Topics

Hallo Forum,

in der Dokumentation und in Youtube findet man nur Beispiele, wo beide Seiten eine feste IP haben müssen. Damals unter den Legacy-Einstellungen konnte man auch wählen, welche OPNsense den Verbindungsversuch startet. Damit war es möglich an einem Anschluss, der keine feste öffentliche IP hatte dieser Box zu sagen, dass sie den Verbindungsaufbau initiieren sollte.

Wie kann ich es mit den Connections realisieren?

Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).

Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.

Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.

Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.

Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.

Besten Dank für Hinweise

Gruß
Christoph

Hallo Community,

ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.

Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.

Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.

Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.

Wisst Ihr wie das geht?

Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.


Gruß
Christoph

Hallo Forum,

bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.

Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?

Vielen Dank im Voraus.

Gruß
Christoph

Hallo Community,

ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.

Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.

Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.

Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.

Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.

Deklarationen:
Feste IPv4:   80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20


Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins und wie sind diese einzurichten?

  a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
     https://docs.opnsense.org/manual/how-tos/mailgateway.html
   
    Installation der folgenden Plugins
    - ClamAV
    - Postfix
    - Redis
    - Rspamd
   
    und Standard-Einrichtung nach der Online-Hilfe. Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.

  b) Postix-Plugin:
      Unter "System Hostname" den beim Provider festgelegten FQDN "gw.max-meier.de".
      Unter "System Domain" die Mail-Domäne. In diesem Falle "max-meier.de". Hier die Maildomäne nehmen und nicht die local-Domain der OPNsense.
   c) Rspamd
   d) ClamAV
   e) Redis

- Was ist beim Provider einzustellen?

- Was muss man alles im DNS des Providers umstellen?

  a) Anlegen eines A Records: gw.max-meier.de mit Verweis auf die feste IP 80.90.100.110
  b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de

  Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
  am WAN-Interface der OPNsense.


- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?

- Was ist spf?

- Was ist DKIM?

- Was ist DMARC?

- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.

- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?

Hallo Forum,

in der Onlinehilfe der Sense wird erklärt, wie man die Blocklisten von Spamhaus integriert. Ich habe das mal gemacht und fand nun auch Hinweise auf Firehol-Listen.

a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?
b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?

Gruß
Christoph

Hallo Forum,

ich habe bei einem Kunden im internen Netz einen Exchange-Mailserver stehen. Der Kunde hatte vorher eine SOPHOS-UTM und nun eine OPNsense. Bei der SOPHOS habe ich das Mailfiltering aktiv gehabt.

Nun klagt der Kunde über ein stark gestiegenes SPAM-Aufkommen und dass einige seiner Kunden ihm keine Mails mehr schreiben können.

Ich habe das Mailgateway bei der OPNsense gemäß der Onlinehilfe postfix, clamav, rspamd und redis aufgesetzt und auf Standardeinstellungen gelassen.

Nun habe ich zwei Fragen dazu:

a) Was kann ich in den o.g. Plugins noch einstellen, damit weniger SPAM ankommt? Greylisting, DMARC, SPF usw. lassen sich ja nirgends einstellen.

b) Das einige seiner Kunden keine Mails schicken können, könnte vielleicht an einem fehlenden HELO oder so liegen? Oder fällt Euch da was Anderes zu ein?

Oder sollte ich pauschal eine VM (dort läuft auch Proxmox) mit dem Proxmox Mail-Gateway aufsetzen? Wobei ich die Lösung in der Firewall charmanter finde...


Vielen Dank im Voraus.

Gruß
Christoph

Frohe Pfingsten ersteinmal,

wir haben mehrere OPNsenses per OPNcentral an unsere OPNsense angebunden. Gemeinsames Firmware-Update funktioniert wunderbar.

Nun möchte ich aber die einzelnen GUIs über den Link aufrufen und bekomme die Fehlermeldung:

"Please upgrade the node to the latest Business Edition with OPNcentral installed first."

Auf allen Geräten ist die Businiess Edition drauf.

Was kann das sein?

Vielen Dank im Voraus.

Gruß
CHristoph

Guten Morgen in die Runde,

folgendes Problem:
Eine Anwaltskanzlei hatte eine SOPHOS UTM, welche ich durch eine OPNsense ersetzt habe. Grundsätzlich funktioniert alles inkl. Mailgateway für den eigenen Exchange usw. Vor der OPNsense sitzt eine Fritz!Box (192.168.178.1), die die Einwahl macht und in welche ein Exposed-Host auf das WAN-Interface der OPNsense gesetzt ist.

