Messages

oh man, wer lesen kann ist klar im Vorteil!!!!

Vielen Dank an "simonszu"

Der Beitrag von Ihm war auch meine Lösung.

Die OPNSense hat beim mir das Gateway des LAN-Adapters (Hetzner-Netzwerk) als"Active" gesetzt.
Nachdem ich dieses deaktiviert habe und das WAN als "Active" und auch als UpStream gesetzt habe funktioniert nun alles.

System - Gateways - Single --> LAN Interface disbaled
System - Gateways - Single --> WAN Interface Upstream active

Alle meine Problem sind damit behoben und funktionieren nun. Das komische ist nur das bevor ich meine
Eisntellung gesetzt hatte, die Cleint VM dahinter normal ins Internet kam, naja wer weiß

VPN-Site-to-Site --> OK
VPN Mobile IKEv2 --> OK
Updates über Webinterface --> OK

Danke

Hallo,

eine Ergänzung zu meinem Problem mit der OPNSense bei Hetzner und dem Hetzner Network.

Die VM hinter der OPNSense kommt uneingschränkt ins internet, ohne Probleme.
Mache ich einen "traceroute" zum Beipsiel auf eine externe IP, sehe ich ordnungsgemäß den Ablauf.

IP der VM: 192.168.60.253/32 (per DHCP vom Hetzner Netzwerk)

1. Gateway vom Hetzner-Netzwerk (per Route), in dem Falle die 192.168.0.1 --> OK
2. danach die OPNSense (internes Interace), in dem Falle die 192.168.60.254 --> OK
3. danach das Gateway des WAN Interfaces der OPNSense, in dem Falle von Hetzner die 172.31.1.1 --> OK
4. externe IPs .....--> OK

nun das Problem, mache ich einen traceroute auf die gleiche IP über die Shell der OPNSense bleibt dieser
nach dem Gateway von Hetzner hängen, sprich Gateway 192.168.0.1 wird erriecht, danach "keine Antwort"

deshalb denke ich kann ich auch keine Updates über das Webinterface der OPNSense machen (timeout bzw. no route to host)

> und ich nehme stark an das das auch Problem ist warum ich keinen VPN Tunnel aufbauen kann, sowohl
Site-to-Site als auch mobile-VPN, da die OPNSense selbst keinerlei Pakete nach außen senden bzw. beantworten kann.

ich denke mir fehlt hier irgendwo eine Einstellungen oder eine Regel ?!?!? oder es hat etwas mit dem NAT Modus zu tun

Ich bitte hier noch einmal um einen Rat.

Danke

Hallo,

ich bin aktuell auch dabei bei Hetzner eine private Network hinter einer OPNSense einzurichten.
Nach langem probieren hatte ich das mit dem Outbound Hybrid auch rausgefunden.

Das Problem welches ich jetzt habe ist, das die Clients (VMs) hinter der Firewall ins Internet über die OPNSense kommen, das passt alles, aber meine OpnSense selbst kann irgendwie nicht ins Internet übertagen. Äußert sich in folgenden Punkten

- Key Exchange bei Site-to-Site VPN klappt nicht
- Mobile VPN Einwahl per IPsec (IKEv2) klappt nicht
- Update Überprüfung scheitert mit Timeout beim Repository durchsuchen

ich habe das Gefühl das da eine Regel fehlt damit die Firewall selbst antworten senden kann bzw. ins
Internet kommt um nach Updates zu suchen.
Ich sehe im Log Einträge zu der Einwahl per VPN bzw. bei Site-to-Site das Pakete von der anderen Firewall
ankommen, aber die OPNsense scheint Ihre Pakete nicht gesendet zu bekommen.

Habt ihr hier einen Rat ? bzw. kennt Ihr das Problem

Vielen Danke und schöne Woche noch