1
German - Deutsch / Re: Site to MultiSite
« on: September 13, 2024, 10:01:48 pm »
Es ist OpenVPN
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
German - Deutsch / Site to MultiSite
« on: September 13, 2024, 08:04:42 pm »
Hallo,
ich habe ersteinmal ehr ein theoretische Frage.
Ein normales Site to Site Setup ist mir klar. Server... Routing uns so weiter
Für ein Site to MultiSite habe ich bis jetzt für jede "Gegenstelle" einen eigenen Server aufgesetzt...
Soweit so gut.
Nun stellt sich mir die Frage, kann ich einen Server nutzen um mehrere Sites abzudecken? Und wenn ja, wo liegen die Stolperstein.
Zumal sich das VPN Setup mittlerweile auch geändert hat
Danke
ich habe ersteinmal ehr ein theoretische Frage.
Ein normales Site to Site Setup ist mir klar. Server... Routing uns so weiter
Für ein Site to MultiSite habe ich bis jetzt für jede "Gegenstelle" einen eigenen Server aufgesetzt...
Soweit so gut.
Nun stellt sich mir die Frage, kann ich einen Server nutzen um mehrere Sites abzudecken? Und wenn ja, wo liegen die Stolperstein.
Zumal sich das VPN Setup mittlerweile auch geändert hat
Danke
3
German - Deutsch / Re: eigenes Geoblocking für eine IP Adresse umgehen
« on: July 04, 2024, 05:06:58 pm »
Leider nicht, ich habe eine IPv4 die ich erreichen möchte
4
German - Deutsch / eigenes Geoblocking für eine IP Adresse umgehen
« on: July 04, 2024, 04:27:01 pm »
Hallo,
ich habe auf der WAN Schnittstelle in der Richtung OUT geoblocking aktiviert.
Nun möchte ich für eine IP das geoblocking umgehen. 192.168.178.220/32
leider wir die IP Adresse trotzdem geblockt.
Ich erwarte eigentlich, dass die Regeln von oben nach unten abgearbeitet werden und nach dem first match einfach durchgelassen werden
hier das Netzwerk:
Wenn ich die zweite Regel deaktiviere komme ich auf die Webseite - aber dann logischerweise von allen
Ich glaube ich sehe den Wald vor lauter Bäumen nicht
Für hinweise bin ich dankbar
ich habe auf der WAN Schnittstelle in der Richtung OUT geoblocking aktiviert.
Nun möchte ich für eine IP das geoblocking umgehen. 192.168.178.220/32
leider wir die IP Adresse trotzdem geblockt.
Ich erwarte eigentlich, dass die Regeln von oben nach unten abgearbeitet werden und nach dem first match einfach durchgelassen werden
hier das Netzwerk:
Code: [Select]
Ethernet-Adapter Ethernet 5:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 192.168.178.220
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1Wenn ich die zweite Regel deaktiviere komme ich auf die Webseite - aber dann logischerweise von allen
Ich glaube ich sehe den Wald vor lauter Bäumen nicht
Für hinweise bin ich dankbar
5
German - Deutsch / Re: Nginx mit Client Zertifikat und whitelist
« on: January 15, 2024, 05:06:50 pm »
Ja,
die nginx Anleitungen im allgemeinen kenne ich. Jetzt suche ich das ganze im speziellen für opnsense, da ich ja hier nicht einfach an den configs rum fummeln kann.
die nginx Anleitungen im allgemeinen kenne ich. Jetzt suche ich das ganze im speziellen für opnsense, da ich ja hier nicht einfach an den configs rum fummeln kann.
6
German - Deutsch / Nginx mit Client Zertifikat und whitelist
« on: January 14, 2024, 09:32:06 am »
Hallo,
ich habe nginx mit Client Zertifikaten eingerichtet. Gibt es eine Möglichkeit whitelisting für IP Adressen ohne Client Zertifikat zu machen? Mit den ACLs klappt es nicht wirklich.