Es gibt neben den Interfaces WAN (192.168.178.2) und LAN (192.168.10.254) noch eins, welches Testamentsregister (192.168.9.254) heisst. An diesem hängt eine sog. Notariatsbox. Das ist ein Cisco-Router, welcher einen VPN-Tunnel zur Bundesnotarkammer stellt.
Wenn die Arbeitsplätze die Notarsoftware XNP öffnen, dann wird geprüft, ob vier Netze 77.76.214.0/23, 185.47.125.0/24, 185.47.126.0/24 und 185.47.126.0/24 erreichbar sind.

Bei der UTM war dazu eine Netzwerkgruppe "NG Testamentsregister" angelegt, in welcher diese vier Netze enthalten waren. Dazu gab es eine Statische Route von dieser Netzwerkgruppe auf die IP der Cisco-Box. Diese hat die IP-Adresse 192.168.9.147.

Ferner gab es auf der Sophos eine NAT-Regel, für das Netz Testamentsregister raus ins Internet, sowie zwei Firewall-Regeln, dass sowohl aus dem LAN ins Testamentsregister-Netz und umgekehrt geroutet werden darf.

Jetzt zur OPNsense:
Das Interface ist entsprechend eingerichtet. Die Cisco-Box hängt an eth2 und ist aus dem LAN anpingbar. Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?

Firewall-Regeln habe ich auch noch die globalen "ich darf alles in jede Richtung", die die OPNsense standardmäßig hat. Ich habe die Regeln ebenso für das Testamentsregister-Netz angelegt.

Ich habe ein zweites Gateway angelegt, welches die IP der Cisco-Box hat und als Mark Down gesetzt. Dann habe ich vier statische Routen angelegt. Jeweils ein Netz der Bundesnotarkammer auf das Gateway "Cisco-Box".

Wenn nun auf den Clients die Notarsoftware gestartet wird, dann sagt diese, dass kein Internet vorhanden sei. Mache ich ein Traceroute von einem Arbeitsplatz auf ein Netz der Bundesnotarkammer, dann sehe ich in der ersten Zeile das WAN-Interface der OPNsense. In der zweiten Zeile die IP-Adresse der Cisco-Box und dann nur noch Zeitüberschreitung. Es scheint so, als kommt die Cisco-Box nicht über das WAN-Interface raus.

Wo liegt hier der Hase im Pfeffer begraben? Ich bilde mir ein, alles korrekt übernommen zu haben.

Vielen Dank für Eure Unterstützung im Voraus.

Gruß
Christoph

Hallo Forum,
Am Standort A werkelt hinter einer Kabel-FritzBox eine OPNsense mit einem Netzwerk (Server, NAS zur Datensicherung usw.). Auf der Fritz!Box ist Exposed-Host auf die OPNsense eingestellt. Alles gut.

Nachts läuft ein Backup auf das NAS, welches danach über einen Site2Site-Wireguard-Tunnel auf ein NAS an Standort B übertragen werden soll.

Am Standort B hängt eine FritzBox direkt mit PPPoe an einem Glasfaseranschluss. Sie stellt WLAN sowie das interne Netzwerk für den Haushalt bereit. Auch alles gut.

Nun soll im Netz der FritzBox eine OPNsense stehen, welche WAN-seitig im FritzBox-Netz hängt und LAN-seitig ein neuen IP-Bereich hat, in welchem das NAS hängt. Die OPNsense soll quasi lediglich ein RED für das NAS sein.

Ich habe die OPNsense am Standort B hier bei mir zu Hause mit den Wireguard-Einstellungen eingerichtet und ebenso die OPNsense am Standort A. Die Verbindung wurde einwandfrei aufgebaut und ich konnte aus dem Netz am Standort A auf das NAS im LAN-Netz der zweiten OPNsense zugreifen.

Ich habe die OPNsense zum STandort B geschickt und den dortigen Bewohner gebeten, diese WAN-seitig an das FritzBox-Netz anzuschliessen und LAN-Seitig das NAS. IP-Adressen stimmen alle.

Die OPNsense soll den Verbindungsaufbau initiieren und versuchen, sich mit der OPNsense am STandort A verbinden (feste IP v4 vorhanden).

