Messages

... oder kann ich beim Traceroute den Weg ins Internet nicht sehen, da die Cisco-Box den Traffic über seinen Tunnel sendet? Die LED, die eine stehende Tunnelverbindung anzeigt, leuchtet. D.h. der Tunnel ist sauber aufgebaut.

Guten Morgen in die Runde,

folgendes Problem:
Eine Anwaltskanzlei hatte eine SOPHOS UTM, welche ich durch eine OPNsense ersetzt habe. Grundsätzlich funktioniert alles inkl. Mailgateway für den eigenen Exchange usw. Vor der OPNsense sitzt eine Fritz!Box (192.168.178.1), die die Einwahl macht und in welche ein Exposed-Host auf das WAN-Interface der OPNsense gesetzt ist.

Es gibt neben den Interfaces WAN (192.168.178.2) und LAN (192.168.10.254) noch eins, welches Testamentsregister (192.168.9.254) heisst. An diesem hängt eine sog. Notariatsbox. Das ist ein Cisco-Router, welcher einen VPN-Tunnel zur Bundesnotarkammer stellt.
Wenn die Arbeitsplätze die Notarsoftware XNP öffnen, dann wird geprüft, ob vier Netze 77.76.214.0/23, 185.47.125.0/24, 185.47.126.0/24 und 185.47.126.0/24 erreichbar sind.

Bei der UTM war dazu eine Netzwerkgruppe "NG Testamentsregister" angelegt, in welcher diese vier Netze enthalten waren. Dazu gab es eine Statische Route von dieser Netzwerkgruppe auf die IP der Cisco-Box. Diese hat die IP-Adresse 192.168.9.147.

Ferner gab es auf der Sophos eine NAT-Regel, für das Netz Testamentsregister raus ins Internet, sowie zwei Firewall-Regeln, dass sowohl aus dem LAN ins Testamentsregister-Netz und umgekehrt geroutet werden darf.

Jetzt zur OPNsense:
Das Interface ist entsprechend eingerichtet. Die Cisco-Box hängt an eth2 und ist aus dem LAN anpingbar. Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?

Firewall-Regeln habe ich auch noch die globalen "ich darf alles in jede Richtung", die die OPNsense standardmäßig hat. Ich habe die Regeln ebenso für das Testamentsregister-Netz angelegt.

Ich habe ein zweites Gateway angelegt, welches die IP der Cisco-Box hat und als Mark Down gesetzt. Dann habe ich vier statische Routen angelegt. Jeweils ein Netz der Bundesnotarkammer auf das Gateway "Cisco-Box".

Wenn nun auf den Clients die Notarsoftware gestartet wird, dann sagt diese, dass kein Internet vorhanden sei. Mache ich ein Traceroute von einem Arbeitsplatz auf ein Netz der Bundesnotarkammer, dann sehe ich in der ersten Zeile das WAN-Interface der OPNsense. In der zweiten Zeile die IP-Adresse der Cisco-Box und dann nur noch Zeitüberschreitung. Es scheint so, als kommt die Cisco-Box nicht über das WAN-Interface raus.

Wo liegt hier der Hase im Pfeffer begraben? Ich bilde mir ein, alles korrekt übernommen zu haben.

Vielen Dank für Eure Unterstützung im Voraus.

Gruß
Christoph

So, Fehler gefunden. Eigentlich ganz einfach ;-).

Das Problem war das Doppel-NAT am Hauptstandort. Ich habe als eigehende Filterregel auf die feste IP des Standortes gefiltert. Da aber an der festen IP die WAN-Seite einer Fritz!Box hängt und diese dann per Exposed-Host an die WAN-Schnittstelle der OPNsense weiterleitet, ist die Filterregel auf "WAN adress" zu setzen gewesen und nicht auf die feste IP.

Gruß
Christoph

Hallo,

genau diese Einstellungen habe ich exakt so, wie Du sie beschrieben hast. Wenn ich unter "Status" schaue, dann ist "Interface" mit einem grünen Haken versehen, "Peer" aber mit einem roten X.

