Messages

1

German - Deutsch / Re: RDS FARM NAT

« on: September 19, 2023, 10:14:35 pm »

Den Gedanken hatte ich auch schon. Aber es ins gesamt 3 User die darüber kommen. Alle anderen Intern + Zerotier VPN gehen immer perfekt.

Was mich wundert, ich sehe am RD das er auf Server 1 mich schieben will aber im Livelog der Sense sehe ich er geht auf Server 2 los und das verstehe ich nicht.

2

German - Deutsch / Re: RDS FARM NAT

« on: September 19, 2023, 08:49:31 pm »

Mist zu früh gefreut, war Zufall das er immer auf richtige raus gekommen ist.
Ich stehe gerade völlig auf Schlauch, warum der nicht auf die verschiedenen RDP Server nicht verbindet?
Laut Livelog kommt connection zustande aber es läuft dann in einen Timeout.

3

German - Deutsch / Re: RDS FARM NAT

« on: September 14, 2023, 09:16:37 pm »

Nachtrag, habe es zum laufen gebracht.
In den Alias habe ich in der Hosts statt der IP die davor definierten TS1-3 als Objekt eingefügt und dann ging es.

4

German - Deutsch / RDS FARM NAT

« on: September 14, 2023, 06:04:43 pm »

HI,

vielleicht kann mir jemand einen Tip geben.
Folgende Konstellation.
RDS Server: 192.168.0.10
TS1: 192.168.0.5
TS2: 192.168.0.6
TS3: 192.168.0.7
Eingehend kommt über IPSEC.
Die Nat Regel sieht wie folgt aus.

Schnittstelle: IPSEC
Protokoll: TCP/UDP
Quelle 93.122.71.32/27
Ziel: jegliche -> Das verstehe ich auch nicht, ich möchte das er nur ins LAN schaut aber wenn ich das mache geht nix mehr.
ZielPortbereich: 3389
Ziel Alias RDS Server 192.168.0.10
Zielport: 3389

wenn ich nun aus dem Ipsec Netz komme dann sehe ich im Log das er sich mit 192.168.0.10:3389 verbindet und grün ist. Es kommt auch der Anmelde Login dann versucht er zu verbinden es kommt auch kurz es wird Konfiguriert dann bricht er ab. Im RDS steht das er ihn gerne auf einen TS1-3 weiter geben will.
Es kommt kein Fehler in Log der Firewall aber es geht nicht.
Es sieht so aus als würde er in der Firewall den Umschwung zu den TS nicht machen.
Im Alias habe ich schon einiges probiert, neben den RDS auch die TS Server.
Ein Netzwerkgruppe auch kein Erfolg.
Bin gerade etwas ratlos.

hat einer eine Idee wie man das lösen kann?

Gruß Mario

5

German - Deutsch / Re: IpSec Netze Logisch trennen

« on: June 29, 2023, 01:06:28 am »

HI,

der Schlüsseltausch in der Phase 2 steuert die Netze?
Ich gebe doch in der Fase 2 das Zielnetz ein. Dadurch wird ja die Route dorthin gesetzt.
Wenn ich nun einen 2 IpSec einrichte, wird zwar ein anderes Netz als Ziel angeben und somit die Route dorthin.
Aber nun sehen sich doch beide Netze? Oder liegt ich da falsch?

Problem ist in den Firewall Regeln kann ich ja nicht sagen wenn Du von Tunnel 1 kommst dann die Regel wenn du vom 2 Tunnel kommst dann nimm die Regel.

Gruß Mario

6

German - Deutsch / IpSec Netze Logisch trennen

« on: June 28, 2023, 10:51:15 pm »

HI,

habe folgendes Problem, ich muss mehrere Ipsec Netze anbinden. Da die IpSec Netze nicht wie bei Zerotier als getrennte Netze laufen, würden sich ja alle Netze Untereinander sehen das möchte ich nicht.
Gibt es eine Möglichkeit die verschiedenen Netze zu segmentieren?

Gruß Mario

7

German - Deutsch / Re: OpnVPN Layer 2 Site to Site

« on: April 10, 2022, 05:54:26 pm »

Mit Softether ging es in 5 Minuten und macht genau was es machen soll.
Ist auch ein Layer 2 Netzwerk.

Gruß Mario

8

German - Deutsch / Re: OpnVPN Layer 2 Site to Site

« on: April 08, 2022, 10:26:45 am »

HI,

ja ich weiß, wollte halt layer 2 nehmen damit der IPSec tunnel den der nachgelagerte Router aufbaut nicht verändert wird. Da ich nur einen Versuch habe, sobald der Anbieter den VPN anpasst kommen die selbst nicht mehr drauf. Und dann ist das Ding brickt und kostet richtig Kohle den wieder zu fixen.
Ich verstehe halt nur nicht warum geht es mit LAN ohne Probleme geht aber sobald ich den Port aus dem Internet nehme will er nicht.
VXlan habe ich gelesen aber 0 Ahnung noch nie gebraucht.

