Messages

Herzlichen Dank, das war alles sehr hilfreich. Für den weiteren Test habe ich auf meinem Wireguard-Server Test-NuC noch DNSmasq installiert,
auf der Fritzbox den DHCP-Server ausgeschaltet, die DNS Queries, die mein Windows AD (Firma "Site A") auflösen muss weitergeleitet und schon funktioniert das Ganze. Ich bin begeistert! Auf OPNsense muss das dann genauso umzusetzten sein, komfortabler sogar, da über WebGUI.
Ob ich mich mal an das Fritzbox Tool ranwage... mal sehen. Jedenfalls bleiben die Teile erst mal bestehen, weil in den Einrichtungen auch die Telefonie drüber läuft.

Tatsächlich haben wir ursprünlich den Plan verfolgt, den integrierten Wireguard der Fritzbox zu nutzen. Für meinen Proof of Concept hat man mir eine 7590AX ausgeborgt, die das Site2Site mit meiner Opnsense in der Firma anstandslos gemacht hat, mit der Einschränkung, dass ich in der Fritzbox nur ein Netzwerksegment angeben konnte. Eine wg. conf selbst hochladen, hat nicht gefunzt, vermutlich habe ich was falsch gemacht.
In der einen Lokation ist eine FB 7490, die bei der WG Konfiguration eine Fehlermeldung ausgeworfen hat: Es ist ein Fehler aufgetreten. Toll!
Die FB in der 2. Lokation ist etwas älter und kann überhaupt kein WG. Firewaren sind jeweils aktuell.
Jetzt könnte man versuchen, ob man das über IpSec gebacken bekommt, aber irgendwie sind mir die Dinger zu unflexibel.

Natürlich kostet ein Mini-PC mit OPNSense nicht die Welt, aber bei den knappen Kassen der öffentlich Hand wollten wir erst mal keinen Invest tätigen.

Ich werde erst mal den Weg über den NuC gehen. Hauptsache ist, es funktioniert erst mal :-)

Super, das bringt mich in die richtige Richtung. Das Prinzip habe ich verstanden.
Tatsächlich ist es so, dass ich nicht an allen Standorten OPNSensen habe. In den Feuerwehrhäusern und KiTas steht z.B. nur eine Fritzbox.
Für eine handvoll Clients überall OPNsensen hinzustellen, wäre auch mit Kanonen auf Spatzen geschossen.
Da die Kommune ein elektronisches Schließsystem hat (ein Updater-Leser kommuniziert mit einem zentralen Server) und dafür ist ebefalls Site2Site notwendig.
Das habe ich wie folgt gelöst: Debian + Wireguard auf einen Nuc installiert, Portweiterleitung von UDP 51820 auf den NuC, statische Route für das Zielnetz am Hauptstandort in der Fritte eingetragen. Testweise habe ich PiHole installiert, weil mir irgendwann klar wurde, dass ich einen DNS brauche.
Das Zielnetz von Site A (in dem Fall Homelab -> Firma) löst auch auf. Beim Zugriff auf meine Laufwerksfreigaben, bekomme ich allerdings eine seltsame Fehlermeldung von Windows (Freigabe existiert schon oder sowas ähnliches). Vermutlich muss ich den DHCP auf der Fritte ausschalten und vom NuC aus machen, sprich Kea + DNSCrypt oder Bind drauf. Ich bin gespannt :-)

Genau so, wie du das beschreibst (jede Site unabhängig) möchte ich das einrichten.
Alles zentral ist mir "zu heiß".

Mit der Einrichtung lokaler DNS-Zonen habe ich keine Erfahrung. Macht man das in Unbound?
Zumindest habe ich dort das mit den Forward Queries gesehen.
Kannst du mir ein konrektes Beipiel geben?

