31
German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich
« on: January 21, 2018, 06:57:53 pm »
Gute Idee. Exposed host in der Fritzbox einstellen sollte doch reichen? Dann sind ja alle Tore offen?
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
32
German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich
« on: January 21, 2018, 06:20:45 pm »
Es gibt keine dumme Fragen 
1) Fallback, falls mal wieder nix geht. Über die Fritze und deren WLAN gehts immer. Ist für den Hausfrieden wichtig
2) Telefonie (VoIP)
3) Gäste WLAN komplett außerhalb meines Netzwerkes (einfach, getrennt, nichts zu managen)
1) Fallback, falls mal wieder nix geht. Über die Fritze und deren WLAN gehts immer. Ist für den Hausfrieden wichtig
2) Telefonie (VoIP)
3) Gäste WLAN komplett außerhalb meines Netzwerkes (einfach, getrennt, nichts zu managen)
33
German - Deutsch / (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich
« on: January 21, 2018, 10:12:38 am »
Hi,
nach einigen Tests in der VM, bin ich Vorgestern von Sophos XG auf OPNSense Bare-Metal umgestiegen. Ich habe viel im Forum lesen können. Sehr angenehm zu sehen, wie Moderatoren, FW-Cracks (und solche, die es werden wollen) und Developer hier Unterstützung geben. Das ist eine Riesen-Hilfe und "fühlt" sich alles in allem nach einer guten Entscheidung an
Nachdem es bzgl. der FW Regeln Klick machte und ich nunmehr nach Belieben in Local administrieren kann , steht bei mir nur noch die VPN Verbindung von unterwegs an, um produktiv wieder alles Wesentliche am Laufen zu haben.
Ich habe mich an die beiden Anleitungen für Road Warriors via IPSec und OpenVPN gehalten. Ich kann mit beiden auch eine Verbindung etablieren (erkennbar auf dem mobilen Device und im Status von OpenVPN). Ich bekomme aber zum "Verrecken" keinen Zugang ins heimische Netz.
Meine Konfiguration im Überblick:
Internet:
Public IP -> Fritzbox (incl. Telefonie) 192.168.2.1 -> Portfreigaben ESP/500/4500/1194 (grün) -> 192.168.2.110 (static) WAN -> OPNSense ....
Local:
.... OPNSense <- LAN (10.10.10.1 in 10.10.10.0/24) / OPT2 (10.10.1.1 in 10.10.1.0/24)
DHCP läuft auf den Schnittstellen LAN und OPT2. DNS ist eingerichtet und funktioniert soweit gut. Intern, wie extern sowie Reverse lösen Anfragen sauber auf.
VPN:
IPSec (10.10.100.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.100.1 bei Connect zugewiesen
OpenVPN (10.10.0.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.0.6 bei Connect zugewiesen
Meine Präferenz wäre im Moment IPSec. Von daher möchte ich mich zunächst darauf konzentrieren. Vielleicht löst sich damit auch das Problem bei OpenVPN gleich mit
IPSec
Schnittstelle IPSEC hat folgende Regel:
IPv4 * * * * * * Allow IPSec to CLIENTS
Schnittstelle WAN hat folgende Regeln:
IPv4 ESP * * WAN Netzwerk * * IPSec ESP
IPv4 TCP/UDP * * WAN Netzwerk 500 (ISAKMP) * IPSec ISAKMP
IPv4 TCP/UDP * * WAN Netzwerk 4500 (IPsec NAT-T) * IPSec NAT-T
NAT (Automatische ausgehende NAT Regelgenerierung - (keine manuellen Regeln können verwendet werden) aktiviert)
Es gibt weder Portweiterleitungen, noch Eins-zu-Eins, noch NPT. Lediglich die folgenden zwei Regeln für Ausgehend.
