Topics

Halli Hallo Zusammen :)

Mal wieder ein Problem... Und diesmal ein gröberes.
Ich versuche ein L2TP VPN auf meiner USG Pro 4 einzurichten. Das VPN funktioniert.
Nur hab ich kein Routing durch den IPSec-Tunnel in die Netze hinter der OPNSense.

Ich bin bereits auch seit 2 Wochen mit dem Support von Ubiquiti dran, nur komme ich dort nicht vorran... Mehr oder weniger schleppend...

Der Support ist auf den Entschluss gekommen, dass dies nicht funktionieren kann, da ich ein Policy-Based-IPSec habe und ein Route-Based-IPSec brauche, damit auch das Netzwerk des L2TP-VPN durchgeroutet wird.

Nun ist so, dass beide Firewalls anzeigen, dass der Tunnel (Phase 1 und 2) aufgebaut ist und geroutet wird. Trotzdem habe ich keine Verbindungen in die jeweils anderen Netzwerke...

Ergo: Mein gesamter IPSec-Tunnel funktioniert nicht.

Was mir dabei auffällt, ist, dass die USG (von Ubiquiti) jeglichen Traffic raus ins Internet routet und nicht über den IPSec-Tunnel, obwohl der Tunnel aufgebaut ist.

Ich habe auch versucht Statische Routen zu setzen, doch dies hilft auch nicht.

Ich bin nun mit meinem Latein am Ende.
Kann mir jemand dabei helfen? (ich glaube es liegt an der USG von Ubiquiti, daher glaube ich, dass sich jemand mit diesen Geräten auskennen müsste :P)

Zusatzinfo:
- Auf beiden Firewalls sind Regeln erstellt, dass jeglicher IPSec-Traffic zugelassen werden soll (Die USG macht dies automatisch und auf der OPNSense habe ich diese Regel definiert)
- Auf der OPNSense und auf der USG sind jeweils die neusten Patches installiert
- Eine Kommunikation zwischen beiden Geräten lieg auch vor, da sich der Tunnel aufbauen kann

Gruss
MBG

Hallo Zusammen

Ich habe jetzt seit neustem in unserem Netzwerk einen transparenten Proxy eingerichtet (HTTP 80/HTTPS 443). Der funktioniert auch soweit gut (Bisl Arbeit wegen CA aber dank Group Policy alles tip top).

Ich bin aber jetzt auf ein paar merkwürdige Probleme gestossen, wo ich nicht ganz verstehe:

- VMware vSphere Client funktioniert nicht, da der Proxy-Server nicht https://localhost.localdomain aufrufen kann (so Fehlermeldung von Squid) -> Kann man für diese Domains/IPs Regeln erstellen, dass diese nicht über den Proxy laufen?
- Diverse mobile Apps auf den Smartphones funktionieren nicht mehr (zB.: Snapchat kann sich nicht mehr aktualisieren; Facebook läuft auch mehr schlecht als recht) -> Kann man vielleicht in der Firewall Regeln konfigurieren, dass diese Geräte, bevor die NAT-Rule zum transparenten Proxy greift, direkt ihre Anfragen senden und direkt eine Antwort bekommen? Oder müssen Sie dafür in ein eigenes Netzwerk? Oder muss ich den transparenten Proxy deaktivieren und die Proxy-Einstellungen via Group Policy verteilen?

Gruss und danke für eure Hilfe!

PS: Falls mir noch mehr auffällt, poste ich es hier auch drin.

Hallo Zusammen :)

Ich stolpere gerade über IPv6, da mein Hosting-Provider für meinen dedicated Server ein /64 IPv6-Subnetz schenkt. Das klingt in erste Sicht mega cool (18,5 Trillionen IPs :P)

Nur stosse ich auf einige Probleme:

1.) Ich schaffe es nicht IPv6 auf dem WAN Interface zu konfigurieren... Genauer gesagt den GW, da er in einem anderen Netz liegt, als das Subnetz was ich bekommen habe. Ich bekomme immer die Fehlermeldung, dass der Gateway nicht im selben Subnetz liegt (obwohl ich beim hinzufügen des Gateways der Firewall gesagt habe, dass dies ein Ferner Gateway ist). Ich bin da momentan ein wenig sprachlos, da dies bei der Konfiguration von der IPv4-Adresse auf dem WAN-Interface wunderbar funktioniert hat.

Kurze Infos:
OPNSense Version: 18.7.10_3-amd64
IPv6 Adresse: 2001:4ba0:ffe7:01fa::1
Netzadresse: 2001:4ba0:ffe7:01fa::0 / 64
GW: 2001:4ba0:ffe7:1:beef::1 /128

2.) Ich wollte gerne nach der Konfiguration des WAN Interfaces die Firewall als DHCPv6 nutzen (also als DHCP-Server für IPv6 Adressen), wie genau muss man das Konfigurieren?

