Topics

1

German - Deutsch / opnenvpn Client mit Zugriff auf nur 1 IP im Intranet

« on: January 25, 2024, 03:44:15 pm »

Hallo,

bisher haben alle openvpn Clients Zugriff auf das gesamte Intranet.
Nun möchte ich einem Client nur den Zugang zu einer IP im Intranet gewähren (zu einem Host auf den Port 80) - alles andere soll blockiert sein.

Mir ist die Vorgehensweise hierzu nicht klar.

Jan

2

German - Deutsch / Port von DMZ Proxy an WEB Dienst im Intranet freigeben

« on: August 02, 2023, 12:26:52 pm »

Hallo,

wir haben folgendes Wunsch-Szenario:

Code: [Select]

Internet -> [FW] -> DMZ Netz -> [VM nginx Proxy] -> [PortForward an VM im Intranet]
Der nginx Proxy, welcher in der DMZ liegt, soll nur einen Port eines Rechners im Intranet erreichen können. Nichts anderes.

Ich bin mir nicht sicher, von welcher Seite ich das am besten angehen sollte, bzw. wie und welche Regeln dafür sinnvoll wären.
Ich habe angehängtes Bild als Regel in der DMZ erstellt, aber lohne Erfolg.
192.168.132.126/24 ist der DMZ Proxy, 192.168.128.120/24 ist der Intranet Server mit den WEB Ports
Bfo

3

German - Deutsch / weiteres LAN/DMZ/... Netz : kein routing / kein Ping

« on: August 01, 2023, 10:16:04 am »

Hallo,

bin ein wenig am verzweifeln, weil ich offensichtlich irgendeinen Fehler beim Anlegen weiterer Netze mache.
An der FW gibt es LAN (idb0) und WAN (igb1). Nun habe ich einem weiteren Port (igb2) als DMZ (soll er mal werden) angelegt.

* Interface zugewiesen
* IP Adresse gesetzt
* Firewall Regeln (zum Test) "DMZ to any" Rule gesetzt ("LAN to any" existiert bereits)
* den Anschluss der FW (igb2) auf den gleichen Netzwerkswitch wie igb0 (Lan) geklemmt (zum Test).
* Auf einem Proxmox Host, welcher das Netz vom LAN nutzt eine VM mit einer IP aus dem "DMZ" Netz erstellt

Die VM kann die DMZ IP der FW nicht erreichen. Eine zweite VM auf einem anderen Host mit gleicher Konfiguration (bis auf die IP) aber schon. Das heisst: VM im DMZ Netz kann andere Adressen im gleichen Netz erreichen, nicht aber die FW, oder diese scheint sich nicht zuständig zu fühlen.

Wo/wie könnte ich anfangen, das Problem zu identifizieren?

Bfo

4

German - Deutsch / am Anschluss mehrere IP's -> jedoch nicht einzeln konfigurierbar

« on: July 31, 2023, 08:37:00 am »

Hallo,

wir haben einen neuen Internet Anschluss mit einem /29er Subnetz bekommen.
Die 1. nutzbare IP habe ich der FW gegeben, die anderen als virtuelle angelegt.
Wenn ich einen Portforward für die primäre IP anlege, dann funktioniert dieser -  un auch über alle andern öffentlichen IP's auch.
Da soll natürlich nicht sein.

Hier beispielhaft die IP's, wie ich sie angelegt habe:
Unser neues Netz: 192.168.1.216/29, GW: 192.168.1.217, FW primäre IP 192.168.1.218, FW virtuelle IP's ...219-222

Hab ich da was falsch angelegt oder ist beim Provider etwas falsch?

Bfo

5

German - Deutsch / DNS wird nicht genutzt / Namen werden nicht aufgelöst

« on: July 19, 2023, 12:44:44 pm »

Hallo,

im Intranet ist die die OPNsense mit Multi WAN natürlich auch der DNS Server. Von einem Client aus ist der Port 53 an der FW verfügbar. "Unbound DNS" ist aktiv.
Jedoch werden keine Namen aufgelöst.
An der Konsole der OPNsense jedoch schon. Ich habe auch an den Einstellungen in System->Settings->General mal gespielt, jedoch keine Verbesserung.

Bfo

6

German - Deutsch / WOL per remote ssh

« on: July 19, 2023, 12:05:25 pm »

Hallo,

auf der OPNsense ist das WOL Paket installiert und funktioniert auch.
Ich möchte mich aber nicht auf der Oberfläche anmelden müssen und mich durch die Menus zu hangeln um dann den "Wake" Button zu drücken.
Kann ich den (hinterlegten) WOL auch per ssh ausführen oder gibt es eine andere Möglichkeit das mit einem Klick auszulösen?
Hintergrund: Benutzer ohne Rechte auf der FW sollen in unserem Intranet einen "Button"  haben, um einen entsprechenden PC auf zu wecken. Dieser Button kann ssh ausführen oder whatever notwendig ist.

Bfo

7

German - Deutsch / Geo IP Settings Europa != Europa

« on: July 03, 2023, 07:47:15 am »

Moin,

seltsames verhalten bei einem GeoIP Alias:
Ich hatte bisher 5 Länder in einem Alias, welcher den Zugriff auf einen Mailserver regelt. Da ich aber nun auch von Kunden Mail annehmen möchte, wo ich nicht weiss, wo der Mailserver steht, habe ich "alle" Europäischen Länder frei gegeben. Und ab sofort keinen Zugriff mehr.
Also zur Info: Vorher 5 Länder (inkl. Deutschland) -> alles OK, jetzt "ganz Europa" (inkl. Deutschland)-> kein Zugang mehr für niemanden mit einer deutschen IP. Wie kann das denn sein?

