Show Posts
1
German - Deutsch / Re: Tutorial für Hetzner Cloud (?)
« on: January 23, 2022, 10:36:55 pm »
Hallo zusammen,
ich stehe auch vor dem Problem das meine Opnsense auf Hetzner nicht so wirklich "will". Ich möchte auf Hetzner ein privates Netzwerk erstellen, welches über die Opnsense ins Internet kann - ebenso soll die Opnsense VPN Zugriff ermöglichen.
Bei der Installation bin ich wie folgt vorgegangen:
1. Hetzner Portal: Hetzner Cloud Server mit Ubuntu Image erstellt
2. Hetzner Portal: Opnsense Image an diesem Server eingehängt
3. Hetzner Portal KVM: Opnsense gebootet und installiert
4. Hetzner Portal KVM: WAN Interface vtnet0 zugeordnet und IP per DHCP konfiguriert
5. Hetzner Portal KVM: Sicheres root Passwort vergeben
6. Hetzner Portal KVM: Reboot
7. Openvpn WebUi: Browser login auf der public IP
8. Openvpn WebUi: Installationswizard durchlaufen und Checkbox bei Bogon Netz Häckchen aus Checkbox genommen und bei LAN keine Eintragungen gemacht
9. Openvpn WebUi: Systemupdates installiert
10. Openvpn WebUi: Firewall Regel für den WAN Zugriff auf HTTP/HTTPS erstellt
11. Openvpn WebUi: Server heruntergefahren
12. Hetzner Portal: privates Netzwerk erstellt (172.18.40.0/24) , darin legt Hetzner dann automatisch das 172.18.40.0/28 Netz an
13. Hetzner Portal: Server dem privaten Netzwerk hinzugefügt (172.18.40.2)
14. Hetzner Portal: Route 0.0.0.0/0 mit Opnsense Server als Gateway hinzugefügt
15. Hetzner Portal: Server gestartet
16. Openvpn WebUi: Login per public HTTPS auf der Opnsense
17. Openvpn WebUi: LAN Interface konfiguriert, enabled und per DHCP die IPv4 Konfig gemacht (172.18.40.2)
18. Openvpn WebUi: Firewall -> Aliases : Eintrag für das Hetzner Netzwerk gemacht (Name: Hetzner-Net-Alias ; Type: Network ; Content 172.18.40.0/28)
19. Openvpn WebUi: Firewall -> Rules -> Lan: Allow all from Hetzner-Net-Alias to Destination any (Interface: LAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
20. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Hybrid outbount NAT rule generation aktiviert
21. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Manual rule hinzugefügt (Interface: WAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
Nach dieser Opnsense Konfiguration habe ich im Hetzner Cloud (prive) Netzwerk einen Windows Server installiert um alles zu testen. Das public Interface habe ich komplett deaktiviert und die private IP Adresse des Windows Servers wird per DHCP von der Hetzner infrastruktur konfiguriert (172.18.40.3). Über den Windows Server kann ich die Opnsense WebUI erreichen. Wenn ich am Windows Server einen tracert auf die 8.8.8.8 mache, komme ich genau so weit:
Windows kommt also bis zum Hetzner Gateway, dann zur Opnsense, dann wieder zum Hetznergateway aber danach geht es nicht mehr weiter. Hat jemand von euch eine Idee woran das liegen kann?
Hab den Hetzner Support kontaktiert, der mir „nichts neues“ gesagt hat: „...auf der Hetzner Oberfläche eine Route 0.0.0.0/0 auf die IP des Opnsense Server eintragen“ (Punkt 14)
Hab jetzt schon stundenlang nach Fehlern oder Problemen gesucht und komme nicht weiter. Auf Hetzner Seite sind keine weiteren Firewalls etc. aktiv.
Hab mir eure obige Diskussion angesehen und dachte mir, es geht in die gleiche Richtung…
Habt ihr einen Tipp für mich?
ich stehe auch vor dem Problem das meine Opnsense auf Hetzner nicht so wirklich "will". Ich möchte auf Hetzner ein privates Netzwerk erstellen, welches über die Opnsense ins Internet kann - ebenso soll die Opnsense VPN Zugriff ermöglichen.
