anschlüssen und mehreren internen Netzen (Verwaltung, Schüler, PBX usw) und daher glaube ich muss der OPNsense sagen mit welcher IP sie in den Tunnel kommunizieren soll.

Ich hoffe mal es ist verständlich wo ich den Knoten sehe und hoffe auf eine schlaue Idee von euch!

Grüße aus BaWü
Norbert

Hach kann die Welt doch einfach sein wenn man nur weiß wie...

Hatte gerade ein kurzes Gespräch mit Ad, und jetzt ist mir seine Erklärung auch endlich verständlich...

Wie verhält sich eine OPNsense intern? Wer mit SSH sich auf ihr anmeldet und die Routing Tabelle ansieht wird feststellen, das nicht eine der VPN Verbindungen die per policy based routing in ihrer Routing  Tabelle sichtbar sind, und damit nutzt sie ihre Standroute beim Versuch eines Ping / DNS Auflösung via VPN oder was auch immer.

Auch wenn sich der Lösungsweg komplett schräg anhört: Er funktioniert! Ad hat es mir einmal gezeigt, ich habe es schon mehrfach nachgebaut...

1.) Unter System: Gateways: Configuration die OPNsense selber mit der LAN IP, die für den VPN Tunnel genutzt werden soll, als Gateway eintragen
2.) Unter System: Routes: Configuration eine Route für das bislang nur per policy baesd routing bekannte Netz anlegen und als Gateway das zuvor unter Punkt 1 angelegte nutzen.

Fertig!

Wer es kontrollieren möchte: mit einem netstat -nr4 vor der Anpassung sieht man nur die LAN Routen (durch die vorhandenen Interfaces) plus PPPoE Verbindungen als default route, mehr nicht. Nach der Anpassung wird die händisch hinzugefügte Route angezeigt und genutzt!

Ich hoffe mal die Erklärung hilft euch, bei Rückfragen einfach melden!

Gruß
Norbert

Hier sieht man wie es durch die Angabe der Source IP funktioniert :-)

Guten Morgen,

ich habe das gerade mal mit dem Ping Befehl unter Angabe der Source Adresse probiert und damit können sich beide OPNsense pingen, so gesehen passt (wie erwartet) mein grundsätzlicher Tunnel schon mal :-)

Ich bin gespannt ob Patrick so lieb ist mir mit der NAT Regel noch auf die Sprünge zu helfen um das zu lösen :-) Hätte halt den Scharm, das es würde für jegliche Kommunikation zwischen den beiden OPNsense gleich funktionieren würde :-)

Gruß
Norbert

Ich habe mir noch mal die Outbound NAT Regeln der OPNsense angesehen und dachte ich hätte die richtige Richtung, nur leider scheint mir noch was zu fehlen....

Im Moment sieht meine - nicht funktionierende - Regel so aus:
- Interface IPsec
- IPv4
- Protocol any
- Source adresse This Firewall
- Source port any
- Destination adress Firewall Alias für die Remote Site
- Destination Port any
- Translation / target auf LAN_Verwaltung adress (sagt mir die IP die ich auf dem Interface LAN_Verwaltung habe)

Der Rest steht auf Standard

Stimmt die Richtung oder denke ich hier komplett falsch?

Müde Grüße
Norbert

Habe es mittlerweile stabil - Problem war Blindheit... Ich hatte nur auf einer Seite DPD aktiviert...

Grüße
Norbert

Hallo Patrick,

wenn ich Dich richtig verstehe habe ich das Problem, weil ich den Tunnel ausschließlich im Legacy Mode eingerichtet habe und es damit ein rein Policy based routing ist, richtig?

Wie wäre denn der richtige Weg das einzurichten?


Norbert

Hallo Freunde der OPNsense,

ich glaube ich komme meinem Problem mit dem Unbound DNS und der DNS Weiterleitung endlich auf die Spur. So wie früher mit den Gateways anderer Hersteller versuche ich mit der OPNsense eine gefühlte einfache Lösung: DNS Weiterleitung an einen entfernten, nur per VPN erreichbaren DNS Server damit das Active Directory vom Hauptstandort auch per IPsec Tunnel erreichbar ist ohne die Clients direkt auf DNS Server der entfernten Gegenstelle zu schicken.

Heute glaube ich endlich den Grund für meine nicht funktionierende DNS Weiterleitung mit Unbound gefunden zu haben: Er kann den entfernten DNS schlicht und einfach nicht erreichen! Wie ich darauf komme: Versuche ich von einem beliebigen System hinter der Remote OPNsense den zentralen DNS zu pingen klappt das, nicht aber wenn es die OPNsense selber probiert (habe es über die SSH Shell getestet).

Von Bintec Routern kenne ich die IPsec Konfiguration so, das ich im Tunnel konfigurieren muss mit welcher IP der Router selber in den Tunnel kommunizieren darf, sonst würde er nämlich nicht die richtige IP nehmen. Kann es ein das genau hier mein Fehler liegt und ich der OPNsense bei einem IPsec Tunnel sagen muss mit welcher seiner IPs er überhaupt in den Tunnel gehen soll?

Hintergrund: An unserer Schule läuft eine OPNsense 24.1 mit zwei DSL Anschlüssen und mehreren internen Netzen (Verwaltung, Schüler, PBX usw) und daher glaube ich muss der OPNsense sagen mit welcher IP sie in den Tunnel kommunizieren soll.

Ich hoffe mal es ist verständlich wo ich den Knoten sehe und hoffe auf eine schlaue Idee von euch!

Grüße aus BaWü
Norbert