Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - christian.uhlmann

#1
Hallo zusammen,

ich hoffe hier kann mir jemand weiterhelfen, vermutlich fehlt bei mir noch ein bisschen wissen zwecks Routing und Firewall Regeln.

Ausgangslage:
Ich möchte bei Hetzner einen cloud Server (https://www.hetzner.de/cloud) nutzen um folgendes zu erreichen:

  • VPN Kopf Router um Netze miteinander zu verbinden
  • Dienst aus meinem Lokalen Netz unter einer festen IP Verfügbar zu machen

Der Teil VPN Kopfrouter scheint soweit zu klappen, Einwahl geht und Daten werden ausgetauscht.

Zum anderen möchte ich mit einer zweiten IP Adresse bestimmte Dienste in meinem lokalen Netz nach außen über eine Feste IP Adresse Verfügbar machen.

Dazu habe ich eine zweite IPv4 beantragt und diese unter Firewall als Virtual IP Eingetragen.

Dann zwei Aliase eingerichtet, einen für die WAN IP (IP_vserver) und einen zweiten mit der anderen IP (IP_DMZ).
Dann folgende Regeln für das WAN Interface hinterlegt:
Bild: Firewall_Rules_WAN.PNG


Unter NAT Port-Forward dann folgendes:
Bild:Firewall_NAT_Port_Forward.PNG


Von dem OPNsense System komme ich per custom SSH (Port 222) und HTTP (Port 80) auf den Zielrechner, das OpenVPN scheint also zu funktionieren. Wenn ich jetzt aber über die Zusätzliche Virtuelle IP von außerhalb per SSH auf diese IP Connecten möchte kommt kein Verbindungsaufbau zustande. Ich sehe in beiden Firewall Logs (Sowohl auf dem Cloud Server als auch hier bei mir Lokal), dass es auf dem jeweiligen Interface eine eingehende Verbindung gibt, die auch korrekt weitergeleitet wird, aber es klappt leider nicht.
Auch Fehler sehe ich nicht :(
Bild: Firewall_Log Files_cloud_server.PNG

Bild: Firewall_Log Files_local_server.PNG


Hat jemand einen Hinweis für mich, was ich da falsch mache?


Danke und Grüße

Christian
#2
Hallo zusammen,

ich habe eine Frage zum Routing zwischen 2 privaten Netzen.
Als Version kommt bei mir die aktuellste zum Einsatz: OPNsense 18.7.10_3-amd64

Meine Umgebung
Ich nutze opensense als Router für mein Netzwerk, die Verbindung wird über pppoe als WAN Interface an Netzwerkschnittstelle xn3 hergestellt.
Der Internetzugriff Funktioniert auch einwandfrei, Firewallregeln und Portforwarding klappen auch.
Ich muss noch darauf Hinweisen, das ein Multiwan Setup mal Grundlegend aufgebaut wurde, allerdings momentan ist die zweite Verbindung nicht aktiv, da ich aber schon ein paar mal etwas gefunden haben, das mit Multiwan und Routing einiges besonderes beachtet werden muss.
Wie auch immer, die Firewall Regeln nutzen das Gruppengateway allerdings mit nur einem aktiv WAN Adapter.

Als LAN Netzwerk nutze ich 192.168.126.0/24 opensense und damit das Gateway für das Netzwerk ist die 192.168.126.9.

Anbindung fremdes Netz über OPT1/xn5
Nun habe ich über VLAN in der Switch Konfiguration ein Fremdes Netzwerk angebunden.
Interface heißt LAN_138 auf der Netzwerkkarte xn5, IP Adresse 192.168.138.9.
Bei dem Netz handelt handelt es sich um eine Fritzbox mit dem Netz 192.168.138.0/24, die Fritzbox hat die 192.168.138.99. In der Fritzbox ist eine IPv4 Route eingestellt: 192.168.126.0/24 über Gateway 192.168.138.9.
Ein Ping (und auch ein Terlnet auf Port 80) von der opnsense Kiste auf die Fritzbox klappt, der Datenverkehr in das fremde Netz ist also hergestellt.

Das Problem
Ab jetzt bin ich mir unsicher was getan werden muss, damit ich von einem Client aus meinem LAN Netz (192.168.126.0/24) auf die Fritzbox bzw. auf das Fritzboxnetz (192.168.138.0/24) zugreifen kann.
Die opnsense soll die Daten zwischen den beiden Netzen routen, kein NAT und erst mal keine Firewall Regeln.
Wenn ich an einem Client im LAN Netz (192.168.126.0/24) ein Traceroute durchführe, sehe ich dass dies über das WAN Interface der opnsense versucht wird.


tracert -d 192.168.138.99

Routenverfolgung zu 192.168.138.99 über maximal 30 Hops

  1     1 ms    <1 ms    <1 ms  192.168.126.9
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *     62.155.243.54  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.


Dazu habe ich schon mal gelesen (allerdings im pfsense Umfeld) dass hier das Outbound NAT auf manuell gestellt werden muss. Da hapert es aber schon, ich weiß nicht genau wie ich das richtig einstellen muss. Folgendes habe ich bisher mal eingestellt:

Bild im Attachment: OPNsense_OutboundNAT.PNG

Leider hat das nicht geholfen.

Ich hoffe es gibt hier jemand, der mir auf die Sprünge helfen kann.


Vielen Dank und Grüße
Christian

P.S.: OPNsense läuft auf einem XCP-NG Server (freier XENSERVER), sollte das von interesse sein
P.S.S.: dieses zweite Netz möchte ich evtl. irgendwann mal als zweites WAN Interface für Load Balancing bzw. Fall Back Leitung nutzen. aber das hat sehr niedrige Prio