Messages

1

German - Deutsch / Re: Port-Forward funktioniert nicht

« on: February 24, 2021, 04:24:04 pm »

Es muss doch eine FW Regel auf dem WAN Interface geben, die den Traffic zulassen soll. Dort mal logging einschalten. Du solltest dann definitiv Pakete im Log sehen. Wenn nicht, klemmt es noch anderweitig.

2

German - Deutsch / Re: Port-Forward funktioniert nicht

« on: February 24, 2021, 02:22:07 pm »

Schalt mal das Logging für die relevanten Regeln ein. Bisher sehen wir da nur die Pakete, die die Firewall Richtung Webserver schickt.

3

Virtual private networks / Re: Vpn site to site Opnsense - Ubuntu

« on: February 23, 2021, 01:20:29 pm »

For site to site the client config will hardly do.

But why don't you copy the config file from your OPNsense and reverse the roles before you put it onto your Ubuntu box?

Yes, you're right .

4

Virtual private networks / Re: Vpn site to site Opnsense - Ubuntu

« on: February 23, 2021, 01:12:00 pm »

VPN: OpenVPN: Client Export
is not what you want?

5

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 05:29:35 pm »

Da bin ich leider raus. Keine Ahnung was die Floating Rule da zusätzlich erlaubt. Ich gehe immer noch von asymmetrischen Routing aus.
Dein Netzwerkplan zeigt leider nur die eine Seite.

6

Virtual private networks / Re: OpenVPN Client und Port-Forwarding out

« on: February 22, 2021, 05:24:15 pm »

Warum so kompliziert?

Man könnte natürlich einen Port-Forward einrichten vom OpenVPN Netz komment und dann auf den externen SSH Server weiterleiten.

Alternativ (was ich schöner finde) wäre es sinnvoller dem Client einfach die Route mitzuteilen. Also z.B. 1.1.1.1/32 soll durch den OpenVPN Tunnel durch. Dann das OpenVPN Netz in die Outbound NAT Regel vom WAN integrieren und fertig.

7

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 04:57:59 pm »

route gesetzt,

sollte es nicht "Routen gesetzt" heißen? Brauchst Du die nicht auf beiden Seiten?

8

German - Deutsch / Re: "Wireguard für alle" ... per OPNSense realisierbar?

« on: February 22, 2021, 04:55:29 pm »

Hallo pmhausen,
da gebe ich Dir Recht. Deshalb würde ich auch WireGuard nur verwenden, wenn für jeden User ein extra Key generiert wird - sehr aufwendig.

Genau das war doch die Ursprungsfrage. Also aktuell klares NEIN

9

German - Deutsch / Re: "Wireguard für alle" ... per OPNSense realisierbar?

« on: February 22, 2021, 04:52:19 pm »

Hallo pmhause,
nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe.
Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.

Wenn die WG Verbindung zu dem Zeitpunkt schon steht, ist der Client doch schon im Netzwerk. AD Dienste hin oder her.

10

Virtual private networks / Re: please add tls-crypt option in openvpn

« on: February 22, 2021, 04:50:20 pm »

Try it with

Code: [Select]

ping6 2a0d:2408:512:a::2

11

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 04:37:38 pm »

Ok, also WireGuard Site-to-Site. Klang eher nach Roadwarrior.

Sind die OPNsense auf ihrer jeweiligen Seite der default-gw für das Netz? Wenn nicht, brauchen die Clients oder zumindest deren default-gw eine statische Route ins andere Netz.

12

German - Deutsch / Re: "Wireguard für alle" ... per OPNSense realisierbar?

« on: February 22, 2021, 04:25:41 pm »

PS: finde ich mutig wireguard im unternhemen einzusetzen, mir währe es noch nicht zu früh.
(privat setze ich es ein, aber das ist ja auch eine ganz andere sache)

den Zugang zum heimischen Netz

Dadurch, dass aktuell rein konzeptionell nur die private/public-key Variante existiert, wird das per LDAP eher nix.

13

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 02:41:20 pm »

Ich verstehe nicht, wozu Du die NAT Regel brauchst. Wegen was für einem Endpunkt?

Erstell doch vielleicht mal einen Netzplan. Dann verstehen wir vielleicht eher was Du vorhast:
https://forum.opnsense.org/index.php?topic=7216.0

14

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 11:18:28 am »

Habe eben nochmal nachgeschaut. Bei mir läuft das aktuell sogar mit Regeln auf dem zugewiesenen Interface.

Ohne die Floating Regel siehst Du keinen Block? Was hat es mit der Block Regel in Floating auf sich?


Für ausgehendes NAT musst Du die existierende Regel auf dem WAN Interface die richtigen Quell-Adressen hinzufügen.

15

German - Deutsch / Re: wireguard rdp nur mit floating regel

« on: February 22, 2021, 10:53:51 am »

Warum NAT auf dem WireGuard Interface?

Bei mir funktioniert das alles prima. Legst Du die Regeln auf der WireGuard-Gruppe an oder hast Du ein Interface zugewiesen? Wenn Du die Regeln dort anlegst, kann es zu Reply-To-Problemen kommen. Versuch es sonst mal im Gruppen-Interface.