Hallo zusammen,

aktuell stehe ich vor der Herausforderung, mehrere Außenstandorte über Wireguard Site2Site (WG S2S) Verbindungen mit dem "Headquater" zu verbinden.
Das "Headquarter" ist eine öffentliche Verwaltung (ca. 8000 Einwohner). Zur Gemeindeverwaltung gehören mehrere Schulen, Feuerwehren, KiTas usw.
Eines der Ziele ist es, z.B. die Windows-Clients der Außenstandorte an die zentralen Windows ADs anzubinden (für GPOs, WSUS etc.)
Die Opnsense in der Verwaltung habe ich auf einem Supermicro 1019D-FRN8TP, Xeon D-2146NT, ZFS gespiegelte SSDs, redundanten Netzteilen aufgesetzt.
Glasfaseranschluss aktuell 600Mbit. Alle Außenstandorte bekommen nach und nach Glasfaseranschlüsse. Zu einem späteren Zeitpunkt wollen wir in der Verwaltung mit einer zweiten Sense (ggf. als VM auf Proxmox Ceph Cluster) ein HA-Setup bauen.

Bevor ich etwas ausrolle, teste ich vorher von meiner Homelab-Umgebung zu unserer Firma.

Die erste Hürde, das S2S an sich aufzusetzten, war schnell genommen.
Ich erreiche von Site A aus alle Hosts über die IP Adresse von Site B und vice versa.

Nur leider funktionierte die Namensauflösung nicht. Wie auch, ich muss ja der Sense von Site B irgendwie beibringen,
wo die Namensauflösung für Site A stattfinden soll. Ein pragmatischer Ansatz war, den DNS von Site A einfach über DHCP zu verteilen.
Die Namensauflösung funktionert, aber wirklich charmant finde ich das nicht.

Auf der Suche nach der Lösung habe ich verschiedene Ansätze gefunden (sicherlich gibt es mehrere).
- "Full Tunnel" (gesamten Datenverkehr von Site B über A routen. Über NAT Outbound Regel für das Netz von Site B, damit ins Internet geroutet wird.
- Query Forwarding

Kurzum: Wenn mich hier jemand in die richtige Richtung stoßen könnte, wäre ich sehr dankbar.

Falls jemand das ganze Setup an sich nicht gut findet, haut's einfach raus. Ich bin lern- und kritikfähig.

Setting up pihole was generally a good idea but in a setup, I checked out just for learning purposes.
On site A, I have an opnsense firewall, on site b, a wireguard server behind a router/modem.
After setting up pihole on this wireguard server, I was able to resolve the hostname from site A.
Nevertheless, I was not able to connect to windows AD. I don't know, what is blocking the connection.

In my other scenario where I connect to opnsenses, I thinks that dns resolution for both sites can be done in the opnsenses without installing addtional things.
I am not able to find the right firewall or whatever settings so that site a is able to resolve the hostname from site be an vice versa.

This was a good hint to check for the routing table.
The solution was pretty simple. On my proxmox cluster, there was a VLAN with the same subnet as my home network.
Twice the same subnet is not a good idea.
And the Windows laptop I was unable to ping, was due to Windows Defender firewall settings.
The only challenge I have is, who to get host name resolved from site B when accessing site A.

I sucessfully established a WG Site2Site tunnel between my "homelab opnsense" and my "company opnsense".
A really strange thing is, that I can't ping certain hosts although they are in the range of the allowed ip's.
On site A, I have 10.0.100.0/24 subnet on site B a 192.168.1.0/24 subnet.
From site A, I can ping my Windows DC on 192.168.1.10 and access it via RDP, but I can't ping my windows laptop on 192.168.1.192.
From site B, I can reach everything on the "allowed ip's" subnet, but I can't ping or access my proxmox cluster on 10.0.100.2 and 10.0.100.3 via the web gui.
The bad thing is, I don't how to resolve this issue.

I am happy for any hints.

I just have configured a wireguard site to site tunnel between two OPNSenses and I also followed the official howto.
In my setup, I have 2 WG interfaces, one for the Clients to "dial in" and the other one for the Site-to-Site connection.
You have to create a WG interface for each instance and enable it, if not, it won't work.