Danke
ich habe nginx mit Client Zertifikaten eingerichtet. Gibt es eine Möglichkeit whitelisting für IP Adressen ohne Client Zertifikat zu machen? Mit den ACLs klappt es nicht wirklich.
Danke
7
German - Deutsch / Nginx blockt Pythonscripte
« on: January 07, 2024, 10:03:40 am »
Hallo,
ich habe festgestellt, dass der Nginx Pythonrequests blockt.
Wenn ich mit dem Pythonscript ohne Nginx auf den Endpunkt zugreife, funktioniert das Script.
Wenn ich in dem Pythonrequest im Header den User Agent ändere, kann ich auch über Nginx auf den Endpunkt zugreifen.
Mein Problem ist also grundsätzlich gelöst.
Jetzt meine Frage, an welcher Stelle hätte ich das rauslesen können?
Ich finde keine Einstellung in dem Ich diese Verhalten ändern kann, bzw wo diese Verhalten beschrieben ist.
Danke.
ich habe festgestellt, dass der Nginx Pythonrequests blockt.
Wenn ich mit dem Pythonscript ohne Nginx auf den Endpunkt zugreife, funktioniert das Script.
Wenn ich in dem Pythonrequest im Header den User Agent ändere, kann ich auch über Nginx auf den Endpunkt zugreifen.
Mein Problem ist also grundsätzlich gelöst.
Jetzt meine Frage, an welcher Stelle hätte ich das rauslesen können?
Ich finde keine Einstellung in dem Ich diese Verhalten ändern kann, bzw wo diese Verhalten beschrieben ist.
Danke.
8
German - Deutsch / OpenVPN Bond
« on: October 13, 2023, 02:33:07 pm »
Hallo,
ich weiß, dass man mit OpenVPN grundsätzlich] ein Bond einrichten kann.
Geht das auch mit opnsense über die GUI? Hat damit schon jemand Erfahrung gesammelt?
Danke
ich weiß, dass man mit OpenVPN grundsätzlich] ein Bond einrichten kann.
Geht das auch mit opnsense über die GUI? Hat damit schon jemand Erfahrung gesammelt?
Danke
9
German - Deutsch / Temporary failure in name resolution
« on: September 05, 2023, 07:37:09 pm »
Hallo,
kann mir jemand erkären, an wechler stelle ich mit suchen anfangen sollte?
Kurzbeschreibung:
Opnsense aktuelle Version
Kurz nach dem Start der Firewall erhalte ich folgende Fehlermeldung, wenn ich pingen will:
Temporary failure in name resolution
als DNS Server habe ich den 8.8.8.8 eingetragen.
Mittels nslookup kann ich den Namen auch auflösen.
und die aufgelöste IP kann ich auch anpingen.
eigentlich ein reines DNS Problem. Wenn ich den DNS Server auf die IP der opnsense lege geht es auch.
Ich habe die opnsese deswegen in verdacht, weil alle Systeme hinter der Firewall das Problem haben ( ok, sind nur zwei) und weil es kurz nach dem Neustart noch geht.
Danke
kann mir jemand erkären, an wechler stelle ich mit suchen anfangen sollte?
Kurzbeschreibung:
Opnsense aktuelle Version
Kurz nach dem Start der Firewall erhalte ich folgende Fehlermeldung, wenn ich pingen will:
Temporary failure in name resolution
als DNS Server habe ich den 8.8.8.8 eingetragen.
Mittels nslookup kann ich den Namen auch auflösen.
und die aufgelöste IP kann ich auch anpingen.
eigentlich ein reines DNS Problem. Wenn ich den DNS Server auf die IP der opnsense lege geht es auch.
Ich habe die opnsese deswegen in verdacht, weil alle Systeme hinter der Firewall das Problem haben ( ok, sind nur zwei) und weil es kurz nach dem Neustart noch geht.
Quote
root@docker01:~# ping web.de
ping: web.de: Temporary failure in name resolution
root@docker01:~# cat /etc/resolv.conf
nameserver 8.8.8.8
root@docker01:~# nslookup
> web.de
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: web.de
Address: 82.165.229.83
Name: web.de
Address: 82.165.229.138
> exit
root@docker01:~# ping 82.165.229.83
PING 82.165.229.83 (82.165.229.83) 56(84) bytes of data.
