Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - Sany

Pages: [1]

23.7 Legacy Series / Firewall rules are ignored.. but a little bit goes pass...

« on: August 10, 2023, 03:43:51 pm »

Hello,

I have a Interface called "VLAN15 (172.16.15.0)" and i have a MQTT Server on a other Subnet (172.16.1.5) i will only allow the MQTT Port, but it's not working.....

Crazy thing, my packets are blocked and pass, but the firewall ignores my rules on VLAN15...

what is todo?

German - Deutsch / IPSec mit Fritz!Box und OpnSense

« on: August 10, 2023, 09:06:15 am »

Moin Zusammen,

Ich habe eine Fritz!Box 6820v3 LTE mit einem Geschäftskundentarif und habe entsprechend eine öffentlich erreichbare IPv4 an der Fritz!Box.

Meine Konstellation:

Fritz!Box LTE (Intern 172.16.9.1/24) (IP: 1.1.1.1) -----> OpnSense im RZ (IP: 2.2.2.2) -> Internes Netz (172.16.1.0/24, GW: 172.16.1.1)

So, der Verbindungsaufbau IPSec war nicht das Problem, das Problem ist nur, das vermeintlich nichts durch das Tunnel geht.
Ich kann aus dem Netz der Fritz!Box das GW 172.16.1.1 nicht anpingen. (Habe auch schon auf Windows "route add 172.16.1.0 mask 255.255.255.0 172.16.1.1") gemacht, ohne erfolg.

Aus dem Netz der OpnSense (172.16.1.0/24) kann das das GW 172.16.9.1 auch nicht pingen, der Ping geht aber durch die Firewall durch und wird auch als ICMP (Grün) im Firewall Log angezeigt und der Zähler Bytes Out addiert sich...

Phase 1 und 2 sind completed, es steht auch bei Phase 2 "INSTALLED" der Zähler Bytes Out zählt auch den Ping, aber der Zähler Bytes IN bleibt hartnäckig auf 0....

Eine Rule von Source IPSec ins interne LAN habe ich erstellt...

Hier mal meine Fritz!Box Konfig:

Code: [Select]

vpncfg {
connections {
  enabled = yes;
  editable= yes;
  use_ikev2 = no;
  conn_type = conntype_lan;
  name = "VPN";
  always_renew = yes;
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 2.2.2.2;
  local_virtualip = 0.0.0.0;
  remoteip = 1.1.1.1;
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "SECRET";
    }
  remoteid {
   fqdn = "SECRET";
    }
  mode = phase1_mode_aggressive;
  phase1ss = "all/all/all";
  keytype = connkeytype_pre_shared;
  key = "SECRET";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 172.16.9.0;
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 172.16.1.0;
      mask = 255.255.255.0;
      }
    }
  phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
  accesslist = "permit ip any mask 255.255.255.0 172.16.1.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Hat jemand eine Idee?!

General Discussion / Block/Pass Problem with Rules...

« on: June 10, 2023, 11:48:27 am »

Hello,

I have a local network (172.16.10.0/24) and a VLAN8 Network (172.16.8.0/24)
i want to block all traffic to the local LAN, that works fine,
i want to allow traffic vom VLAN8 to public, that works, (it brings the problem, access on all vlans :-( )

but i want to pass traffic to a specific device on the lan network side (MySQL Server, ICMP)

my client can't ping to the localnetwork, fine.
my client can ping to google ( 8.8.8.8 ) fine.

but my client can't ping to the specific device in the LAN..

why my rule not working?

German - Deutsch / VLAN Kommunikation

« on: June 10, 2023, 09:36:14 am »

Hallo Zusammen,

Habe ein ziemliches Problem, oder vielleicht denke ich auch falsch...
Ich habe einen Proxmox Server mit einer Netzwerkkarte, hier liegt die öffentliche IPv4 meines Providers.
Dann habe ich lediglich noch 2 Linux Bridges eingerichtet für LAN und VLANs.

vmbr0 -> WAN / vtnet0
vmbr1-> LAN/ vtnet1 (172.16.1.0/24)
vmbr2 -> VLANs vtnet2 (172.16.2.0/24)

auf dem vmbr2 habe ich in opnsense das VLAN5 eingerichtet (172.16.5.0/24)

Nun habe ich eine Linux Debian VM mit vmbr2:
VLAN Tag 5 und (172.16.5.2)
VLAN Tag 8 mit (172.16.8.2)

Ohne entsprechende Rule komme ich natürlich nicht ins öffentliche Netzwerk...

Deshalb folgende Rule:
https://img.onl/jTjvUC
IPv4, VLAN8, * * * * *

Nun kann aber das VLAN8 mit allen Subnetzen und VLANs kommunizieren (Merkwürdig, mit den IPSec Tunnels jedoch nicht!)

Müsste es nicht so sein, das automatisch der Traffic zwischen den Netzwerken geblockt wird?
Oder wie müsste ich meine VLAN Rules anpassen? Wenn ich als Destination WAN net wähle, geht leider gar nichts raus..

Gibts denn eine ultimative Rule um generell den Verkehr zwischen den Netzwerken untereinander zu unterbinden?
Bei Sophos war das irgendwie einfacher, bzw. musste man die Netzwerke explizit zur Kommunikation freigeben...

vielen lieben Dank,

German - Deutsch / IPv6 Gateway Problem...

« on: May 21, 2023, 03:05:19 pm »

Moin Zusammen,

Bin relativ neu im Thema OPNsense, nutze normal nur Sophos XG.

Ich habe folgendes Setup:

1. Fritz!Box Cable (192.168.178.x/24) -> opnSense (172.16.1.254/24) -> Rechnernetzwerk (172.16.1.x/24) -> Rechner 1 (172.16.1.50)

Nun ist in der FritzBox IPv6 inkl. RA aktiviert, die opnSense erhält am WAN interface auch eine IP-Adresse, das WAN Interface ist Konfiguriert mit (DHCPv6)

Nun kann ich von der opnSense IPv6 Adressen anpingen, aber aus meinem Rechner Netzwerk nicht.
Ich kann vom Rechnernetzwerk alle internen IPv6 anpingen, inkl. das Standard GW (Das ich übrigends nirgends setze!)

Die Rules habe ich auch schon angepasst, irgendwie ist der Wurm drin..
habe mal ein paar bilder hochgeladen, vielleicht kann mir jemand helfen?

Pages: [1]