Bei der Installation bin ich wie folgt vorgegangen:
1. Hetzner Portal: Hetzner Cloud Server mit Ubuntu Image erstellt
2. Hetzner Portal: Opnsense Image an diesem Server eingehängt
3. Hetzner Portal KVM: Opnsense gebootet und installiert
4. Hetzner Portal KVM: WAN Interface vtnet0 zugeordnet und IP per DHCP konfiguriert
5. Hetzner Portal KVM: Sicheres root Passwort vergeben
6. Hetzner Portal KVM: Reboot
7. Openvpn WebUi: Browser login auf der public IP
8. Openvpn WebUi: Installationswizard durchlaufen und Checkbox bei Bogon Netz Häckchen aus Checkbox genommen und bei LAN keine Eintragungen gemacht
9. Openvpn WebUi: Systemupdates installiert
10. Openvpn WebUi: Firewall Regel für den WAN Zugriff auf HTTP/HTTPS erstellt
11. Openvpn WebUi: Server heruntergefahren
12. Hetzner Portal: privates Netzwerk erstellt (172.18.40.0/24) , darin legt Hetzner dann automatisch das 172.18.40.0/28 Netz an
13. Hetzner Portal: Server dem privaten Netzwerk hinzugefügt (172.18.40.2)
14. Hetzner Portal: Route 0.0.0.0/0 mit Opnsense Server als Gateway hinzugefügt
15. Hetzner Portal: Server gestartet
16. Openvpn WebUi: Login per public HTTPS auf der Opnsense
17. Openvpn WebUi: LAN Interface konfiguriert, enabled und per DHCP die IPv4 Konfig gemacht (172.18.40.2)
18. Openvpn WebUi: Firewall -> Aliases : Eintrag für das Hetzner Netzwerk gemacht (Name: Hetzner-Net-Alias ; Type: Network ; Content 172.18.40.0/28)
19. Openvpn WebUi: Firewall -> Rules -> Lan: Allow all from Hetzner-Net-Alias to Destination any (Interface: LAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
20. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Hybrid outbount NAT rule generation aktiviert
21. Openvpn WebUi: Firewall -> Rules -> NAT -> Outbound: Manual rule hinzugefügt (Interface: WAN ;Source Hetzner-Net-Alias ; Source-Port: Any ; Destination Address: Any ; Destination Port : Any)
Nach dieser Opnsense Konfiguration habe ich im Hetzner Cloud (prive) Netzwerk einen Windows Server installiert um alles zu testen. Das public Interface habe ich komplett deaktiviert und die private IP Adresse des Windows Servers wird per DHCP von der Hetzner infrastruktur konfiguriert (172.18.40.3). Über den Windows Server kann ich die Opnsense WebUI erreichen. Wenn ich am Windows Server einen tracert auf die 8.8.8.8 mache, komme ich genau so weit:
Code: [Select]
tracert 8.8.8.8
Routenverfolgung zu 8.8.8.8 über maximal 30 Hops
1 5 ms 4 ms 4 ms 172.18.40.1
2 1 ms <1 ms <1 ms 172.18.40.2
3 5 ms 4 ms 3 ms 172.18.40.1
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
.......
Windows kommt also bis zum Hetzner Gateway, dann zur Opnsense, dann wieder zum Hetznergateway aber danach geht es nicht mehr weiter. Hat jemand von euch eine Idee woran das liegen kann?
Hab den Hetzner Support kontaktiert, der mir „nichts neues“ gesagt hat: „...auf der Hetzner Oberfläche eine Route 0.0.0.0/0 auf die IP des Opnsense Server eintragen“ (Punkt 14)
Hab jetzt schon stundenlang nach Fehlern oder Problemen gesucht und komme nicht weiter. Auf Hetzner Seite sind keine weiteren Firewalls etc. aktiv.
Hab mir eure obige Diskussion angesehen und dachte mir, es geht in die gleiche Richtung…
Habt ihr einen Tipp für mich?