64 bytes from 82.165.229.83: icmp_seq=1 ttl=245 time=22.4 ms
^C
--- 82.165.229.83 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.397/22.397/22.397/0.000 ms
Danke
10
German - Deutsch / Re: openVPN site2site mit redirect Gateway
« on: August 06, 2023, 08:27:40 pm »
Hallo
hier das Outbound NAT von der Client Seite
hier das Outbound NAT von der Client Seite
11
German - Deutsch / openVPN site2site mit redirect Gateway
« on: August 06, 2023, 08:34:20 am »
Hallo,
ich habe eine einfaches Site2Site nach der Anleitung von opnsense aufgebaut (beide Seiten opnsense). läuft!
Nun wollte ich den gesamten Traffic durch den VPN Routen.
Dafür habe ich den Hacken redirect Gateway auf dem Server gesetzt. Nun hätte ich erwartet, dass der komplette Traffic über den Server geroutet wird.
Zusätzlich habe ich auf dem opnsense Client die 0.0.0.0/0 bei IPv4 remote Network eingetragen.
Wenn ich auf der Remote Site mir die öffentliche IP anschaue (vom Client Rechner -> wie ist meinIp) ist das immer noch die öffentlich IP von vorher und nicht die öffentliche IP vom Server.
Wo liegt der Denkfehler?
Danke
ich habe eine einfaches Site2Site nach der Anleitung von opnsense aufgebaut (beide Seiten opnsense). läuft!
Nun wollte ich den gesamten Traffic durch den VPN Routen.
Dafür habe ich den Hacken redirect Gateway auf dem Server gesetzt. Nun hätte ich erwartet, dass der komplette Traffic über den Server geroutet wird.
Zusätzlich habe ich auf dem opnsense Client die 0.0.0.0/0 bei IPv4 remote Network eingetragen.
Wenn ich auf der Remote Site mir die öffentliche IP anschaue (vom Client Rechner -> wie ist meinIp) ist das immer noch die öffentlich IP von vorher und nicht die öffentliche IP vom Server.
Wo liegt der Denkfehler?
Danke
12
German - Deutsch / Re: Bridged Interface und Firewall
« on: July 05, 2023, 05:29:25 pm »
Das habe ich in der Tat nicht gemacht.
Ich fand das Setup intuitiv und hatte deswegen nicht nach geschaut
Danke schön.
Ich fand das Setup intuitiv und hatte deswegen nicht nach geschaut
Danke schön.
13
German - Deutsch / Bridged Interface und Firewall
« on: June 20, 2023, 10:37:26 am »
Hallo,
ich habe eine Verständnisfrage.
Lage:
Ich habe hier ein kleines System mit 6 Ports.
Port 1 habe ich als WAN konfiguiert (DHCP)
Port 2-6 habe ich zu einer Bridge zusammen gefasst. (172.17.1.0/24)
An Port 2 ist ein Laptop 17.17.1.102 (DHCP)
An Port 3 ist ein Scanner 17.17.1.101 (DHCP)
Das System ist als Site2Site mit OpenVPN (hier quasi Offsite) eingerichtet.
Die Firewall Rules habe ich auf die Bridge gelegt.
Ich komme mit allen Systemen ins Internet und auf die andere Seite des VPN Tunnels.
Ich komme von der gegenüberliegenden Seite auf beide Endgeräte.
Ich komme nicht von dem Laptop an Port 2 auf den Scanner an Port 3
Jetzt habe habe ich auf beiden Ports noch eine any - any Regel gesetzt. Nun komme ich auch vom Latop auf den Scanner
Jetzt die Frage:
Warum muss ich noch eine Regel direkt auf die Ports setzen, wenn ich innerhalb der Bridge auf das andere Gerät möchte?
Danke
ich habe eine Verständnisfrage.
