Messages

[Default deny rule]

Hallo,

die Regel Default deny rule gibt es nicht sichtbar.
Das sagt einfach, dass keine der Regeln gepasst hat und per Default dann ein Deny ausgeführt wird.

Poste die Meldung der Firewall doch mal.

Wie ist die OPNsense mit der FritzBox verbunden - mit der WAN- oder LAN-Schnittstelle?

Und ggf. kannst Du einen Screenshot deiner Port forwarding Regel hier einfügen, damit man alle Parameter sieht, die Du angewendet hast (Deine Auswahl bei Interface z.B: ist auch interessant zu wissen).

Achso. Jetzt glaube ich hab ich es verstanden.
Der Raspberry baut den VPN-Tunnel.

(PC)---(LAN/OPNsense)--(Raspberry)====(VPN Gegenseite)---(SSH Server)

Ist der Raspberry an LAN oder WAN an der OPNsense angeschlossen?

Ggf. kannst Du ja mal eine Skizze mit IP-Adressen machen.

Hallo,

du legst normalerweise für beide Netze (LAN und IPSec) eine Firewallregel an.
Siehe meine Anhänge.

Hier wird in beiden Richtungen alles Erlaubt.
Wenn Du das einschränken willst musst Du die entsprechenden Ports angeben.

Hallo,

bei mir klappt das wunderbar ohne Port forwarding.
Habe auch keine Gesprächsabbrüche.

So lange sich hier nichts Gegenteiliges abzeichnet bleibt das auch so.
Denn ein Port forwarding bedeutet auch, den bösen Jungs im Internet Angriffsfläche zu bieten.

[Filter rule association]

Hallo,

hatte auch das Problem.

Die Lösung war, beim Anlegen oder Ändern der NAT PortForwarding-Regel unten bei Filter rule association die Option Pass auswählen.

Dann ging es.

An die Spezialisten:
Warum ist das so?
Standardmäßig, wenn man nicht Pass auswählt legt er brav eine Firewall Regel an, die m.E. auch Sinnig wäre. Aber dann geht das port forwarding nicht. *achselzück*

Hallo,

wenn Du auf manuel umstellst wird aufgrund fehlender Regeln kein NAT durchgeführt.

Und deine interne IP-Adresse wie 192.168.1.100 kennt das Internet nicht. Daher kommt auch nichts mehr zurück.
Deswegen sind die anderen NAT-Einträge von meinem Screenshot manuel hinzugefügt worden.
Bsp: 192.168.128.0/24 für mein LAN und 192.168.129.0/24 für meine Kinder sowie die 127.0.0.1 für die OPNsense selbst.

Wichtig ist, dass die erste Regel für die FritzBox tatsächlich auf die IP-Adresse der LAN1 der FritzBox geht, da die das als WAN-Schnittstelle hat. Stimmt die nicht, hörst Du Dein Gegenüber nicht und umgekehrt.

[OPNsense 18.1.2_2-amd64]

Hello,

i use OPNsense 18.1.2_2-amd64 / FreeBSD 11.1-RELEASE-p6 / OpenSSL 1.0.2n 7 Dec 2017

My security audit say:

Code Select Expand


***GOT REQUEST TO AUDIT SECURITY***
Fetching vuln.xml.bz2: .......... done
squid-3.5.27_2 is vulnerable:
squid -- Vulnerable to Denial of Service attack
CVE: CVE-2018-1000027
CVE: CVE-2018-1000024
WWW: https://vuxml.FreeBSD.org/freebsd/d5b6d151-1887-11e8-94f7-9c5c8e75236a.html

1 problem(s) in the installed packages found.
***DONE***


Is there any timeline to fix it?

Thanks.

[Firewall > Rules > Floating]

Hallo,

vom Bauch raus würde ich sagen, dass sollte über Firewall > Rules > Floating einzustellen sein.

Einfach hinterlegen, welche Dienste (z.B. HTTP/HTTPS) über welche IP-Adresse rausgehen sollen.

Hallo,

wie beschrieben - ich habe nur eine Outgoing-NAT-Regel.
Siehe Anhang.
Ich drück Dir die Daumen. Habe auch schon etliche Nächte mit der OPNsense verbracht.

Hallo,

hatte gleiches Problem.
Bei mir ist es VDSL-Modem --- OPNsense --- Fritzbox 7490.
Habe aber kein Hybrid.

https://forum.opnsense.org/index.php?topic=4712.msg33193#msg33193

[Destination/Invert]

Bei mir war das Probem, dass ich über das Webfrontend der OPNsense ein Gateway angelegt habe und dann die Route.
Das klappte beim speichern der Route bei laufendem Ping etwa 2 Sekunden. Dann ging der Ping nicht mehr.
Ich musste die Route und das Gateway an der OPNsense wieder löschen und dann mit dem Putty wie beschrieben anlegen.
Und schon konnte die OPNsense auf die Gegenseite zugreifen.

Du könntest auch bei deinen NAT-Regeln für den Transparenten Proxy versuchen mit
aktiviertem Destination/Invert und dann als Destination das Netz oder den Webserver angeben.
Das könnte ggf. auch funktionieren.

Nachtrag:
Wegen der 192.168.3.0/24 Route. Die müsste an die Schnittstelle gebunden werden, über die das VPN-Tunnel aufgebaut wird. Der Ping über die OPNsense sollte z.B. dann funktionieren, wenn Du als Source Address die jeweilige Schnittstelle auswählst. Dessen IP-Adresse ist dann in der Route als Gateway zu verwenden.

[Interfaces > Diagnostics > Ping]

Hallo,

wenn Du einen Transparenten Proxy hast, dann muss der Proxy auch auf den Webserver kommen.

Prüfe das mal auf der OPNsense mit dem WebProxy unter Interfaces > Diagnostics > Ping

Lass bei dem Ping die Source Address auf Default.

Wenn der Ping nicht geht, dann musst Du eine Route eintragen.
Die Route konnte ich nur per Putty/SSH eintragen, da vermutlich ein Bug existiert, wenn man selbst ein Gateway und eine Route anlegt.

Ich denke das müsste dann bei der auf de Skizze linken OPNsense eingetragen werden:

Code Select Expand

route add 192.168.3.0/24 192.168.178.2

Dann testen, ob der Ping von der WebProxy-OPNsense auf den Webserver geht.

Hallo,

OPNsense WAN und LAN im selben Netz - wahrscheinlich noch mit 24er-Subnet?
In meinen Augen ein Designfehler - ggf. Konzept überdenken.

Hast Du einen Transparenten Proxy mit NAT-Regeln erstellt?

Was ist wenn Du am Browser eine Proxy-Ausnahme für den Webserver (192.168.3.10) machst?

Hallo,

poste doch mal die Details des Log-Eintrags der Firewall wenn der DENY ausgeführt wird.

Deja vu:

https://forum.opnsense.org/index.php?topic=6677.msg28767#msg28767