So ist ja auch die Standard-Config aus der Hilfe.

Gruß

Hallo Forum,
Am Standort A werkelt hinter einer Kabel-FritzBox eine OPNsense mit einem Netzwerk (Server, NAS zur Datensicherung usw.). Auf der Fritz!Box ist Exposed-Host auf die OPNsense eingestellt. Alles gut.

Nachts läuft ein Backup auf das NAS, welches danach über einen Site2Site-Wireguard-Tunnel auf ein NAS an Standort B übertragen werden soll.

Am Standort B hängt eine FritzBox direkt mit PPPoe an einem Glasfaseranschluss. Sie stellt WLAN sowie das interne Netzwerk für den Haushalt bereit. Auch alles gut.

Nun soll im Netz der FritzBox eine OPNsense stehen, welche WAN-seitig im FritzBox-Netz hängt und LAN-seitig ein neuen IP-Bereich hat, in welchem das NAS hängt. Die OPNsense soll quasi lediglich ein RED für das NAS sein.

Ich habe die OPNsense am Standort B hier bei mir zu Hause mit den Wireguard-Einstellungen eingerichtet und ebenso die OPNsense am Standort A. Die Verbindung wurde einwandfrei aufgebaut und ich konnte aus dem Netz am Standort A auf das NAS im LAN-Netz der zweiten OPNsense zugreifen.

Ich habe die OPNsense zum STandort B geschickt und den dortigen Bewohner gebeten, diese WAN-seitig an das FritzBox-Netz anzuschliessen und LAN-Seitig das NAS. IP-Adressen stimmen alle.

Die OPNsense soll den Verbindungsaufbau initiieren und versuchen, sich mit der OPNsense am STandort A verbinden (feste IP v4 vorhanden).

Von daher habe ich keinen Exposed-Host auf der FritzBox am STandort B gemacht, um möglichst das dortige Netzwerk nicht zu beeinflussen. Wenn die OPNsense auf Port 51820 einen Verbindungsaufbau versucht, dann müsste ja eine Antwort der OPNsense von Standort A ebenfalls auf Port 51820 durchgelassen werden. Oder muss ich den Port 51820 per PortForwarding an die OPNsense durchlassen?

Besten Dank im Voraus

Gruß
Christoph

Gibt es denn überhaupt mit IPsec die Möglichkeit, dass die entfernte Seite, die eine dynamische IP hat, den Tunnel aufbaut und meine Seite mit der festen IP dann entsprechend reagiert?

Falls nein, gibt's überhaupt noch einen kostenlosen DynDNS-Anbieter, bei dem man nicht alle 30 Tage auf irgendeiner Webseite alles wieder bestätigen muss, damit es weiterläuft? Idealerweise einen, den ich als Firma anlege und dann mehrere Kunden damit verwalte...

Das WAN-Interface hängt an einer Fritz!Box. Die Haken bei Block Private Networks und Block Bogon Networks sind nicht gesetzt.

Hallo Forum,
ich habe eine OPNsense zu Hause eingerichtet und eine im Büro. Ich habe zu Hause und im Büro jeweils eine öffentliche IPv4 und beide Boxen sind per IPsec miteinander dauerhaft verbunden. Ich kann gegenseitig auf die gegenüberliegenden Netze zugreifen. Alles gut soweit. Die Notebooks der Mitarbeiter sind per OpenVPN als RoadWarrior an das Firmennetz angebunden. Soweit so gut.
Nun möchte ich einen Kundenstandort per IPsec ebenfalls an die OPNsense der Firma anbinden. Auf einem eigenen Interface soll ein Server stehen, den der Kunde aus seinem Netz erreichen kann. Grundsätzlich sollte ich das hinbekommen, aber bei meiner bereits eingerichteten Site2Site-Verbindung Büro <-> Home konnte ich bei den Tunnel Settings (legacy) die jeweiligen WAN-Adressen angeben und gut war. Der Standort des Kunden hat aber keine feste öffentliche IP. Somit muß seine OPNsense (die wird er noch bekommen) die Verbindung initiieren und meine im Büro muß die Verbindung annehmen. Bei Sophos ging das früher so, daß ich der einen Box sagen konnte, dass sie die Verbindung aufbauen soll. Übersehe ich eine Einstellung bei IPsec?

Zweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?

Besten Dank im Voraus.
 

Hallo Forum,
eine ausrangierte SOPHOS SG125 rev.1 soll als OPNsense herhalten. Die vorhandene SSD wurde komplett gelöscht (auch alle Partitionen). OPNsense dann drauf und alles schick.
Die Schnittstellen wurden wie folgt erkannt: Obere Reihe: ix0, ix1... und untere Reihe: igb0, igb1...
Bei der Nutzung der SOPHOS-Firmware war der LAN-Anschluß oben links und daneben der WAN-Anschluß. Nach der Installation erkennt der Installer der OPNsense die igb-Ports als erstes und legt den LAN auf igb0 und den WAN auf igb1 (also untere Reihe). Ich schließe die Box erstmal so ans Netz an und führe den Wizard aus. Danach läuft erstmal alles so wie es soll.
Dann gehe ich in die Interfaces/Assignments und ändere igb0 in ix0 und igb1 in ix1. Dann stecke ich die Kabel um.
So, nun kommt der merkwürdige Effekt:
Ich komme über den LAN-Anschluss weiterhin auf das WebGui. Ein angeschlossener Monitor zeigt mir auch, dass die Box auf der WAN-Seite per DHCP eine Adresse bekommt. Surfen kann ich nun nicht mehr. D.h. sobald ich die Assignments verändere scheint irgendwas anderes nicht mitzuziehen (NAT?, DNS?). Ein ping an google.de wird nicht aufgelöst (auch nicht von der Box selbst).

Habt Ihr da eine Erklärung für?

Besten Dank im Voraus.

So, nun klappts. Ich habe je Server einen Backend-Pool angelegt und im Mapfile nicht nur die Zeile "cloud Nextcloud_Backend" angelegt, sondern zwei Zeilen. Einmal "cloud.domain.de Nextcloud_Backend.de" und "cloud.domain.net Nextcloud_Backend.net".

Frontend nur eins und darin dann beide Zertifikate hinterlegt.

Danke für den Tipp ;-).

Verstehe ich es richtig, dass Deine OPNsense auf dem WAN und auf dem LAN dieselbe IP hat? Das wird nicht funktionieren, da nichts geroutet werden kann. WAN-seitig muss sie eine IP aus Deinem 192.168.100.0-Netz bekommen.

Das hat leider nicht gereicht. In der Nextcloud-App der betrieblichen Nextcloud kommt die Fehlermeldung "Server hat 400 Bad Request auf GET..." gemeldet. D.h. eine Anfrage scheint da anzukommen. Scheibar aber die von der betrieblichen Nextcloud.

Hi Forum,
ich baue gerade meine SOPHOS UTM zurück und übertrage alle Dienste auf die OPNsense. Ich habe im Büro und zu Hause eine feste Public-IP. Sowohl im Büro als auch zu Hause werkelt dann eine OPNsense. Ich habe im Büro einen internen Exchange-Server laufen, der per HAProxy von aussen ansprechbar ist. Das läuft auch mit den Zertifikaten alles super. Standortverknüpfung Büro und Zuhause läuft auch schon per IPsec und ich kann von zu Hause auf das interne Netz im Büro zugreifen.

Nun war es bisher so, daß ich zu Hause auf dem Server zwei Nextcloud-Server laufen habe. Einen für's Büro und einen für privat. Beide NC-Server werden über Sub-Domains mit unterschiedlicher TLD aufgerufen. Also sinngemäß: cloud.domain.de und cloud.domain.net. Bei beiden Sub-Domains ist beim Hoster der A-Record auf meine feste Public-IP von zu Hause eingestellt.

