Messages

Hallo Cedrik,
ich habe beim OpenVPN-Server unter Allowed IPs auch das Netz des Standortes B eingetragen. Dann habe ich bei beiden Wireguard Peers jeweils das Tunnelnetz unter Allowed IPs eingetragen. Nun geht der Ping durch und ich kann auch die Webseite eines Gerätes auf Standort B öffnen.

Danke für die Hinweise ;-).

Hallo,

ich habe zwei Standorte mittels Wireguard verbunden. Standort A hat 192.168.0.0/24, Standort B hat 172.16.10.0/24. An beiden Standorten befinden sich OPNsenses. Ich kann jeweils von beiden Standorten auf Netzwerkfreigaben des gegenüberliegenden Standortes zugreifen. So weit so gut.

Nun habe ich bei Standort A zusätzlich OpenVPN für Roadwarrior eingerichtet, damit man per Notebook auf die Netzlaufwerke von Standort A zugreifen kann. Funktioniert auch.

Nun möchte ich aber, dass ich bei bestehender OpenVPN-Verbindung zu Standort A von ausserhalb auch gleichzeitig auf die Freigaben von Standort B zugreifen, ohne dass ich für Standort B auch ein OpenVPN einrichten muss.

Pings von Extern auf Standort A klappen, auf Geräte in Standort B nicht.

Wie bzw. welche Regeln muss ich zusätzlich bauen?

Für mein Verständnis befindet sich der externe Client bei stehendem OpenVPN-Tunnel im entsprechenden Tunnelnetz. Ich habe hier die folgende Regel:

IP IPv4+6, Protocol Any, Source: OpenVPN_Server Net, Port *, Destination *, Port *, Gateway *, Schedule *

Damit sollte doch alles funktionieren, oder?

Gruß
Christoph

Ja, das habe ich bei einem Kunden auch, der Vodafone als Registrar hat.

Hier scheint es aber, als verbindet sich die TK-Anlage nach dem Einschalten mit der Telekom und deren SIP-Trunk antwortet. Die Pakete kommen durch, da die Firewall die eingehenden Ports offen hält. Diese werden aber scheinbar nach einer gewissen Zeit geschlossen und dann geht nichts mehr.

Hier noch meine Inbound NAT-Regel:

Hallo Forum,

ich habe bei einem Kunden eine FritzBox im Zuge einer Umstellung von VDSL auf Glasfasergegen eine OPNsense ersetzt, die nun auch PPPoE-Einwahl direkt macht. Soweit funktioniert auch alles, aber:

Im Netz des Kunden hängt eine Unify-TK-Anlage von der Telekom, die die externen Rufnummern selbst im SIP-Trunk-Portal der Telekom registriert. Wenn man nun die Telefonanlage frisch einschaltet, dann sind die internen Teilnehmer erreichbar und können auch raus telefonieren.

Nach einiger Zeit, gehen die internen Teilnehmer auf "besetzt" und man kann weder rein noch raus telefonieren. Mache ich die Anlage stromlos und nehme Sie wieder in Betrieb, klappt das Telefonieren wieder eine Weile.

Die SIP-Ports 5060/5061 und die RTSP-Ports habe ich von aussen an die TK-Anlage durchgereicht. Es scheint aber so, als würden sich nach einiger Zeit einige Ports schließen.

Bei der FritzBox gibt es eine Einstellung, dass gewisse Ports für VoIP-Telefonie länger geöffnet bleiben sollen. Gibt's sowas auch bei der OPNsense?

Oder hat jemand ein Patentrezept bzw. Einstellungen, die ich machen kann, damit die Anlage sauber funktioniert? Der Kunde will, dass ich wieder die FritzBox einbaue. Das will ich aber nicht und habe nun die letzte Chance bekommen, das Ganze zum Laufen zu bringen.

Danke für hilfreiche Tipps im Voraus.

Moin,
danke für die Hinweise. Das mit der Schnittstellenadresse habe ich aus einem englischsprachigen YT-Video. Ich hatte mich schon gewundert, dass der Typ .1/24 statt .0/24 eingetragen hat.

Nochmals besten Dank an Euch. Ich werde das mal testen...

Hallo Forum,
ich würde gerne meinen ISC DHCP gegen Kea DHCP austauschen.

Nun meine Fragen:
1.) Wozu ist der "Control Agent"? Kea scheint ja, auch ohne diesen aktiviert zu haben, zu funktionieren.
2.) Bei den Settings teile ich Kea mit, auf welchen Schnittstellen DHCP gemacht werden soll. Warum trage ich beim Reiter "Subnet" die Schnittstellen-IP und nicht den Netzwerkbereich ein? Also statt 192.168.100.1/24 sondern 192.168.100.0/24?
3.) Wenn ich das so richtig verstanden habe, dann geht Kea davon aus, dass der DNS-Server und das Gateway jeweils die IP-Adresse des Subnets hat?! Wie kann ich Kea andere IP-Adressen mitteilen? Also Gateway z.B. 192.168.1.1 und DNS aber 192.168.1.12?

Ich danke im Voraus für Aufklärung :-).

Hallo nochmal,
ich habe nun in der Phase1 bei der verbindungsaufbauenden OPNsense als lokale IP nun die interne IP der OPNsense eingetragen. Und schwups kommt die Verbindung zustande. Der Tunnel steht nun seit ein paar Tagen.
Könnten die Jungs von Deciso gerne mal mit in die Doku nehmen :-).

Ping geht nun, da ich eine FW-Regel auf der WAN-Schnittstelle gesetzt habe, dass ICMP-Requests durchgelassen werden.Das Problem des Tunnels ist aber immer noch da.
Wenn ich google, dann wird gesagt, dass irgendwo nicht die feste IP eingetragen werden muss, sondern die WAN-IP der aufbauenden OPNsense. Habe aber nicht durchdrungen wo. Wäre das ein Ansatz?

Kurze Ergänzung:
- die aufbauende OPNsense hängt hinter einer FritzBox, also WAN im FritzBox-Netz
- Im Log der aufbauenden OPNsense steht: "error writing to socket: Can't assign requested address"
- Im LAN-Netz der aufbauenden OPNsense kann ich im Internet surfen, jedoch nicht die feste IP der anderen Seite anpingen

Ich habe die Einstellungen auf beiden Seiten nochmal neu gemacht und auf der Seite, die keine feste öffentliche IP hat, den Parameter auf "Start" gestellt und auf der anderen Seite mit der öffentlichen IP auf "None".

Der Tunnel kommt ca. für 30s zustande, bricht dann aber wieder ab. Firewall-Regeln sind gesetzt.

Woran könnte es noch haken?

Hallo Forum,

in der Dokumentation und in Youtube findet man nur Beispiele, wo beide Seiten eine feste IP haben müssen. Damals unter den Legacy-Einstellungen konnte man auch wählen, welche OPNsense den Verbindungsversuch startet. Damit war es möglich an einem Anschluss, der keine feste öffentliche IP hatte dieser Box zu sagen, dass sie den Verbindungsaufbau initiieren sollte.

Wie kann ich es mit den Connections realisieren?

Meinst Du eine ausgehende Regel vom VPN-Netz nach aussen per Port 153?

Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).

Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.

Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.

Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.

Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.

Besten Dank für Hinweise

Gruß
Christoph

Hallo Community,

ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.

Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.

Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.

Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.

Wisst Ihr wie das geht?

Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.


Gruß
Christoph