Topics

1

German - Deutsch / HA - neue Interfaces

« on: October 19, 2023, 04:06:51 pm »

Hallo zusammen,

ich habe leider nichts gefunden, außer, dass man bei einem HA, wenn man neue Interfaces anlegt, dieses auf beiden Seiten gleich machen muss.

Jedoch jedes mal, wenn ich genau gleich das neue Interface zuerst auf dem Master, dann auf dem Backup anlege und die Bezeichnungen exakt gleich sind, bekomme ich beim nächsten Konfigurations-Sync den Fehler "the backup firewall is not accessible or not configured".

Ich dachte zuerst, dass man dem Interface zwangsweise eine IP je Firewall zuweisen muss und es nicht reicht nur eine virtuelle IP zu nehmen. Aber auch wenn ich dem Interface noch je Firewall eine zuweise, ändert es nichts mehr am Fehler.
Jedes Mal ist das HA korrupt und es geht kein Sync mehr.

Irgendetwas muss ich doch falsch machen oder nicht beachten?

2

German - Deutsch / IPSec Tunnel bauen sich nicht automatisch wieder auf

« on: August 22, 2021, 04:36:15 pm »

Hallo zusammen,

trotz der Einstellung, dass der Tunnel sich direkt starten soll, habe ich bei mehreren OPNSense den Fall, dass der VPN Tunnel sich einfach nicht mehr automatisch aufbaut.

Der VPN liegt z.B. zwischen FritzBox und OPNSense als auch OPNSense zu OPNSense.
Alle Anschlüsse haben Dyn IPv4 Adressen.

Ich muss manuell einmal zur OPNSense mich aufschalten und in der IPSec Übersicht manuell den Tunnel, der auf einem "orangenen Pfeil" steht, noch einmal mit einem Klick auf diesen Pfeil starten.

Das ggf. zuerst die Verbindung fehl schlägt, kann ich beim IPv4 Wechsel der IP nachvollziehen, wenn noch die falsche IP aufgelöst wird. Nur wieso versucht die Firewall es nicht alle paar Minuten immer wieder bzw. wie bekomme ich das hin?

3

German - Deutsch / SNAT von IPsec Tunnel zu einem anderen IPsec Tunnel

« on: May 07, 2021, 10:31:55 am »

Hallo zusammen,

ich hoffe ihr könnt weiterhelfen.


Client -> Firewall1 <-IPSec-> Firewall2 <-IPsec-> Router

z.B.
Firewall1 IP/Netz: 192.168.1.1 /24
Firewall2 IP/Netz: 192.168.2.1 /24
Router3 IP/Netz: 192.168.3.1 /24

Nun will ich mit dem Client, der bereits korrekt zum Netz der Firewall2 kommt, zum Router.

Dafür habe ich im IPsec Phase2 das Netz des Router Netzwerks ebenso hinzufügt zum Tunnel zwischen Firewall1 und 2.

Auf der Firewall2 habe ich eine Firewall Regel angelegt Firewall2->Router IP outbound ICMP, Ping funktioniert auch. Generell geht die IPsec Verbindung zwischen den beiden Netzen.

Dazu noch eine Regel der Firewall2 "Firewall1 Netz" zu "Router Netz" erlaubt IPv4 Traffic * (zum Test) Eine inbound und eine outbound Regel.

Beim NAT eine Outbound NAT Regel, Firewall1-Netz zum Router-Netz, verschiedene Interfaces ausprobiert und NAT Adress auch bereits "Interface Adress" und auch "Firewall2-Interface-Adress".

NAT, da im Router keine Route eingetragen ist für das "Firewall1-Netz".

Ich habe schon etwas mit den NAT Regeln rumprobiert, aber habe bisher keine Verbindung vom Firewall1-Netz zum Router-Netz hinbekommen. Eigentlich dürfte das doch gar kein Problem mit NATing auf der Firewall2 sein?

4

German - Deutsch / Firewall Regel: LAN to Internet (nicht any)

« on: January 26, 2019, 02:39:47 pm »

Hallo zusammen.

Wie bekomme ich es hin, dass ich eine "Lan -> Internet" Regel erstellen kann.
"Any" bedeutet, dass es auch in andere Netze, die die OPNsense kennt, erlaubt ist. Das ist jedoch definitiv nicht gewünscht. z.B. LAN -> LAN_unsecure oder LAN -> VPN_Tunnel sollte ja nicht erlaubt sein, was es durch "any" jedoch ist.
Ich habe "WAN Net" probiert, was jedoch nicht funktioniert, da er WAN Net natürlich ernst nimmt und wirklich nur das WAN Netz erlaubt. Ebenso habe ich ein Alias mit "External" erstellt. Das brachte jedoch auch nichts - was External als Alias bewirkt weiß ich auch nicht, jedenfalls nicht das, was ich wollte.