Lage:
Ich habe hier ein kleines System mit 6 Ports.
Port 1 habe ich als WAN konfiguiert (DHCP)
Port 2-6 habe ich zu einer Bridge zusammen gefasst. (172.17.1.0/24)
An Port 2 ist ein Laptop 17.17.1.102 (DHCP)
An Port 3 ist ein Scanner 17.17.1.101 (DHCP)
Das System ist als Site2Site mit OpenVPN (hier quasi Offsite) eingerichtet.
Die Firewall Rules habe ich auf die Bridge gelegt.
Ich komme mit allen Systemen ins Internet und auf die andere Seite des VPN Tunnels.
Ich komme von der gegenüberliegenden Seite auf beide Endgeräte.
Ich komme nicht von dem Laptop an Port 2 auf den Scanner an Port 3
Jetzt habe habe ich auf beiden Ports noch eine any - any Regel gesetzt. Nun komme ich auch vom Latop auf den Scanner
Jetzt die Frage:
Warum muss ich noch eine Regel direkt auf die Ports setzen, wenn ich innerhalb der Bridge auf das andere Gerät möchte?
Danke
14
German - Deutsch / Re: Portforwarding geht nicht
« on: November 14, 2022, 08:53:59 pm »
Hallo,
Du willst von A nach B zugreifen. - Ja
Auf B sieht das so aus, wie ein Zugriff von extern. - JA
Wenn du NAT sagst meinst du daher "Portweiterleitung: NAT", oder? - Ja
Wenn ja, dann habe ich das gerade geändert. Gleiches verhalten.
Ja das weiß ich auch nicht
Spaß bei Seite. HBCI liegt auf Port 3000 und ich habe auf Port 3000 einen Webservice laufen, desegen zeigt opnsense sie als known Port an.
Ich erweitere mein Schaubild
Ich habe noch zwei weitere Netze Netz C und Netz D.
aus beiden Nezten komme ich wie erwartet über das Netz A und die Portweiterleitung auf das dahinter liegende Netz B
Folglich ist die Portweiterleitung korrekt eingerichtet.
Ich habe aus dem Netz A verschiedene Endgeräte probiert um in das Netz B zu kommen, leider habe ich es mit keinem Gerät geschafft.
Hier habe ich den Auszug aus der Live View
Hier öffnen der Webseite mit dem Browser
mit der IP 192.168.200.113 sehe ich nur zwei Anfragen die zurück gehen. Mir ist auch nicht klar warum ich die eingehenden auf dem WAN Interface nicht sehe
mit der IP 172.16.2.101 gibt es ein paar mehr Paket und die Seite wird auch aufgebaut
Hier noch der Auszug mit folgenden Befehl
für beide Connect versuche erhalte ich je ein Eintrag, allerdings kann ich aus dem Netz 192.168.200.0/24 keine verbindung aufbauen
Du willst von A nach B zugreifen. - Ja
Auf B sieht das so aus, wie ein Zugriff von extern. - JA
Wenn du NAT sagst meinst du daher "Portweiterleitung: NAT", oder? - Ja
Quote
Du könntest versuchen bei der Zieladresse in der NAT Regel die WAN Adresse von A einzutragen.Du meinst anstatt any -> This Firewall?
Wenn ja, dann habe ich das gerade geändert. Gleiches verhalten.
Quote
Ansonsten mal in die Liveansicht der Protokolldateien schauen. Und warum du HBCI in einer solchen Konstellation weiterleiten willst will ich wahrscheinlich nicht wissen :-)
Ja das weiß ich auch nicht
Spaß bei Seite. HBCI liegt auf Port 3000 und ich habe auf Port 3000 einen Webservice laufen, desegen zeigt opnsense sie als known Port an.Ich erweitere mein Schaubild
Code: [Select]
------------+ +------------------------------------------------ +-----------------------------------------------------------------+
|Internet--- |opnsense (Netz A) |----------| opnsense (Netz B) |
| | |WAN (DHCP) LAN(192.168.200.1/24) | | WAN (DHCP 192.168.200.194) LAN (10.201.1.1/24) |
------------+ +-------------+------------------------+--------- +------------------------------------------------------------------
| |
+-------------------------------+ |
| Netz C (172.16.2.0/24) | |
+-------------------------------+ |
+-----------+----------------+
|Netz D (172.16.3.0/24 |
+---------------------------+
Ich habe noch zwei weitere Netze Netz C und Netz D.
aus beiden Nezten komme ich wie erwartet über das Netz A und die Portweiterleitung auf das dahinter liegende Netz B
Folglich ist die Portweiterleitung korrekt eingerichtet.
