Messages

Speichere dir alles was unter Config steht in eine Text Datei bevor du "store and generate next" drückst. Dann kannst du die Konfiguration in deinen Client und in der Firerwall unter Peers eintragen. Den Private-Key brauchst du nur im Client. in den Peers der Firerwall benötigst du nur den Public-Key.
Abschließend musst du den Peer in der Instanz zuordnen.

Ein Trace-Route direkt von den beiden Firerwalls kann dir auch schon weiterhelfen.

Sequence shall be between 1 and 999999, so the first Numer after the "." of Sort order looks like a specal definition?

It's explained here in the documentation, we try to keep it up to date :)

https://docs.opnsense.org/manual/firewall.html#rule-sequence

Thank you for add this documentation.
But I have Sort order Nr. 1 and 5, wat are this?


One other Point to discuse: If I add  2 groups to the "Interface" at the rule, the Sort order cange to 200000 = Floating. But this are only 2 Grops.

What is the difference between "Sort order" and "Sequence" in the Rules [new]?
To me, both fields mean the same thing, i.e. how the firewall rules are currently processed one after the other.

Am Business-Anschluss bekommst du eine feste öffentliche IPv4-Adresse, aber dafür gar kein IPv6. 🤡

Ruf einfach mal bei der Hotline an und lass dir ein Angebot geben. Es kann sein das die Info von Patrick zu VodafonKabel veraltet ist.

Schade auch, aber trotzdem danke für die Hilfe. :)

Ich habe als kabel/vodafone stammkunde den support gefragt, ob sie es bei mir auf festes ipv4 umstellen, aber die ignorieren das gekonnt.

Ich guck mal ob es mit der IPv6 Umstellung getan ist..

-> Vodafon sind die ipv4 Adressen ausgegangen, wenn dann bekommst du das nur in dem du deinen Anschluss nach Business-Anbindung wechselst. Da musst du auf deren Seite schauen, wie die aktuellen Konditionen sind um eine IPv4 Adresse zu erhalten.

"aktiviert meine Fritzbox standardmäßig IPv6": Was da bei dir passiert kann ich jetzt so nicht nachvolziehen. Ist bei dir die OPNs als exposed Host in der Fritzbox eingetragen? Aktualiesiert dein Dyn-Dns IPv4 und IPv6 wirlich?

Dann solltest du aber  auch einen Bug-Report mit dem von dir Beobachteten Verhalten aufmachen:
Vorgehensweise:

Öffne:
https://github.com/opnsense/core/issues/new/choose
Wähle ein passendes Issue‑Template (Bug Report, Feature Request).
Beschreibe:

OPNsense‑Version
Reproduktionsschritte
Logs / Screenshots
Erwartetes vs. tatsächliches Verhalten

Die Lösung war bei mir das im "Children" Fenster die Policys nicht angehakt waren, nach dem Anhaken ging es.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt.

Das glaub ich nicht. Da würde meine VPN auch nicht mehr funktionieren.

-> Dann muss ich nochmals schauen.


In der Remote muss auf jeden Fall EAP Radius rein, wenn der Prozess den NPS nutzen soll.
Und in VPN: IPsec: Mobile & Advanced Settings > eap-radius muss dieser ausgewählt werden.
-> Ja ist in VPN: IPsec: Mobile & Advanced Settings > eap-radius eingetragen.

In Remote wird konfiguriert, wie sich der Client beim Server authentifiziert.
In Local, wie sich der Server beim Client authentifiziert.

Ich habe bisher eine legacy IPsec Verbindung, wo sich die User auf Windows-Clients für die VPN Verbindung gegen einen Radius Server authentifizieren. Dieser Radius Server ist ein MS-NPS und holt seine User-Daten aus einem Active Directory.
Radius Server, User und Firerwall kennen und nutzen eine gemeinsamme CA. Die Firerwall hat ein gültiges Server-Certifikat und nutzt in der Phase 1 EAP-Radius und Key-Exchange V2.
Der User baut unter Benutzung seines Users aus dem Active Diretory: domain\Userkennung + Passwort die VPN-Verbindung mit den in Windows Integrierten VPN-Client auf. In Phase 2 wird bei  der legacy Verbindung das ESP Protokoll genutzt.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt. Meine Konfiguration habe ich nach https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#method-1-shared-ip-pool-for-all-roadwarriors aufgebaut und auf die Radius angepasst wo es für mich logisch war.
Zur Authentifizierung nutze ich dabe EAP-Radius und EAP-MSCHAPv2.
Der Windowsclient kann sich mit der Connections Verbindung aber nicht authentifizieren und im Log habe ich Einträge das die halboffene Verbindung beendet wird.
Im Anhang noch ein par Screenshots von meinen Einstellungen. Sieht vieleicht wer, was ich falsch gemacht habe?

