Messages

Hallo,

ich muss jetzt erstmal die Sense neu aufsetzen, da ich, warum auch immer, keinen Zugriff mehr habe.

Bei mir läuft AGH auf der Sense und lauscht somit auf allen Interfaces, daher brauche ich keine entsprechende Weitereleitung.

Bei mir läuft AGH auch direkt auf der Sense, allerdings musste ich beim Setup eine Schnittstelle angeben. Da habe ich bei mir die VLAN-Schnittstelle im Management VLAN ausgewählt. Eine Option zum "Abdecken" aller Interfaces ist mir da nicht aufgefallen. Wie hast Du das hinbekommen ?

In Deinem Konstrukt, sofern ich es richtig überblicke, brauchst Du später eine Regel vor der Regel, die alles aus dem VLAN an das VPN Gateway routet, die die DNS Anfragen an AGH routet, sofern gewünscht ist, dass AGH das macht.

Über diesen Beitrag (https://forum.opnsense.org/index.php?topic=22162.135) bin ich auf das Thema aufmerksam geworden. In Post #142 sind zwei Links aufgeführt, wo man Infos zum Weiterleiten der DNS-Abfragen bekommt.

Falls es natürlich eine einfachere Möglichkeit gibt, würde ich mich freuen, darüber etwas zu erfahren.

Das Problem was Du hast ist ja aber schon viel früher angesiedelt. Der Name um die VPN Verbindung herstellen zu können muss für die Sense aufgelöst werden, da hat weder das VLAN noch das VPN selbst etwas mit zu tun. Die Sense erreicht offensichtlich Dein AGH nicht und kann daher keine Namen auflösen, das dürfte dann aber immer und für alle Anfragen zutreffen, nach dem was Du jetzt geschrieben hast, funktioniert das aber?!?!

Nur unter Unbound. Mit AGH funktioniert es nicht.

Die Sense muss auch gar nicht zwingend AGH für DNS nehmen, hast Du unter System/Settings/General denn DNS Server angegeben? Diese würde die Sense dann selbst für die Auflösung verwenden, damit wird dann auch die Adresse für den VPN Verbindungsaufbau aufgelöst, alle anderen Geräte können dann ja immer noch an AGH geleitet werden.

Bei den VLANs, welche über NordVPN gerötet werden, stelle ich die DNS-Server-IPs über den DHCP Server zur Verfügung.
Aus diesem Grund habe ich in System -> Settings -> General auch noch keine DNS-Server eingetragen. Das muss ich noch machen, sobald ich die Sense wieder am Laufen habe.

Es funktioniert mit AGH, sobald ich eine DNS-Weiterleitung der DNS-Server-IP aus den anderen VLANS heraus auf das Management VLAN vornehme, in welchem AGH jetzt liegt.

Wie hast Du das gelöst ?

:o als VPN Client sollte eigentlich die Sense sein. Hier hast du das doch auch alles eingerichtet, oder nicht? Auf den anderen Geräten im VLAN brauchst du dann gar nichts einrichten und dich zu keinem VPN verbinden, das routet dann doch alles die Sense. Das ist doch der Clou dabei...

Ja, natürlich. Ich meine auch den OpenVPN-Client auf der Sense. Dort steht im Log folgendes:

2023-07-29T14:34:23   Error   openvpn_client1   RESOLVE: Cannot resolve host address: de640.nordvpn.com:1194 (Name does not resolve)

Interessant ist dabei, dass die Verbindung klappt, wenn ich die Sense neu hochfahre. Versuche ich danach einen Reconnect, so bekomme ich diese Fehlermeldung im OpenVPN Log File angezeigt.
Wie geschrieben, mit Unbound scheint es zu klappen, mit AGH nicht. Das mag natürlich auch daran liegen, dass AGH auf einer festen IP in einem anderen Subnetz liegt.

Der VPN-Client baut doch die Verbindung zu NordVPN auf. Dabei gibt man in den Einstellungen des VPN-Clients die Adresse des NordVPN Servers (z.B. de840.nordvpn.com) an. Meine Vermutung hierbei ist, dass diese Adresse beim Verbindungsaufbau nicht aufgelöst wird.

Sobald die Verbindung steht, soll jedes in diesem VLAN verbundene Gerät über das VPN geroutet werden. Dann müssen die DNS-Anfragen über die NordVPN DNS-Server erfolgen

@tiermutter: Wie hast Du das eigentlich mit Adguard Home und VLANs gelöst ?

Ich habe jetzt Adguard Home installiert und Unbound deaktiviert (AGH läuft entsprechend über Port 53). Mit diesen Einstellungen kann sich der VPN Client im VLAN22 nicht mehr bei NordVPN anmelden (keine DNS-Auflösung für die VPN-Server-Adresse von NordVPN).
Deaktiviere ich Adguard und aktiviere Unbound, dann funktioniert es.

Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.

Ok, dann werde ich es so einmal versuchen.

So würde ich das machen.

Dann werde ich das auch so versuchen.

Wie wär's, Du gibt dem entsprechenden VLAN von Anfang an kein IPv6?