Ich habe aus dem Netz A verschiedene Endgeräte probiert um in das Netz B zu kommen, leider habe ich es mit keinem Gerät geschafft.
Hier habe ich den Auszug aus der Live View
Hier öffnen der Webseite mit dem Browser
Code: [Select]
lan 2022-11-14T19:36:34 172.16.2.101:63396 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63395 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63394 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:24 172.16.2.101:63393 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:23 172.16.2.101:63392 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:36:22 172.16.2.101:63391 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:35:01 192.168.200.113:58713 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:35:01 192.168.200.113:58712 10.201.1.3:3000 tcp let out anything from firewall host itself
mit der IP 192.168.200.113 sehe ich nur zwei Anfragen die zurück gehen. Mir ist auch nicht klar warum ich die eingehenden auf dem WAN Interface nicht sehe
mit der IP 172.16.2.101 gibt es ein paar mehr Paket und die Seite wird auch aufgebaut
Hier noch der Auszug mit folgenden Befehl
Code: [Select]
Test-NetConnection -computername 192.168.200.194 -port 3000Code: [Select]
lan 2022-11-14T19:47:43 192.168.200.113:58932 10.201.1.3:3000 tcp let out anything from firewall host itself
lan 2022-11-14T19:47:27 172.16.2.101:63429 10.201.1.3:3000 tcp let out anything from firewall host itself
für beide Connect versuche erhalte ich je ein Eintrag, allerdings kann ich aus dem Netz 192.168.200.0/24 keine verbindung aufbauen
15
German - Deutsch / Portforwarding geht nicht
« on: November 13, 2022, 04:18:52 pm »
Hallo,
ich habe eigentlich ein einfaches Problem, welches ich trotzdem nicht zum laufen bekomme.
Opnsense ist firsch installiert (Läuft auf einem Proxmox Server mit zwei NICs) und abgesehen von den IP Adressen und NAT ist noch nichts konfiguriert
Nun versuche ich aus den Netz A über NAT in das Netz B zu kommen.
Eigentlich geht fast alles (außer NAT)
Rechner aus Netz A (IP 192.168.200.113/24 )-> Internet
Erwartungs gemäß, geht der Hop über die zusätzliche Firewall
Ich kann auch von Netz B nach Netz A Pingen
Interessanterweise klappt es mit Tracerout (von Netz B nach Netz A) nur mit deaktiviert Firewall
Ohne Firewall
Das ganze geht dann noch bis 30
So sieht es bei NAT aus
Bei Interfaces fehlt sowohl der Hacken bei "Block private networks" und auch bei "Block bogon networks"
Hier noch der Porttest von Netz A
Ich wäre dankbar wenn hier jemand einen Tipp für mich hätte.
ich habe eigentlich ein einfaches Problem, welches ich trotzdem nicht zum laufen bekomme.
Opnsense ist firsch installiert (Läuft auf einem Proxmox Server mit zwei NICs) und abgesehen von den IP Adressen und NAT ist noch nichts konfiguriert
Code: [Select]
------------+ +------------------------------------------------ +-----------------------------------------------------------------+
|Internet--- |opnsense (Netz A) |----------| opnsense (Netz B) |
| | |WAN (DHCP) LAN(192.168.200.1/24) | | WAN (DHCP 192.168.200.194) LAN (10.201.1.1/24) |
------------+ +------------------------------------------------ +------------------------------------------------------------------
Nun versuche ich aus den Netz A über NAT in das Netz B zu kommen.
