Messages

1

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: December 02, 2024, 08:55:38 am »

Zudem habe ich die Firewall-Regeln zunächst auch einmal auf 'default' zurückgesetzt:

Siehe 'Firewall_LAN_Rules.jpg'

Leider kann ich gerade nicht testen, weil die PKI-Abfrage vom Checkpoint Mobile anscheinend nicht über den Squid drüberkommt, weil meine privaten (von der Sense ausgestellten) Certs nicht richtig übernommen werden. Ich muss mir das nochmal angucken....

2

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: December 02, 2024, 08:44:51 am »

Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:

• TCP/443
• UDP/443

Cool, danke dir für die Info! Dann würde ich nach hoffentlich erfolgreicher Migration für mein Arbeitsnotebook Firewall-Regeln mit 'TCP/443' und 'UDP/443' erstellen.

BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:

• Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
• Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück

Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose

Vielen vielen Dank dir für's Reviewen von meinem Thread!
Ich hab das mal folgermaßen abgeändert (bzw. die NAT-Regel erstmal deaktiviert):

Siehe 'Firewall_Outbound_NAT.jpg'

3

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: November 29, 2024, 12:20:03 am »

Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.

Ja, aus dem Gesichtspunkt heraus kann ich die Sichtweise von unserer Security-Abteilung natürlich auch nachvollziehen.

Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?

Dagegen spricht natürlich nichts bis auf das Problem, dass ich nicht weiß, wir ich das in der Sense mache 😇🥴...

Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.

Das wäre natürlich sehr sehr cool 😍

4

German - Deutsch / Multi-WAN für Failover mit OpenWRT Router

« on: November 24, 2024, 12:50:59 am »

Hallo zusammen!

Ich habe einen Vodafone Kabelanschluss und leider mit diesem immer mal wieder Probleme, dass das Internet nicht sauber funktioniert.
Da ich darüber auch von zu Hause aus arbeite, bin ich auf einen stabilen Internetanschluss angewiesen und habe mir daher überlegt, ein "Failover-Setup mittels Multi-WAN" zu realisieren, um bei Internetproblemen über den Kabelanschluss ggf. einen Schwenk auf einen Orange-Pi Zero (v1.5) mit OpenWRT + LTE-Stick durchzuführen und somit weiterarbeiten zu können.

Was muss ich dafür konfigurieren? Hat jemand das schon mit einem OpenWRT eingerichtet?

Über Anregungen bin ich euch dankbar

5

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: November 24, 2024, 12:45:13 am »

Hallo  also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.

Ja, ich liebäugel ja schon mit dem Kauf eines https://shop.wernerelectronic.de/kabelmodem-arris-cm3500.html, wobei ehrlicherweise die 200€ natürlich auch einiges an Geld ist.
Aber zur Zeit ist bei uns leider auch noch nicht in Aussicht, dass wir auf absehbare Zeit einen Glasfaseranschluss bekommen. Von daher werde ich zur Vermeidung des Doppel-NAT vermutlich nicht drum herum kommen.

Wie hast du das bei dir denn gelöst, wenn du Support für deinen Anschluss brauchst?
Dann musst du doch das Provider-Gerät erstmal wieder anstöpseln. oder?

6

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: November 24, 2024, 12:41:49 am »

Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst „IPSec-Passthrough“ unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.

Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.

Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre (arbeite bei ner VW-Konzern-Tochter)......

Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird. 

7

German - Deutsch / Re: Vodafone, Kabel, Bridge-Mode, Gedöns ...

« on: September 16, 2024, 02:41:09 pm »

Hallo,
ich weis nicht ob das für BW auch zutrifft, aber in NRW wurde mir gesagt, eine feste IP gebe es nicht bei Nutzung eigener Hardware.
Die seitens Vodafone zugeschickte Fritzbox war angeblich im Bridge-Mode, die OPNSense dahinter hatte dann im Stundentakt den Kontakt zum Vodafone GW verloren. Ich habe damals vermutet, dass die Fritzbox sich doch immer wieder selbst die feste IP schnappt.
Nach viel hin und her haben wir so eine Station - Box bekommen, die sich über die Vodafone - Seite in den Bridge-Mode schalten ließ und nun zuverlässig funktioniert.

Viel Erfolg

Markus

Oh man, wenn ich das lese, gruselt es mir schon an meinem geplanten Projekt des Umbaus auf ein Kabelmodem (CM3500B), siehe https://forum.opnsense.org/index.php?topic=42658.0

Meine Fritzbox ist nicht im Bridge-Mode und lässt sich nicht auch nicht dahingehend umstellen, da ich einen Business-Vertrag habe. @markusd: Hast du denn im Menü der Fritzbox sehen können, ob Sie wirklich im Bridge-Mode ist?
Da müsste ja normalerweise ein Punkt dazu erscheinen.