Bfo

8

German - Deutsch / WAN mit virtuellen IP's -> OPNsense kommt nicht ins Internet

« on: June 28, 2023, 11:56:19 am »

Hallo,

meine OPNsense hat ein Wan Interface, auf welchem mehrere öffentliche IP's liegen.
Diese werden für verschiedene VM's hinter der FW geroutet. Soweit so gut und funktional.

Allerdings kommt die OPNsense selbst nicht mehr ins Internet, um z.B. ein Update zu machen.
Ich habe  die IP's auch alle als Gateway angelegt, bringt aber nichts. Die FW hat keinen Zugang.
Wo kann ich das einstellen, welches GW die OPNsense nutzen soll/darf?

Bfo

9

German - Deutsch / Neue FW mit seriellem Output ohne Ausgabe nach restore

« on: June 22, 2023, 11:49:14 am »

Hallo,

ich habe auf einer neuen Hardware, welche nur einen seriellen Port besitzt, OPNsense installiert. Das klappte auch.
Inkl. Updates usw.
Nachdem ich ein Backup einer anderen OPNsense installiert habe, startet die neue FW (man hört den Start Piep und den "fertig gebootet piep"), aber die serielle Ausgabe zeigt immer nur noch einen kleinen Teil des Bootscreens (leicht zerbröselt) und es sind keine Eingaben möglich.
Das Backup stammt von einer OPNsense FW, welche einen VGA Ausgang besitzt.

Bfo

10

German - Deutsch / OPNsense Login page nicht erreichbar (redierct)

« on: June 21, 2023, 08:41:09 am »

Hallo,

wenn ich mich auf die IP der OPNsense anmelden will, bekomme ich die Seite meines (hinter der OPNsense) stehenden WebServers zu sehen.
Wie kann ich mich wieder anmelden?

Bfo

11

German - Deutsch / Ausgehende IP Adresse setzen

« on: June 13, 2023, 10:17:05 am »

Hallo,
ich habe eine opnsense bei Hetzner auf einem Host in einer VM, welche 4 öffentliche IP Adressen für 4 weitere VM's hat.
Diese liegen als virtuelle IP's auf dem WAN Interface.
Eingehend (also aus dem Internet) werden die 4 IP's auch auf die passenden VMs gelegt, aber ausgehend haben alle 4 VM's alle die gleiche IP, und zwar die 1., welche auf dem WAN Interface liegt.

Ich möchte, dass die  VM's auch mit der IP rausgehen, mit welcher Sie eingehend angesprochen werden.
Wie kann man das bewerkstelligen?

Bfo

12

German - Deutsch / openVPN User Gruppen mit verschiedenen Rechten

« on: June 05, 2023, 09:29:47 am »

Gibt es eine Möglichkeit, opnVPN Clients über Gruppen zu administrieren, welche dann bestimmte Gruppenrechte - also z.B. Zugriffe auf Server usw. haben, bzw. nicht haben sollen - zu regeln?

Wenn ich einen neuen User einen Tunnel gebe, müsste ich ja zunächst eine fetse IP vergeben und dann die Rechte entsprechend für diese IP setzen. Das ist doch recht aufwändig und die Regeltabelle wird größer und unübersichtlicher.

Bfo

13

German - Deutsch / Restore User aus Backup?

« on: May 12, 2023, 05:31:54 pm »

Habe unsere Firewall resettet und wollte gerade das teil backups einspielen, welches die User und deren Passwörter wieder herstellt.
Da gibts aber keinen eigenen Punkt für. In der Sicherung sind die Daten drin, wobei die Passwörter wohl gehasht sind.

Gibt es die Möglichkeit, alle User (und nur diese) wieder herzustellen?

Bfo

14

German - Deutsch / Firewall Regeln greifen nicht

« on: May 12, 2023, 07:16:28 am »

Hallo,

meine Firewall Regeln greifen nicht, ich befürchte, dass irgendeine "Grundeinstellung" falsch ist.
Zum Beispiel habe ich ein openvpn Netz, welches auf 2 LAN Netze zugreifen soll.
Es existiert hierzu in der openvpn Gruppe eine Regel "openvpn to any". Jedoch können die openvpn Clients nur auf das LAN zugreifen, nicht auf das 2. Lan.
Ich könnte das jetzt hier genauer beschreiben, aber die regeln sind nur basics. Der openvpn Server hat in " IPv4 Local Network" natürlich alle Netze drin. Auf einem Client werden die Routen auch für alle Netze gesetzt.
Dennoch kein Zugriff auf andere Netze als das Lan Netz.

Bfo

15

German - Deutsch / admin user cli update hat keine Rechte

« on: May 09, 2023, 08:48:27 am »

Moin,

hab das Thema leider nicht gefunden, obwohl es sicher schon mal gefragt wurde.
Ich habe einen "admin" User, welcher auch admin Rechte hat und dieser soll auf der CLI update/upgrade ausführen dürfen ohne dass nach einem Passwort gefragt wird.
Es gibt  ja keine /etc/sudoers, daher die Frage, wie ich das bewerkstelligen kann.

Bfo