Eigentlich geht fast alles (außer NAT)
Rechner aus Netz A (IP 192.168.200.113/24 )-> Internet
Code: [Select]
1 <1 ms <1 ms <1 ms 192.168.200.1
2 6 ms 6 ms 6 ms gate1.vit0.new3.ccnst.de [109.199.176.8]
3 * 9 ms 16 ms icpeer1.muc0.new3.ccnst.de [109.199.178.106]
4 8 ms 8 ms 8 ms pvpeer15169-ext1.muc0.new3.ccnst.de [109.199.161.34]
5 9 ms 9 ms 9 ms 108.170.247.97
6 8 ms 8 ms 9 ms 209.85.247.143
7 9 ms 8 ms 9 ms dns.google [8.8.8.8]
Rechner aus Netz B -> Internet Code: [Select]
1 10.201.1.1 (10.201.1.1) 0.174 ms 0.151 ms 0.147 ms
2 192.168.200.1 (192.168.200.1) 0.474 ms 0.470 ms 0.465 ms
3 gate1.vit0.new3.ccnst.de (109.199.176.8) 6.336 ms 6.332 ms 6.327 ms
4 icpeer1.muc0.new3.ccnst.de (109.199.178.106) 16.345 ms 15.899 ms 17.195 ms
5 pvpeer15169-ext1.muc0.new3.ccnst.de (109.199.161.34) 9.014 ms 9.011 ms 9.006 ms
6 74.125.244.97 (74.125.244.97) 10.602 ms 10.265 ms 108.170.247.97 (108.170.247.97) 9.397 ms
7 209.85.247.201 (209.85.247.201) 9.391 ms 142.251.68.121 (142.251.68.121) 9.105 ms 142.251.68.125 (142.251.68.125) 9.491 ms
8 dns.google (8.8.8.8) 8.903 ms 8.706 ms 8.693 msErwartungs gemäß, geht der Hop über die zusätzliche Firewall
Ich kann auch von Netz B nach Netz A Pingen
Code: [Select]
root@docker01:~# ping -c 1 192.168.200.113
PING 192.168.200.113 (192.168.200.113) 56(84) bytes of data.
64 bytes from 192.168.200.113: icmp_seq=1 ttl=127 time=1.03 ms
--- 192.168.200.113 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.031/1.031/1.031/0.000 ms
root@docker01:~# Interessanterweise klappt es mit Tracerout (von Netz B nach Netz A) nur mit deaktiviert Firewall
Ohne Firewall
Code: [Select]
traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
1 10.201.1.1 (10.201.1.1) 0.244 ms 0.214 ms 0.206 ms
2 192.168.200.113 (192.168.200.113) 0.870 ms 0.866 ms 0.861 msMit FirewallCode: [Select]
traceroute to 192.168.200.113 (192.168.200.113), 30 hops max, 60 byte packets
1 10.201.1.1 (10.201.1.1) 0.179 ms 0.165 ms 0.156 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 *^CDas ganze geht dann noch bis 30
So sieht es bei NAT aus
Code: [Select]
Interface Proto Address Ports Address Ports IP Ports Description
LAN TCP * * LAN address 22, 80, 443 * * Anti-Lockout Rule
WAN TCP * * * 3000 (HBCI) 10.201.1.3 3000 (HBCI) Bei Interfaces fehlt sowohl der Hacken bei "Block private networks" und auch bei "Block bogon networks"
Hier noch der Porttest von Netz A
Code: [Select]
Test-NetConnection -computer 192.168.200.194 -port 3000
WARNUNG: TCP connect to (192.168.200.194 : 3000) failed
WARNUNG: Ping to 192.168.200.194 failed with status: TimedOut
ComputerName : 192.168.200.194
RemoteAddress : 192.168.200.194
RemotePort : 3000
InterfaceAlias : Ethernet 7
SourceAddress : 192.168.200.113
PingSucceeded : False
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded : FalseIch wäre dankbar wenn hier jemand einen Tipp für mich hätte.