8

German - Deutsch / Re: Vodafone, Kabel, Bridge-Mode, Gedöns ...

« on: September 15, 2024, 02:00:21 am »

@Patrick M. Hausen:

Ich hab ja selber ein ähnliches Problem und hatte schon in den folgenden Threads mich bezüglich Doppel-NAT, Bridgemode etc. deswegen schon schlau gemacht:

- https://forum.opnsense.org/index.php?topic=42658.0 (Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense)
- https://forum.opnsense.org/index.php?topic=38892.0 (Verbindung über OPNSense von Arbeits-Notebook aus nicht möglich)
- https://www.vodafonekabelforum.de/viewtopic.php?t=46898 ([VFKD] Eigenen Router in Bayern bei einem 'Red Business Internet & Phone 500 Cable' Anschluss)
- https://www.vodafonekabelforum.de/viewtopic.php?t=47288 ([VFKD] Kaufempfehlung für Kabelmodem)

Lange Rede gar kein Sinn.... Ich habe mittlerweile für mich entschieden, dass ich den wengsten Ärger wohl damit habe, wenn ich mir ein dediziertes Kabelmodem wie das 'Arris CM3500B' zulege:

https://shop.wernerelectronic.de/kabelmodem-arris-cm3500.html

Ich für meinen Usecase werde wohl leider nicht drum herum kommen, da ich zwingend vom Doppel-NAT weg muss / möchte und es so vieles auch vereinfacht...

Vielleicht wäre das auch eine Möglichkeit für deinen Kollegen, das sauber umzusetzen?
Sonst gerne alles weitere per PN

9

Virtual private networks / Re: No VPN connection over OPNSense with my company notebook

« on: September 08, 2024, 11:43:15 pm »

Sorry, I forgot this iniformation....

In my Topic in February this year in the Gernan Forum @meyergru wrote :

I don't know exactly, but I have a strong suspicion: Apparently Checkpoint uses IPSEC.
This involves exchanging special ISAKMP packets that work directly on OSI layer 3, i.e. the network layer below TCP and UDP. Since OpnSense normally handles IPSEC itself, there are apparently automatic pf rules that “intercept” this traffic so that it does not get through to your clients.

There is a post about it here. You can disable the automatic rules by just using “manual rules” for NAT, but you would probably have to forward the IPSEC traffic to your client. I have no idea how you could do that, it may even be outside the configurability of OpnSense using the GUI.

This is not a problem with “Road Warrior” (= “Mobile”) setups because the end device itself is the end point of the connection. Other VPN protocols, such as Wireguard or OpenVPN, are based on TCP or UDP and can therefore easily be “passed through” to clients at the router.

I've tried by setting my NAT to "manual rules" and created the attached rule (see screenshot)

10

Virtual private networks / No VPN connection over OPNSense with my company notebook

« on: September 08, 2024, 11:38:07 pm »

Hello everyone!

I am currently testing an OPNSense firewall and am very satisfied so far. The Sense hangs behind a Firtbox 6690 and is completely set up as an exposed host.

When I now try to connect to the company network with my company notebook via VPN (via Checkpoint Mobile), I get the attached error message on the notebook.

I have also switched the Internet access for the company notebook to “completely pass-through” in the Sense, but unfortunately the VPN connection still does not work.
 
I hope you can help me so that I can continue to use OPNSense

11

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: September 07, 2024, 11:10:34 pm »

@maze-m

schaust du in NAT>ausgehend, eventuell sind die automatischen Regeln für isakmp Port 500
im weg?
mach manuell und eigene regeln und probier.

Danke dir, das habe ich allerdings auch schon eingerichtet. Nen Screenshot von der Manuellen Regel hab ich als Attachment in den Anhang gepackt.

Ich bekomme bei Verbindungsaufbau jedoch trotzdem eine Fehlermeldung und die Verbindung lässt sich nicht herstellen (siehe zweites Attachment 'Fehlermeldung_Checkpoint_Mobile_Client.jpg')

Ich weiß so langsam nicht mehr, was ich ausser eines eigenen Modems und dem "rausnehmen" der Fritzbox noch machen kann....

12

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: September 07, 2024, 11:04:52 pm »

Biste denn mal nach Handbuch vorgegangen?
An deinem Business Anschluss sollte es ja feste IP geben

Seite 20 Punkt 6.4

https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120.pdf

Hi!