Ich habe die Netzwerk Konfiguration folgend: WAN <-> Router <-> Firewall <-> LAN. NAT erfolgt sowohl bei der LAN -> Firewall -> Firewall_WAN_INT als auch Firewall -> Router -> Router_WAN_Int.

Ich hoffe jemand kann hier schnell helfen. Von anderen Firewalls kenne ich es so, dass es neben dem "any" auch ein "Internet" gibt, in dem alle Netze drin sind (wie any) nur ohne alle selbst bekannten Netze).

5

German - Deutsch / Alias DNS Host / dynamische IP (DHCP Client) - Firewall Regel

« on: January 14, 2019, 05:47:06 pm »

Hallo zusammen.

Ich würde gerne, wie ich es von anderen Firewalls her kenne, einen Alias anlegen der sich entsprechend über DNS die aktuelle IP des Clients besorgt.

Bei einem Windows Host, sagen wir "NB10" als Host Name habe ich beim DHCP Server der OPNsense den Domänen Namen "bla.intern" mitgegeben und danach kann die OPNsense den Hostnamen "NB10.bla.intern" auch passend auf die passende DHCP Adresse vom NB10 auflösen. Dementsprechend sollte auch der Alias als "host" mit "NB10.bla.intern" funktionieren, wenn sie die DHCP Client IP einmal ändert.

Bei einem Smartphone jedoch, funktioniert die Auflösung vom DNS Namen nicht. Das Smartphone heißt z.b. "ironman" und bekommt vom gleichen DHCP Server auch die Domäne "bla.intern" mit. Allerdings kann man hier mit der OPNsense danach weder "Ironman" noch "Ironman.bla.intern" passend mit der IP auflösen. Die OPNsense findet einfach den Host nicht. Dadurch sind natürlich auch keine Aliase möglich.

Es wäre für mich auch ok, anhand der MAC die Firewall Regel zu setzen, wenn es anders nicht möglich ist, da die Regel nicht extrem "kritisch" ist.

Von anderen Firewalls kenne ich es auch, dass man in einer Regel mehrere Angaben für "from" "port" und "to" angeben kann. Das ist bei der OPNsense wohl ebenso nicht möglich, oder? Außer man legt tausende Aliase als Gruppen an.

6

German - Deutsch / OPNsense mit 1x WAN + 1x Client VPN mit public IPv4 für openvpn

« on: June 22, 2018, 01:45:43 pm »

Derzeit gibt es folgendes Szenario.
Verfügbar ist 1x eine WAN Verbindung mit Router ohne öffentlicher IPv4 Adresse und 1x über Client VPN mit portunity eine öffentliche IPv4.

Derzeit baut eine QNAP die openvpn Verbindung zu portunity auf als Client VPN. WAN -> public IPv4 ist nur 443 geöffnet, damit ein Client im WAN eine openvpn Verbindung zur QNAP aufbauen kann. (QNAP fungiert als openvpn Client und Server).

Die QNAP hat als normales Standard Gateway den normalen WAN Anbieter Router als GW. Damit die QNAP als openvpn Server fungiert, muss jedoch beim Client VPN mit der public IPv4 der Haken bei "Standard Gateway" gesetzt werden. Das wieder hat zur Folge, dass die QNAP leider für alle Verbindungen über portunity gehen will. Dort heißt es nun jedoch, entweder alle Ports auf oder zu. Port basierte Freigaben gibt es nicht mehr. Somit würde die QNAP ungesichert ohne Firewall im Internet über die Client VPN Verbindung von Portunity stehen.

Daher würde ich gerne eine Firewall konfigurieren und habe als Überlegung Sophos UTM/SG oder OPNsense. Die Firewall muss jedoch beim Routing folgendes handhaben:
- Standard GW soll der normale WAN Anbieter Router sein
- Es wird als Client openvpn VPN eine Verbindung zu Portunity aufgebaut und damit die public IPv4 Adresse bezogen
- Die Firewall dient ebenso als openvpn (443) VPN Server, der auf die public IPv4 Adresse vom Client VPN horcht
- Alle Verbindungen sollen weiterhin über den WAN Anbieter gehen (zum GW) außer die Verbindungen, die über die public IPv4 reinkommen (openvpn), die sollen auch über den gleichen Weg zurück (über das Gateway was von portunity gesetzt wird).

Ich habe etwas nachgeschaut und habe herausgefunden, dass dieses Szenario wohl "Source based Routing" heißt.

Ist dieses Szenario mit OPNsense ohne größere Probleme abzubilden?

Grüße Timo