Danke erstmal für deine ausführliche Antwort. Der Gedanke, OPNsense auf einer Mini‑Appliance laufen zu lassen, war auch bei mir vorhanden.
Da ich aus der Windows‑Welt komme, habe ich mir überlegt, stattdessen auf Hyper‑V zu setzen. Hintergrund ist, dass ein guter Freund einen Bekannten hat, der seine IT überarbeiten möchte. Aktuell läuft alles gerade so, dass es funktioniert: ein physikalischer Server, ein ungemanagter 24‑Port‑Switch, zehn Clients und zwei Drucker. Die IT soll in den nächsten Monaten modernisiert werden – aus Kostengründen jedoch zunächst nur das Notwendigste:

- Hyper‑V‑Server (neu)
- Veeam Backup
- eventuell Synology DiskStation
- OPNsense als VM
- zwei 24‑Port‑Managed‑Switches (neu)
- zehn Clients, teilweise neu, da einige nicht Windows‑11‑kompatibel sind
- zwei Drucker (bleiben bestehen)

Es handelt sich um einen Handwerksbetrieb. Das Thema Boot‑Zeit und Ausfall nehme ich in Kauf, um die Kosten für ihn gering zu halten, dafür gibt es ja Wartungsfenster. Sollte sich OPNsense als VM im laufenden Betrieb als unpraktikabel erweisen, wird auf eine Appliance umgestellt.

Was könnte man für 300,- als Appliance beschaffen. Sollte natürlich auch was taugen. Dachte da wenn, an eine N150 Firewall Micro Appliance, Mini PC, Nano Computer, Router Compatiable with Pfsense OPNsense 16G RAM 256G SSD, 4*i226-V RJ45 Console AES-NI

Grüße

Als Appliance würde ich ein Gerät von https://www.thomas-krenn.com/ nehmen. Da kannst du dir auch etwas Hardwaresupport dazunehmen, im Businesumfeld nicht immer uninteresant.

Ich würde einen Testaufbau mit einem PC nach Anleitung deines ISPs vorschlagen um zu sehen ob der Internetzugang wirklich funktioniert.

[PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2]

Um mein Ziel* zu erreichen hatte ich folgendes gemacht. Vielleicht hat jemand noch einen Tipp oder kann bestätigen, es möglichst richtig gemacht zu haben :-)

PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2
*
PC1 hat ein Datenverzeichnis (Windows Freigabe)
PC2 ist der einzige PC welcher auf die Daten zugreifen darf (Datenaustausch)
PC1 soll im Datenverkehr maximal eingeschränkt werden.

Firewall: Rules: LAN
Ich habe alle Regeln gelöscht, somit wird automatisch alles geblockt. PC1 kann keine Verbindung mehr aufbauen.

Firewall: Rules: WAN
Source: IP-PC2
Destination: IP-PC1
Port: 443
Description: Datenzugriff Windowsfreigabe

Source: IP-PC2
Destination: IP-PC1
Port: 445
Description: Datenzugriff Windowsfreigabe

optional:
Source: IP-PC2
Destination: IP-OPNsense
Port: 443
Description: Zugriff auf OPNsense Web

Frage
Sehe ich mir den Live Log vom "WAN" anschauen, herrscht hier auch ein reger Datenaustausch. Welche der "Automatically generated rules" sind denn wirklich notwendig (für mein Szenario).
Firewall: Rules: WAN

So kann man es machen um die Firerwall etwas zu verstehen. Allerdings ist es nicht "best practic" die Firerwall von der WAN-Seite her zu Administrieren. Von den "Automatically generated rules" lass erst mal die Finger, den die sorgen dafür das du dich nicht aus der Administrationsoberfläche aussperst und auch verschiedene Netzwerkprotokollvorgaben oder Plugin-bedarfe beachtet werden. Wenn du dich weiter mit der Opensense beschäftige möchtes kann ich dir das Buch "Der OPNsense-Praktiker" von markus Stubbig empfehlen. Da gibt es von Zeit zu Zeit eine Neuauflage.

Du musst auch den Zugriff auf dein Transfehrnetz unter AllowedIPs erlauben. Sieht dann so aus:
[Interface]
PrivateKey = aJf28BZT1....
Address = 10.10.10.6/32

[Peer]
PublicKey = GpFDl.....
PresharedKey = jecBb....
AllowedIPs = 192.168.1.0/24, 10.10.10.0/24
Endpoint = XXX.XXX.XXX.XXX:51820