Ja, eine feste IP-Addresse habe ich in der Tat ! Aber das hat ja nichts mit meinem Problem vom Verbinden des VPNs in mein Firmennetz zu tun ....

13

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: September 06, 2024, 11:45:31 pm »

also wenn es nur um VPN geht...
hast du denn probiert direkt an der Fritzbox? oder am Gäste Port (4)
Hast du strukturiertes LAN? warum nicht die Fritze zb Gast Port(Wlan) in ein separates Vlan packen?

Also ich habe eine 6591 mit Brigde (selbst freigeschaltet) und nutze sowohl Opnsense als Router direkt
und Fritzboxes Lan und Gäste Lan(Wlan) zb für mein Firmen Notebook(VPN) und Virtuelle Maschinen und diverse IoT's.

Danke dir zunächst für die Erklärung!

Das VPN selber funktoniert ja direkt über die Fitzbox, das ist nicht das Problem....
Meine Firma verwendet jedoch als VPN-Client ein 'Checkpoint Mobile' und der scheint auf OSI-Layer 3 zu arbeiten, auf welchem die OPNSense anscheinend auch arbeitet.

@meyergru hatte dazu in meinem verlinkten Post folgendes geschrieben:

Offenbar nutzt Checkpoint IPSEC.
Dabei werden spezielle ISAKMP Pakete ausgetauscht, die direkt auf OSI-Layer 3 arbeiten, d.h. Vermittlungsschicht unterhalb von TCP und UDP. Da OpnSense normalerweise IPSEC selbst behandelt, gibt es offenbar automatische pf-Regeln, die diesen Traffic "abfangen", so dass er nicht zu Deinen Clients durchkommt.

Die Aussage kann ich auch bestätigen, da ich so gar nichts im Live View von der OPNSense sehe, sobald ich versuche, mich mit dem VPN meiner Firma / meines Arbeitgebers zu verbinden....

So wie ich's verstanden habe, brauch ich - um das ganze überhaupt zum Laufen zu bekommen - eine direkte Verbindung der OPNSense an einem Kabelmodem, um das Doppel-NAT weg zu bekommen....

14

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: September 06, 2024, 02:20:27 pm »

Die Vodafone-Hotline ist unter aller Kanone - ich habe hier in NRW eine FB6591 von Vodafone und bin Privatkunden und hab keine Probleme gehabt, die Fritzbox von Vodafone mit aktivierten BridgeModus zu bekommen.

Ja genau, bei der Vodafone-Hotline hab ich die Aussage bekommen, dass sie ihre Fritzbox(en) nicht mehr in den Bridge Modus schalten. Ich habe zur Zeit eine FB6690.
 
Daher ist halt meine Überlegung, mir ein Kabelmodem zuzulegen....

15

German - Deutsch / Re: Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

« on: September 05, 2024, 11:38:59 pm »

Welches Problem soll den überhaupt gelöst werden? Soll die Fritzbox einfach nur raus, soll doppeltes NAT vermieden werden, oder noch was anderes?

Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418)...

Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.

Doppeltes NAT kann man einfach dadurch vermeiden, dass man NAT auf der OPNsense abschaltet. Dann muss man noch ein Transfernetzwerk zwischen der Fritzbox und der OPNsense einrichten, das nicht mit den Netzen hinter der OPNsense kollidiert und bei der Fritzbox die OPNsense als Router für diese eintragen.

Ich glaube, das mit dem Transfernetz habe ich zur Zeit schon so eingerichtet:
("Glaube" daher, weil ich nicht weiß, was du mit "Transfernetz" meinst!? )

              INTERNET
                  |
_________|_______________
|       Router (Fritzbox Cable)  | 
'--------------+-----------------------'
                  |
        WAN  | IP: 192.168.0.2 / 2a02:810d:bb40:877:a236:9fff:fe06:aff8
                  |
      .---------+---------------------------------------------.
      |  OPNsense                                               |
      '--------+------------------------------------|----------'
                 |                                           |
        LAN  | 192.168.1.1/24      MGMT | LAN 192.168.0.3
                 |
      .--------+----------------------.
      | LAN-Switch (8 Port)     |
      '--------+----------------------'
                 |
       --------+--------------------.
      | LAN-Switch (24 Port) |
      '--------+---------------------'   
       ...-----+------... (insgesamt 3 x 8 Port Switche in den einzelnen Etagen)
      ...------|------.... (an jeden 8 Port Switch jeweils eine AP angeschlossen)

Ich hatte am Outbound-NAT aber auch schon auf "Manual", "Hybrid" und auf "Automatic" gestellt, jedoch hat das leider auch nichts bei meinen Einwahlproblemen ins VPN geholfen :/....