Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - JonnY90

#1
Hi Zusammen,

ich habe mir ein neues OpenVPN eingerichtet. Der Verbindungsaufbau klappt soweit auch und ich kann vom Client auf mein lokales Netz zugreifen.

Ich hab lediglich Probleme mit der Namensauflösung.

Meine entsprechenden OpenVPN Settings seht ihr im Screenshot. Ich habe zu Testzwecken mal mehrere IPs eingetragen, weil ich dachte ich habe keinen Zugriff auf meinen lokalen DNS Server (PiHole/192.168.22.4) Der Push Befehl in den Logs sieht jetzt auch nicht verkehrt aus.

DeviceA/x.x.x.x:1357 SENT CONTROL [DeviceA]: 'PUSH_REPLY,redirect-gateway local,register-dns,dhcp-option DNS 10.10.20.1,dhcp-option DNS 8.8.8.8,dhcp-option DNS 192.168.22.4,dhcp-option DNS 192.168.22.254,register-dns,route 192.168.22.0 255.255.255.0,route-gateway 10.10.20.1,topology subnet,ifconfig 10.10.20.2 255.255.255.0,peer-id 0,cipher AES-256-GCM,protocol-flags cc-exit tls-ekm dyn-tls-crypt,tun-mtu 1500' (status=1)


In den Firewall Settings habe ich auf der OpenVPN Schnittstelle den gesamten Traffic erlaubt.

Was habe ich übersehen?

Beste Grüße
Jonny

#2
Hallo Zusammen,

ich bin gerade dabei auf meinem Ubiquiti Ac Pro ein Gäste WLAN per VLAN einzurichten, allerdings hakt es bei mir noch an einigen Stellen. Zwar bietet der Unifi Controller eine eigene Möglichkeit das LAN Netz zu isolieren, aber mit dem Gedanken kann ich mich nicht anfreunden.

Folgenden Aufbau habe ich bei mir.

Fritzbox --> OPNSense (APU2C4) --> Zyxel GS1900-24E --> Ubiquiti AC Pro.

Prinzipiell habe ich an der APU2C4 noch einen Port frei. Diesen würde ich gerne für ein eigenes Gästenetz benutzen.

Dafür habe ich in OPNSense eine neue Schnittstelle/Netz definiert und auf diesem ein neues VLAN definiert (VLAN Tag 44). Anschließend habe ich auf OPT1 den DHCP Server aktiviert und in der Firewall den Traffic ins LAN blockiert und sonst alles weitere erlaubt.

Im Switch habe ich einen neuen VLAN Untagged Port, ebenfalls mit VLAN Tag 44 an Port 24, erstellt und diesen mit dem freien Port der APU2C4 verbunden.

Im Unfi Controller habe ich ein neues WLAN erstellt und diesem den Tag 44 zugewiesen.

In meinem Kopf macht das alles Sinn, aber die Clients bekommen keine IP zugewiesen.

Ich bin mir auch noch nicht 100% Sicher, ob die VLAN Konfiguration am Switch korrekt ist. Prinzipiell könnte ich ja auch mit Tagged VLAN arbeiten und auf meinem LAN Interface ein neues VLAN erstellen oder? In meinem Kopf ist aber irgendwie sauberer, wenn die Gäste an einem eigenen Interface hängen.


Wieso bekommen ich im Gäste WLAN keine IP zugewiesen? Gibt es hier jemanden, der eine ähnliche Konfiguration hat?

Viele Grüße
#3
German - Deutsch / opnsense als VPN Client
October 19, 2018, 01:39:20 PM
Hallo Zusammen,

bislang lief auf meinem Raspberry ein openVPN Client. Allerdings ist mal wieder die SD Karte hinüber, sodass ich den VPN Client auf die opnsense umziehen will.

Der VPN Server ist ebenfalls ein Raspberry mit PiVPN.