Perfekt, so werde ich es konfigurieren.

Mal sehen, was am Ende dabei herum kommt ;-)

[auf]

Kann man nicht. Nutze auf allen Hosts, die über das VPN rausgehen sollen, einen öffentlichen DNS Service, z.B. den von Nord, und nicht die Sense.

Vielen Dank für den Hinweis.

Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).

Hier könnte ich aber auch das entsprechende VLAN-Interface anstelle von "any" angeben. Dann wäre es an das entsprechende VLAN gebunden, oder ?

Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.
Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.

Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:

Könnte man hier auch IPv6 für das entsprechende VLAN selektiv blocken ?

Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?
Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.

Ja, alle Geräte, welche durch das VPN auf das Internet zugreifen, sollen die NordVPN DNS Server verwenden. Alle anderen Geräte sollen z.B. über die Google DNS Server oder ähnliches laufen.

Danke Dir für die Rückmeldung. Das mit den Aliasen hatte ich gelesen, war mir aber nicht sicher, ob das "ausreicht".

Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?

Das bringt mich auch noch zu einer weiteren Frage. Bei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

Hallo,

ich habe gerade einen VPN Client in OPNSense für NordVPN, gemäß NordVPN Webseite, eingerichtet. Dabei wird aber der gesamte Datenverkehr über diesen VPN Client geleitet, so ich das richtig verstehe.
Ich möchte es aber so konfigurieren, dass nur Clients aus einem bestimmten VLAN über NordVPN auf das Internet zugreifen.
Weiterhin möchte ich noch einen zweiten VPN Client für NordVPN anlegen, der den Zugriff aus einem anderen Land (konkret USA, da ich dort auf verschiedene Geschäftswebseiten nur per US IP zugreifen kann) simuliert. Auch hier soll nur ein bestimmtes VLAN über diesen zweiten NordVPN Zugang auf das Internet zugreifen.

Die restlichen VLANs sollen ohne VPN auf das Internet zugreifen können.

Wie könnte man dies denn bewerkstelligen ? Hat da vielleicht jemand einen Tipp für mich ?

Wenn die OPNsense ein Router für Geräte im VLAN ist, musst du keine Gateways anlegen. Aber natürlich per DHCP den Geräten die OPNsense als Router mitteilen.

Perfekt. Vielen Dank für die Erklärung.

Ok, warum auch immer, jetzt hat alles funktioniert. Sowohl mit VLAN 1 tagged als auch untagged. Vielen Dank nochmal für die Hilfe.

Wie sieht es denn jetzt mit den Gateways aus. Muss ich da jeweils einen für die verschiedenen VLANs anlegen ?

Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.

Danke für die Infos.

VLAN 1 mit Tag 1 hatte ich schon einmal, habe aber möglicherweise vergessen, am Cisco auf Untagged für VLAN 1 zu stellen. Das werde ich gleich nochmal testen.

Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.

Das hatte ich probiert, habe aber keine IP im Cisco für untagged VLAN 1 bekommen.

Das ist das lagg Interface selbst. Du solltest auf OPNsense aber tagged und untagged nicht mischen. Sag dem Switch, er soll auf dem lagg + Trunk das VLAN 1 auch getagged liefern. Bei einem Cisco Switch könnte man dazu z.B. "switchport trunk native vlan 999" konfigurieren und das VLAN 999 einfach nirgends benutzen.

Ich habe jetzt auf dem lagg die statische IP-Adresse als 192.168.1.1 angegeben und den DHCP-Server für den entsprechenden Adressbereich konfiguriert.

Am Cisco Switch habe ich im LAGG Uplink VLAN 1 als tagged eingestellt.

Trotzdem bekomme ich keine IP-Adresse für VLAN 1 auf dem Cisco Switch.

Wobei ich in OPNSense jetzt kein explizites VLAN 1 definiert habe.

@pmhausen: Vielen Dank für die Info, Patrick. So (mit externem Switch) habe ich das jetzt auch aufgesetzt.

Kann mir jetzt vielleicht noch jemand auf die Sprünge helfen, woher ich das untagged VLAN 1 aus OPNSense herbekomme, um es auf lagg1 zusammen mit den tagged VLAN 10, 20... auszugeben ?
Denn das ist das Einzige, was derzeit bei mir noch nicht funktioniert.

VG,

Christian

Ich hab selber nur einen Unifi-Switch per LACP an der OPNSense hängen und da nur die VLAN drauf.

So mache ich es jetzt auch. Allerdings mit einem Zyxel L2-Switch.

Hast Du das Default VLAN in OPNSense explizit als VLAN definiert oder ist dieses, wie auch immer, schon inkl. zugehörigem DHCP-Server standardmäßig vorhanden.
Ich bin gerade am Überlegen, meine Einstellungen für das Default VLAN (bei mir VLAN 1) zu löschen, um zu sehen, ob der Zyxel Switch dann eine IP zugewiesen bekommt. Mit von mir explizit eingerichtetem VLAN 1 funktioniert das beim Zyxel Switch nicht.