Wie so oft sitzt das Problem vor dem Rechner. Natürlich muss man jeder weiteren OpenVPN-Instanz ein Interface zuweisen und eine Firewall Regel erstellen, sonst spielt da nicht. Ob das mit meiner "any to any" Regel auf meinem "UserVPN-Interface" richtig ist, sei mal dahin gestellt. Zumindest tut es so und die User könnne keine der Management Oberflächen von meinem MGMT VLAN aufrufen.

Danke für die hilfreichen Tipps. Eine zweite OpenVPN Instanz war schnell angelegt. Ich habe dazu einfach meine "Admin"-Instanz geklont und die Netzwerksegmente zugewiesen, die für die User vorgesehen sind. Die entsprechenden Netze kann ich ohne weiteres pingen, aber irgendwas ist falsch.
Der mit OpenVPN verbundene Client geht nicht "ins Internet" und ich kann mich auch nicht per RDP zu einem der "erlaubten" Server verbinden :-(

Hallo zusammen,

seit ca. 2 Jahren befasse ich mich mit OPNSense. In meinem Homelab verprobe ich das, was ich später in unserer kleinen Firma ausrolle.
Aktuell migriere ich eine kleine kommunale Verwaltung von Sophos UTM9 nach OPNSense.
Natürlich sollen die Verwaltungsmitarbeiter von zu Hause aus über VPN arbeiten können. Meine Herausforderung ist, dass ich über OpenVPN sowohl einen Zugriff auf mein Management-Netz (Server, Switches, AccessPoints usw.) haben möchte, aber zugleich einen Zugriff auf mein "User-Vlan" möglich sein muss. Die User möchte ich nicht in den IP-Adress-Bereich meines Mgmt-VLANs lassen.
Ich habe das so gelöst, dass ich zwei Instanzen (Instances) anlegt habe. Über die eine Instanz greife ich auf die Mgmt-Netze zu, die andere ist auf den IP-Adress-Bereich meines User-Vlans beschränkt.

Meine Frage ist: Macht man da so? Ist das "best pratice"? Oder gibt es andere Möglichkeiten?
Trotz intensiver Recherche im Web habe ich nichts brauchbares gefunden.

Danke für euren Input.

Hi, I tried to create a PowerShell script as Cedrik suggested, but I struggle.
As I never worked with the API commands before, I read the API documentation and did some exercises.
For testing purposes, I created a bash script with a curl command:

API_KEY="my Api key"
API_SECRET="my api secret"

# Base64 encode credentials
ENCODED_CREDENTIALS=$(echo -n "$API_KEY:$API_SECRET" | base64)

curl -k -v "https://opnsense-ip/api/auth/user/add" \
  -u "$API_KEY:$API_SECRET" \
  -H "Content-Type: application/json" \
  -d '{
        "username": "test",
        "password": "securepassword123",
        "group_memberships": ["admins"]
      }'

but this returns a "failed" message.

My intention is to enable the MS AD users for OpenVPN and of course it would be great if I delete one AD user,
the OpenVPN "dial in" for this user is deleted as well. Perhaps I am completely on the wrong track.
I am happy for any kind of hints.

Diese Übersicht habe ich mir auch angeschaut. Für ausgehenden Datenverkehr ist bei mir eigentlich alles erlaubt, so dass ich da keinen Handlungsbedarf für Firewall-Regeln gesehen habe.
Ob ich für eingehenden Datenverkehr was von diesen Ports explizit freigeben muss, hat sich mir auch nicht erschlossen.

Falls ich da falsch liege, bitte Info.

@BassT23
Same issue. Domain hosted at Strato. http-challenge not working.
@fraenki
Strato does not support any "automatic" dns-01 challenge.
You have to enter an TXT entry manually every 3 month when renewing the LE Certificates.