3.) Da ich ja im LAN auch IPv4 nutze und dies genatet wird, wird das bei IPv6 auch? (Sollte ja eigentlich wegfallen und die IPs sollten öffentlich erreichbar sein).

4.) Bezieht sich auf Frage 3: Kann man dementsprechend IPv6 Adressen im LAN statisch konfigurieren und aus dem öffentlichen Netz erreichen? wen ja wie?

Gruss und danke für eure Zeit und eure hilfreichen Antworten!  ;D
Anton Kikels

Hallo Zusammen

Ich bins mal wieder :P

Hab folgendes Problem:
Ich hab mein Netz hinter der Firewall geschafft zu segmentieren! :D (Endlich XD)
Nun hab ich ein paar Geräte die mir verbieten, aus anderen (privaten) Netzen auf sie zuzugreifen.
Ich möchte jetzt aber nicht, die Segmentation weg schmeissen und meinen PC in die Management-Zone und Client-Zone packen, sodass ich die Geräte konfigurieren kann (So bringt ja die Segmentation nichts)...

Gibt es eine Möglichkeit, dass ich intern ein NAT machen kann?
Als Beispiel:
i8sw01 (Switch) hat die IP: 192.168.500.2 (VLAN500)
PC hat die IP: 192.168.2.2 (VLAN30)

kann ich auf der Firewall eine Regel anlegen, dass ich z.B. die IP 192.168.2.250 (VLAN30) weiterleite (NAT) zu 192.168.500.2?
somit würde der Switch denken, dass ich im selben Netz bin, da er IP und MAC der Firewall vom Interface in diesem Netz bekommt, obwohl ich nicht iim Netz wäre.

Es wäre sehr sehr hilfreich!
Ich bedanke mich schon einmal für die Bemühungen!

Gruss :)

Hi liebe Itler

Ich bin momentan ratlos....

Seit dem wir die OPNSense Appliance nutzen, können wir mehrere Seiten nicht mehr öffnen, was recht komisch erscheint...
Es handelt sich dabei um einzelne Seiten (wie zb. beatport.com).

DNS funktioniert einwandfrei. Aber der Traceroute hat nach ungefähr 10 Hops eine Zeitüberschreitung.

Um nachzuvollziehen, dass es nicht allgemein am Anschluss liegt, habe ich noch einmal die alte Firewall rangehangen und alles funktioniert tip top.

Wir nutzen keinen Webproxy, der diese Seiten sperren könnte noch kann es an den Firewallregeln liegen, weil es ja dann ein generelles Problem wäre...

Kann es sein, dass die Hardware zu schwach ist?

Wir nutzen eine APU-Box von PC-Engines...

Bitte um Rat, was eventuell noch ein Problem sein kann...

Traceroute-Ergebnis tu ich später hinzufügen...

Gruss

Halli Hallo liebe ITler :)

Ich bin seit neustem glücklicher Besitzer einer APU-Box und habe dort OPNsense installiert und konfiguriert.
Es läuft alles tip top! Und ich kann gar viel damit machen. Nur habe ich etwas noch nicht ganz herausgefunden...

Ich besitze ein öffentliches IP-Subnetz: 46.140.XXX.64/28

In dem IP-Subnetz ist einmal die Firewall und einmal ein paar virtuelle Server, die öffentlich sein müssen.

Momentan sind die Server im Netz ohne irgendeine physische Firewall... (Ist leider nicht die feine Englische :P)
Mein Plan war es, diese Server in ein DMZ zu packen und darüber öffentlich zu schalten.

Meine Lösung war folgende:
- Öffentliche IP's als VIP's in der Firewall anlegen
- Server ins DMZ packen (10.0.0.0/24)
- Port-Forward von der VIP auf den jeweiligen Server im DMZ

Nur stiess ich dort auf ein recht grosses Problem...

Ich kann ja nur pro Regel ein gewissen Port weiterleiten... Da ich aber auch Geräte von Freunden bei mir habe, wo ich nicht genau weiss welche Ports weitergeleitet werden müssen und das sich auch eventuell ändern kann und ich nicht die ganze Zeit Regeln erstellen, bearbeiten und löschen möchte, kam eine Frage auf.

Kann ich komplett alle Ports von einer VIP ins DMZ für einzelne Geräte weiterleiten? (Und dies ohne für jeden Port eine Regeln zu erstellen...)

Grüsse
Tony