Von daher habe ich keinen Exposed-Host auf der FritzBox am STandort B gemacht, um möglichst das dortige Netzwerk nicht zu beeinflussen. Wenn die OPNsense auf Port 51820 einen Verbindungsaufbau versucht, dann müsste ja eine Antwort der OPNsense von Standort A ebenfalls auf Port 51820 durchgelassen werden. Oder muss ich den Port 51820 per PortForwarding an die OPNsense durchlassen?

Besten Dank im Voraus

Gruß
Christoph

Hallo Forum,
ich habe eine OPNsense zu Hause eingerichtet und eine im Büro. Ich habe zu Hause und im Büro jeweils eine öffentliche IPv4 und beide Boxen sind per IPsec miteinander dauerhaft verbunden. Ich kann gegenseitig auf die gegenüberliegenden Netze zugreifen. Alles gut soweit. Die Notebooks der Mitarbeiter sind per OpenVPN als RoadWarrior an das Firmennetz angebunden. Soweit so gut.
Nun möchte ich einen Kundenstandort per IPsec ebenfalls an die OPNsense der Firma anbinden. Auf einem eigenen Interface soll ein Server stehen, den der Kunde aus seinem Netz erreichen kann. Grundsätzlich sollte ich das hinbekommen, aber bei meiner bereits eingerichteten Site2Site-Verbindung Büro <-> Home konnte ich bei den Tunnel Settings (legacy) die jeweiligen WAN-Adressen angeben und gut war. Der Standort des Kunden hat aber keine feste öffentliche IP. Somit muß seine OPNsense (die wird er noch bekommen) die Verbindung initiieren und meine im Büro muß die Verbindung annehmen. Bei Sophos ging das früher so, daß ich der einen Box sagen konnte, dass sie die Verbindung aufbauen soll. Übersehe ich eine Einstellung bei IPsec?

Zweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?

Besten Dank im Voraus.
 

Hallo Forum,
eine ausrangierte SOPHOS SG125 rev.1 soll als OPNsense herhalten. Die vorhandene SSD wurde komplett gelöscht (auch alle Partitionen). OPNsense dann drauf und alles schick.
Die Schnittstellen wurden wie folgt erkannt: Obere Reihe: ix0, ix1... und untere Reihe: igb0, igb1...
Bei der Nutzung der SOPHOS-Firmware war der LAN-Anschluß oben links und daneben der WAN-Anschluß. Nach der Installation erkennt der Installer der OPNsense die igb-Ports als erstes und legt den LAN auf igb0 und den WAN auf igb1 (also untere Reihe). Ich schließe die Box erstmal so ans Netz an und führe den Wizard aus. Danach läuft erstmal alles so wie es soll.
Dann gehe ich in die Interfaces/Assignments und ändere igb0 in ix0 und igb1 in ix1. Dann stecke ich die Kabel um.
So, nun kommt der merkwürdige Effekt:
Ich komme über den LAN-Anschluss weiterhin auf das WebGui. Ein angeschlossener Monitor zeigt mir auch, dass die Box auf der WAN-Seite per DHCP eine Adresse bekommt. Surfen kann ich nun nicht mehr. D.h. sobald ich die Assignments verändere scheint irgendwas anderes nicht mitzuziehen (NAT?, DNS?). Ein ping an google.de wird nicht aufgelöst (auch nicht von der Box selbst).

Habt Ihr da eine Erklärung für?

Besten Dank im Voraus.

Hi Forum,
ich baue gerade meine SOPHOS UTM zurück und übertrage alle Dienste auf die OPNsense. Ich habe im Büro und zu Hause eine feste Public-IP. Sowohl im Büro als auch zu Hause werkelt dann eine OPNsense. Ich habe im Büro einen internen Exchange-Server laufen, der per HAProxy von aussen ansprechbar ist. Das läuft auch mit den Zertifikaten alles super. Standortverknüpfung Büro und Zuhause läuft auch schon per IPsec und ich kann von zu Hause auf das interne Netz im Büro zugreifen.

Nun war es bisher so, daß ich zu Hause auf dem Server zwei Nextcloud-Server laufen habe. Einen für's Büro und einen für privat. Beide NC-Server werden über Sub-Domains mit unterschiedlicher TLD aufgerufen. Also sinngemäß: cloud.domain.de und cloud.domain.net. Bei beiden Sub-Domains ist beim Hoster der A-Record auf meine feste Public-IP von zu Hause eingestellt.