WAN 127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24 * * 500 WAN address * JA Automatisch erstellte Regel für ISAKMP
WAN 127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24 * * * WAN address * NEIN Automatisch erstellte Regel
Interessanter Weise sehe ich in den Logs der Firewall/Regeln, dass Verbindungen vorgenommen werden wollen. Sowohl in Richtung DNS, als auch in Richtung Device im OPT2 Subnetz bspw. Ich habe auch schon automatische Regeln zur Freigabe dieser Anfragen gesetzt. Alles leider ohne Erfolg. Mit der Regel auf IPSEC ist ja eh alles offen (oder?).
Ich wäre für jeden Tipp dankbar, diese Verbingung zeitnah wieder nutzen zu können
Merci
you
nach einigen Tests in der VM, bin ich Vorgestern von Sophos XG auf OPNSense Bare-Metal umgestiegen. Ich habe viel im Forum lesen können. Sehr angenehm zu sehen, wie Moderatoren, FW-Cracks (und solche, die es werden wollen) und Developer hier Unterstützung geben. Das ist eine Riesen-Hilfe und "fühlt" sich alles in allem nach einer guten Entscheidung an
Nachdem es bzgl. der FW Regeln Klick machte und ich nunmehr nach Belieben in Local administrieren kann
, steht bei mir nur noch die VPN Verbindung von unterwegs an, um produktiv wieder alles Wesentliche am Laufen zu haben.Ich habe mich an die beiden Anleitungen für Road Warriors via IPSec und OpenVPN gehalten. Ich kann mit beiden auch eine Verbindung etablieren (erkennbar auf dem mobilen Device und im Status von OpenVPN). Ich bekomme aber zum "Verrecken" keinen Zugang ins heimische Netz.
Meine Konfiguration im Überblick:
Internet:
Public IP -> Fritzbox (incl. Telefonie) 192.168.2.1 -> Portfreigaben ESP/500/4500/1194 (grün) -> 192.168.2.110 (static) WAN -> OPNSense ....
Local:
.... OPNSense <- LAN (10.10.10.1 in 10.10.10.0/24) / OPT2 (10.10.1.1 in 10.10.1.0/24)
DHCP läuft auf den Schnittstellen LAN und OPT2. DNS ist eingerichtet und funktioniert soweit gut. Intern, wie extern sowie Reverse lösen Anfragen sauber auf.
VPN:
IPSec (10.10.100.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.100.1 bei Connect zugewiesen
OpenVPN (10.10.0.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.0.6 bei Connect zugewiesen
Meine Präferenz wäre im Moment IPSec. Von daher möchte ich mich zunächst darauf konzentrieren. Vielleicht löst sich damit auch das Problem bei OpenVPN gleich mit
IPSec
Schnittstelle IPSEC hat folgende Regel:
IPv4 * * * * * * Allow IPSec to CLIENTS
Schnittstelle WAN hat folgende Regeln:
IPv4 ESP * * WAN Netzwerk * * IPSec ESP
IPv4 TCP/UDP * * WAN Netzwerk 500 (ISAKMP) * IPSec ISAKMP
IPv4 TCP/UDP * * WAN Netzwerk 4500 (IPsec NAT-T) * IPSec NAT-T
NAT (Automatische ausgehende NAT Regelgenerierung - (keine manuellen Regeln können verwendet werden) aktiviert)
Es gibt weder Portweiterleitungen, noch Eins-zu-Eins, noch NPT. Lediglich die folgenden zwei Regeln für Ausgehend.
WAN 127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24 * * 500 WAN address * JA Automatisch erstellte Regel für ISAKMP
WAN 127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24 * * * WAN address * NEIN Automatisch erstellte Regel
Interessanter Weise sehe ich in den Logs der Firewall/Regeln, dass Verbindungen vorgenommen werden wollen. Sowohl in Richtung DNS, als auch in Richtung Device im OPT2 Subnetz bspw. Ich habe auch schon automatische Regeln zur Freigabe dieser Anfragen gesetzt. Alles leider ohne Erfolg. Mit der Regel auf IPSEC ist ja eh alles offen (oder?).
Ich wäre für jeden Tipp dankbar, diese Verbingung zeitnah wieder nutzen zu können
Merci
you