Bei der alten SOPHOS-Firewall konnte ich in deren Web-Proxy die Domains sauber unterscheiden und den jeweiligen beiden Servern zuweisen.

Nun habe ich nach der Anleitung von TheHellSite den HAProxy aufgesetzt und lasse per ACME für cloud.domain.de und für cloud.domain.net die Zertifikate ausstellen. Funktioniert auch.

Ich habe nun einmal für cloud.domain.de alle Einstellungen in HAProxy gemacht und kann von ausserhalb und von innen prima auf die private Nextcloud zugreifen.

Nun möchte ich aber auch auf die zweite Nextxloud zugreifen wollen. Ich habe dazu im HAProxy einen zweiten Server angelegt, im HTTPS-Fronted des Public Service das zweite Zertifikat hinzugefügt und im Nextcloud-Backend-Pool den zweiten Server hinzugefügt.

Ich kann nun immer nur noch auf die private, zuerst eingerichtete Nextcloud zugreifen. Bei der dienstlichen Nextcloud gibt's eine Fehlermeldung.

Das Map-File liest ja eigentlich nur die Subdomäne "cloud" aus und übergibt dann an den Backend-Pool. Und hier scheint das Problem zu liegen. Der HAProxy kann nicht entscheiden, an welchen Server die Anfrage gestellt wird, da lediglich "cloud" abgefragt wird und nicht "cloud.domain.de" und "cloud.domain.net".

Vielleicht ist die Lösung einfach, aber ich komme nicht drauf :-).

Habt Ihr eine Idee?

Das einfachste wäre, dass Dein Router z.B. die 192.168.2.1 bekommt, das WAN-Interface der OPNsense die 192.168.2.2 und das LAN-Interface der OPNsense bekommt dann die 192.168.0.1, welche vorher Dein Router hatte. Dann läuft das. Ggfs. noch ein Gateway in der OPNsense setzen. Deinen DHCP-Server stellst Du dann wieder auf das 192.168.0.0-Netz.

Hi,

bin gestern Abend dann darüber gestolpert, mal den Advanced Mode einzuschalten. Da waren beim Keepalive/Timeout nichts hinterlegt. Habe da mal 9 fürs Ping-Intervall und 1200 für Keepalive eingetragen und schon habe ich keine Aussetzer mehr :-).

Bzgl. der Verschlüsselung schaue ich dann mal heute Abend.

Ich habe mich schon gewundert, wo all die Parameter hin sind, die es bei Legacy noch gab. Da ja irgendwann Legacy ausgebaut wird, stelle ich nach und nach alle Kundengeräte auf Instances um.

Grund (auch) meiner anderen Fragen hier im Forum:

Wir betreuen neben unserer eigenen OPNsense noch fünf Kundengeräte. Ich möchte mir ein Best Practise schreiben, wo die gängisten Dinge, die bei jedem gleich sind, notiert sind. Wenn dann mal ein sechster dazukommt, wird der genauso aufgebaut. Hierbei geht es um die folgenden Funktionen:

- korrektes Einrichten von DNS (System und Unbound)
- LAN, WLAN auf eigener Schnittstelle (Unify)
- DHCP (wenn kein MS Server vorhanden ist, der das sonst machen sollte)
- OpenVPN für die Road Warrior
- IPSec für Standortvernetzung
- HAProxy für internen Exchange-Server und als Reverse-Proxy für selbsgehostete Nextclouds
- PPPoE für direkte Telekom-Einwahl (entweder am ONT bei Glas oder am Draytek-Modem bei VDSL)
- Backups aller Kundengeräte direkt auf unsere Nextcloud
- Fernadministration per OPNcentral

Das soll es auch schon sein. Mag sein, dass zu diesen Themen noch Fragen folgen werden :-)