Bei der alten SOPHOS-Firewall konnte ich in deren Web-Proxy die Domains sauber unterscheiden und den jeweiligen beiden Servern zuweisen.

Nun habe ich nach der Anleitung von TheHellSite den HAProxy aufgesetzt und lasse per ACME für cloud.domain.de und für cloud.domain.net die Zertifikate ausstellen. Funktioniert auch.

Ich habe nun einmal für cloud.domain.de alle Einstellungen in HAProxy gemacht und kann von ausserhalb und von innen prima auf die private Nextcloud zugreifen.

Nun möchte ich aber auch auf die zweite Nextxloud zugreifen wollen. Ich habe dazu im HAProxy einen zweiten Server angelegt, im HTTPS-Fronted des Public Service das zweite Zertifikat hinzugefügt und im Nextcloud-Backend-Pool den zweiten Server hinzugefügt.

Ich kann nun immer nur noch auf die private, zuerst eingerichtete Nextcloud zugreifen. Bei der dienstlichen Nextcloud gibt's eine Fehlermeldung.

Das Map-File liest ja eigentlich nur die Subdomäne "cloud" aus und übergibt dann an den Backend-Pool. Und hier scheint das Problem zu liegen. Der HAProxy kann nicht entscheiden, an welchen Server die Anfrage gestellt wird, da lediglich "cloud" abgefragt wird und nicht "cloud.domain.de" und "cloud.domain.net".

Vielleicht ist die Lösung einfach, aber ich komme nicht drauf :-).

Habt Ihr eine Idee?

Hello forum,

I have linked my OPNsense with several other OPNsenses via OPNcentral. The connections are established and I can see all firmware versions etc.
However, when I call up the URL for some firewalls from the status page, the WebGUI of the remote firewall should open.

However, the error message appears:

Unable to login automatically.
Please upgrade the node to the latest Business Edition and make sure your browser can connect to it.

According to Deciso, the error message appears if the Business Edition is not installed on the firewalls. But it is. The licenses are also entered in each case.

This is the case with five remote firewalls. It works with one.

Is there another approach to this problem?

Many thanks in advance.

Greetings
Christoph

Hallo Forum,

ich habe hier eine Grundlagenfrage.

Beim Installationswizard oder später im o.g. Menü, kann man den Hostnamen der OPNsense und einen Domänennamen vergeben. Ich habe hierzu folgende Fragen, die mir nicht ganz klar sind und in diversen Post und YT-Videos nicht so richtig erklärt werden:

a) Hostname ist eigentlich klar. Trage ich bei der "Domain" meine interne lokale Domain oder meine öffentlich Domain ein? Was macht es für einen Unterschied, wenn ich die lokale oder die öffentliche eintrage?

b) Wenn ich später bei einer "fertig" konfigurierten OPNsense den Hostname und/oder die Domain ändere, betrifft es dann schon erzeugte Zertifikate und muss ich die dann neu erzeugen lassen? Ich denke da an Zertifikate von OpenVPN für Server- und CLients o.ä.

Hallo Forum,

ich habe meine OPNsense mit einigen anderen OPNsenses per OPNcentral verknüpft. Die Verbindungen stehen und ich sehe alle Firmwarestände usw.
Wenn ich aber bei einigen Firewalls aus der Status-Seite die URL aufrufe, dann sollte sich das WebGUI der Remote-Firewall öffnen.

Es kommt aber die Fehlermeldung:

Unable to login automatically.
Please upgrade the node to the latest Business Edition and make sure your browser can connect to it.

Laut Deciso kommt die Fehlermeldung, wenn auf den Firewalls nicht die Business Edition installiert ist. Das ist sie aber. Die Lizenzen sind auch jeweils eingetragen.

Bei fünf Remote-Firewalls ist dieses der Fall. Bei einer funktioniert es.

Gibt es einen anderen Ansatz für dieses Problem?

Vielen Dank im Voruas.

Gruß
Christoph

Hallo Forum,
ich habe eine OPNsense BE von v24.7 auf v24.10.1 upgedatet. Nach dem Neustart hatte ich aus dem LAN keinen Zugriff mehr ins Internet.

Nun kommt das Merkwürdige: Wenn ich unter "Interfaces/LAN" lediglich auf "Save" klicke und anschließend auf "Apply", dann funktioniert der Zugriff sofort wieder.