Server Netzwerk:
LAN: 192.168.1.0/24
VPN: 10.8.3.0/24

Client Netzwerk:
LAN: 192.168.22.0/24

Das ganze soll nicht als default-gateway eingerichtet werden, es soll nur ermöglicht werden bei Bedarf auf das Netzwerk zuzugreifen.

Nach etwas Recherche habe ich es geschafft die opnsense als VPN Client einzurichten, sodass ich von der opnsense das Server Netzwerk anpingen kann.

Allerdings bekomme ich es nicht hin, vom Client Netzwerk (192.168.22.0/24) auf das Server Netzwerk zuzugreifen.

Ich habe dazu ein, zwei Tutorials gefunden, aber letztendlich haben die mich mehr verwirrt, als sonst was.

Die entsprechenden Routen sind automatisch erstellt worden und an die ovpnc2 Schnittstelle gebunden.

Wenn ich in den Firewall Logs nachschaue und ein Ping von meinem PC (192.168.22.x) auf den OpenVPN Server absetze, dann wird dieser laut Logs auch durchgelassen, aber trotzdem ist der Server von meinem PC nicht erreichbar.

Aktuell komme ich so nicht wirklich weiter. Ich hoffe, dass mir einer euch helfen kann, um die nötigen Regeln etc. zu erstellen, die mir noch fehlen.

Grüße
#4
Hallo Zusammen,

habe ein Problem mit dem OpenVPN Server auf meiner OPNsense Box.

Das VPN funktioniert nur, wenn ich die Fritzbox neustarte. Das heißt findet ein IP wechsel an meinem DSL Anschluss statt, dann kann ich mich nicht mehr per VPN verbinden.

In der Android App erhalte ich die Fehlermeldung: "read UDP [EHOSTUNREACH]: No Route to host (code=113)

Damit ich mich wieder verbinden kann, muss ich die Fritzbox neustarten. Wenn ich die Fehlermeldung google, erhalte ich keinen passenden Lösungsvorschlag.

Zur Info auf der Fritzbox ist ein DynDNS eingerichtet. Die IP Adresse von meinem Anschluss wird auch vernünftig aufgelöst.
Ich hatte vorher einen Raspberry als VPN Server und hatte damit keinerlei Probleme.

Die OPNSense Box ist als exposed Host eingetragen.

In den VPN Logs von meiner APU2c4 steht dazu nix, das heißt die Pakete kommen gar nicht erst an. Ebenso konnte ich nix in den Firewall Logs finden.

Hat einer von euch eine Idee woran das liegen könnte?

Grüße
Jonny
#5
Hallo Zusammen,

habe ein Problem mit der Konfiguration meiner Firewall.

Das Problem stellt sich so dar, dass die SSH Verbindung in ein entferntes VPN Netz von der Default Deny Rule betroffen ist, obwohl ich entsprechende Regeln definiert habe.

Der Verbindungsaufbau funktioniert, aber nach 10-20 Sekunden bricht die Verbindung ab und ich muss die Verbindung neu aufbauen.

Das ganze passiert mit der ALLOW Any Rule, als auch mit einer spezifischen Regel für SSH.

Als VPN Client dient ein Raspberry. Route und eigenes Gateway sind eingerichtet.

Regel für SSH:
Protokoll     Quelle           Port   Ziel        Port             Gateway
IPv4 TCP   LAN Netzwerk   *   *   22 (SSH)         VPNNetz   


Regel für VPN:
Protokoll     Quelle           Port   Ziel        Port             Gateway
IPv4 UDP   LAN Netzwerk   *   *   VPN_Port           *


Ich weiß gerade nicht, wo der Fehler liegen könnte. Vorallem weil der Verbindungsaufbau funktioniert und auch im FW Log entsprechende Einträge vorhanden sind, die die Verbindung erlauben, aber nach ein paar Sekunden greift die Default Deny Rule.

Hoffe mein Problem ist verständlich geworden, ansonsten werde ich versuchen das Problem genauer darzustellen.

Viele Grüße