Gruß Mario

9

German - Deutsch / Re: OpnVPN Layer 2 Site to Site

« on: April 08, 2022, 12:23:34 am »

HI,

es geht nur Layer 2 da ich auf dem nachgelagerten Router der auf der 2 Seite keinen Zugriff habe und dort nur öffentlichen IP Adresse Eingetragen werden. Das mache nicht ich sondern der Anbieter des VPN Routers.
Da über diesen Tunnel kaum Daten laufen ist das mit der Performance egal.
Man kann sich es so vorstellen, als würde man den nachgelagerten Router direkt ins Internet Stecken mit den 2 öffentlichen IPAdressen. Habe das Bild noch etwas genauer Beschrieben.

Gruß Mario

10

German - Deutsch / OpnVPN Layer 2 Site to Site

« on: April 07, 2022, 11:57:27 pm »

Hi,

vielleicht hat jemand eine Idee für mich.
Folgende Ausganglage 2x Opnsense per TAP Openvpn verbunden und per Bridge mit 2 Physikalischen Lanports verbunden. Ich möchte nun auf der 2 End Seite einen VPN Router hängen der 2 öffentlich Ip Adresse eingetragen hat und diese auf der ersten Seite über den Lanport in Internet bringt also sozusagen ich möchte wie ein ewig langes Netzwerkkabel. Leider bekomme ich keine Daten durch. Wenn ich auf der ersten Seite den Lan zu testen nehme kommt auf der 2 alles an. Bin da gerade etwas ratlos?

Gruß Mario



 

11

German - Deutsch / Re: WG Side to Side kann eine IP Adresse nicht erreichen

« on: December 01, 2021, 05:47:01 pm »

Yes habe ich, wie gesagt es geht alles. Nur diese einzige IP lässt sich nicht anpingen.
Und auch die Route hört nach dem VPN Tunnel einfach aus.
10.0.0.2 ist die Endadresse des VPN

Das ist Side A
# /usr/sbin/traceroute -w 2 -n  -m '10'  '53.102.173.2'
traceroute to 53.102.173.2 (53.102.173.2), 10 hops max, 40 byte packets
 1  10.0.0.2  33.243 ms  21.516 ms  19.370 ms
 2  * * *

Und hier eine andere Adresse im Netz
# /usr/sbin/traceroute -w 2 -n  -m '10'  '53.102.173.72'
traceroute to 53.102.173.72 (53.102.173.72), 10 hops max, 40 byte packets
 1  10.0.0.2  20.656 ms  20.339 ms  27.690 ms
 2  53.102.173.72  24.015 ms  20.956 ms  19.560 ms

12

German - Deutsch / Re: Telefonanlage an anderes Gateway weiterleiten

« on: December 01, 2021, 08:19:02 am »

Genau, durch die Ausgehende Regel wird dann alles über wan geschickt.

Gruß mario

13

German - Deutsch / Re: Telefonanlage an anderes Gateway weiterleiten

« on: December 01, 2021, 01:40:21 am »

HI,

welche TK?
Wahrscheinlich musst Du bei Ausgehend Nat eine Statische Regel einfügen.
Ist z.B. bei 3cx so sonst geht da nix.

Gruß Mario

14

German - Deutsch / WG Side to Side kann eine IP Adresse nicht erreichen

« on: December 01, 2021, 01:35:02 am »

Hi,

habe gerade ein Hirn Blockade :-(
Habe mit WG 2 Opnsense Side to Side verbunden, ich kann bis auf eine IP Adresse auf beiden Seiden alles andere ohne Probleme erreichen und es geht alles.
Side A 53.102.159.0 Side B 53.102.173.0
Ja ich weiß sind öffentlich Adressen, ist leider so und hat auch einen Hintergrund.
In Side B steht ein spezieller Router der hat die 53.102.173.2.
Ich kann einfach nicht von der Side A den Router 53.102.172.2 erreichen, und ich verstehe nicht warum.
Laut Liveansicht wird nix geblockt. Beim Tracert kommt nach der Tunneladresse nix mehr.
Ich verstehe nicht wo mein Fehler liegt :-(

Gruß Mario

15

German - Deutsch / Lets Encrypt nutzt falschen herausgeber für R3

« on: September 30, 2021, 01:26:17 am »

HI,

vielleicht hat jemand ein Tip für mich bin gerade etwas überfragt.
Bei Lets Encrypt wurde ja zum 29.9.21 ein altes R3 Zertifikat abgeschalten.
Das hat ja zu folge das die Zertifikatskette nicht mehr stimmt.
Ich dachte da ich schön brav alle Update drauf habe passiert mir nix.
Habe auch gesehen das aus Lets Enrypt der Acme Client wurde.

Leider war dem nicht so, die Zertifikate werden nun angemault als nicht mehr Vertrauenswürdig.
Wenn ich ich mir unter Sicherheit die Zertifikate anschaue dann werden die immer noch mit R3 Lets Encrypt mit dem abgelaufenen Zertifikat ausgestellt beim neuen R3 Acme Client kein einziges. Wie schaffe ich es nun das er auf den Acme umschwenkt? Ich finde keine Einstellung die das auslöst?
Bin da echt etwas irritiert.

Ha da einer eine Idee?

Gruß Mario

Konnte es doch lösen, man muss erst das alte Zertifikat R3 löschen und dann die Zertifikate neu erstellen. Naja hätte man schon geschickter lösen können.

Gruß Mario

Zusatz man muss noch im Ha Proxy die Zertifikate im öffentlichen Pool neu hinzufügen.