Das Problem ist reproduzierbar. Wenn ich danach reboote, dann ist nach dem Neustart der Internetzugriff wieder nicht möglich. Ein Klick auf Save beim LAN-Interface und schon ist wieder alles okay.

Hatte jemand von Euch dieses Problem schonmal und kann mir eine Lösung anbieten?

Besten Dank im Voraus.

Gruß
Christoph

Hallo Forum,
ich habe nun mal eine OPNsense neu aufgesetzt und u.a. OpenVPN per "Instances" eingerichtet.

Wenn ich auf meinem Notebook, welches in irgendeinem anderen Netz ist, den Tunnel aufbaue, kann ich auf sämtliche Ressourcen zugreifen. Wenn ich auf dem Notebook lokal, bei stehendem Tunnel, eine Webseite aufrufen will, dann funktioniert das nicht.

Ich denke, dass das ein DNS-Thema sein wird. Nun gibt es ja zwei Ansätze:

a) Sämtlicher Verkehr geht durch den Tunnel. D.h. die DNS-Anfragen und die Informationen, die die Webseite anzeigen soll
b) Lediglich die Anfragen in das entfernte Netz werden durch den Tunnel geschoben und alles andere funktioniert weiterhin im lokalen Netz.

Mit fehlt hier der Überblick. Mag mir jemand kurz die Einstellungen zu den beiden o.g. Varianten erläutern?

Vielen Dank im Voraus.

Gruß
Christoph

Hallo Forum,

ist eine Neuinstallation mit ZFS nun eigentlich die bevorzugte Variante oder sollte ich bei UFS für künftige Installationen bleiben?

Gruß
Christoph

Hallo Forum,

ich habe im Büro eine OPNsense an einem DSL-Anschluss einem mit Vigor 165 laufen. Der Anschluss hat eine feste externe IP und die OPNsense wählt sich per PPPoE selbst ein.

Ich möchte nun zu Hause eine OPNsense in Betrieb nehmen, um die beiden Netze zu verbinden. Zu Hause habe ich einen Glasfaseranschluß mit Glasfasermodem, an welchem die OPNsense ebenfalls eine direkte Einwahl macht. Zu Hause habe ich ebenfalls eine feste externe IP. Die OPNsense wählt sich per PPPoE ein.

Beide OPNsense wählen sich ein und ich kann jeweils auf beiden Seiten im internen Netz surfen. Die öffentlichen festen IPs werden in der OPNsense auch angezeigt.

Nun gibt es ja viele Anleitungen im Internet für die Verbindung untereinander.

Ich habe im Büro das Netz 10.0.10.0/24 und zu Hause das Netz 10.10.10.0/24. Als Tunnelnetz habe ich das 10.0.100.0/24 ausgesucht. Die Sense im Büro soll der Server sein und die Sense zu Hause der Client.

Ich habe also im Büro den OpenVPN-Server eingerichtet und zu Hause einen OpenVPN-Client. Beides im Legacy-Modus. auf der Server-Sense zusätzlich 2 FW-Regeln. Die eine Regel, dass die Anfragen am WAN-Interface auf Port 1195 durchgelassen werden und die zweite Regel, dass auf dem OpenVPN-Interface die Pakete ins Firmen-LAN dürfen.

Zu Hause nur die eine Regel, dass die Pakete auf dem OpenVPN-Interface in das Zuhause-LAN dürfen.

NAT steht auf beiden Seiten auf "Automatic outbound NAT".

Nun die Problematik: Der Tunnel wird aufgebaut. Das kann ich unter "Connection Status" bei beiden Seiten sehen. Auf beiden Seiten steht "connected". Aber mehr funktioniert nicht. Pings aus dem Heimnetz auf einen Server im Büro geben 100% loss. Eine RDP-Anfrage von zu Hause auf meinen Temrinalserver im Büro scheitert ebenfalls.

Was muss ich denn noch zusätzlich einstellen, dass ich in beide Richtungen auf die Ressourcen zugreifen kann?

Wie zuvor beschrieben, sind das de Einstellungen bei vielen Anleitungen, die man googelt. Eigentlich immer gleich. Leider funktioniert das so nicht. Als würde noch irgendwas fehlen.

Ich freue mich über zahlreiche Antworten :-). Vielen Dank im Voraus.

Viele Grüße
Christoph