Messages

[Actually:]

Hi there,

i´m getting mad with my problem. Perhaps anyone can push me to the right direction, because i´m an absolut beginner with opnsense.

Actually:
Internet-Router is a Fritzbox 7490 which is managing my actual home network (192.168.178.0). There is a piHole DNS inside this network, provided as DNS by Fritzbox-DHCP.
My opnsense (18.7.4) is a client within this network, connected with WAN @ DHCP.
There is also a LAN-Interface (Standard 192.168.1.0) with some clients for testing.

The opnsense itself is connecting to feste-ip.net to get a fixed IPv4 by VPN-Tunnel, which is connected and traffic comes in.

Problem:
When the VPN Client (TUN-device) is connected, the opnsense seems to have DNS Problems, as opnsense update, traceroute etc. doesn´t work or need veeeeeery long time.
I don´t want traffic to go out the VPN for now, but seems the firewall wants to go this way?
Firewall Rules blocking traffic from LAN -> VPN don´t work.


What am i missing?
Many thanks for some help.

Wenn keine NAT-Regel angelegt ist, sieht man:

DSL-IP -> VPN Tunnel Eingang (also die feste IP)

Mit NAT-Regel auf Host mit LAN-IP sieht man:

DSL-IP -> Ziel-IP im LAN

Komischerweise habe ich hier aktuell nur ein Netz in dem alle "Test"-Hosts unterwegs sind: 192.168.1.X, also Subnet etc. gleich. Gateway wäre noch eine Idee, sind meistens 2 drin, weil die Hosts auch noch in meinem "produktiven" Netz sind 192.168.178.X

Raus kommen die alle aktuell, evtl. auf dem falschen Gateway-Weg?

UPDATE: ja es waren die Gateways, war wohl zu simpel gedacht von mir. Einfach zu glauben, dass eingehend auch gleich ausgehend sein müsste.
Gateway Reihenfolge geändert und schon geht es. Bei den VM´s war es halt schön einfach eine zusätzliche NIC "einzubauen"

Hi,

also ich sehe schon die direkte IP des ausrufenden Systems. Ich gehe ja über meinen DSL-Anschluss raus zu einem externen VPN-Server und komme quasi über diesen Tunnel wieder zurück an die Opnsense. Die hat auch aktuell bei mir einen völlig eigenen und getrennten IP-Bereich.
Aber was soll ich sagen: das Problem scheint ein anderes zu sein. Das 2. Ziel war bei mir eine VM auf einem ESXi Server. Da scheint es im argen zu liegen.
Habe heute mal andere Dienste/Ports an BareMetal Installationen per NAT weitergegeben und das klappt nun. War also wohl vorher schon nicht ganz falsch ;)
Warum es aber mit den VM´s (habe mittlerweile mehrere getestet) nicht klappt und mit anderen Systemen problemlos ist mir noch völlg unklar.

NAT-Logging: schlag mich nicht, aber ich finde ein Loging nur auf FW-Rule Basis. Aber für eine spezielle NAT-Regel geht das doch gar nicht, oder wo muss man da eingreifen?

So nächster Meilenstein:
warum geht NAT auf VM´s nicht und wie nutzt man den ollen HAProxy um URL basiert an verschiedene Hosts weiter zu leiten.

Danke Dir erstmal für Deine Unterstützung bis hier her :-)

Hey Jas,

danke für Deine Antwort.
Wenn ich meine https://externe IP_VPN_Tunnel:8001 aufrufe

sehe ich im Liveview: OPVC1:meineexterneDSL-IP:UDPPORT (56900 o.ä.) -> IP_OLDMAN:5001 als "grün"

Der VPN Tunnel ist auf Prot UDP (vom Anbieter so im Profil ausgegeben) Was mich jetzt wundert: eingehend kommt da nicht port 8001, aber man liest das UPD das bessere Protokoll sei? Muss das trotzdem gehen?

OLDMAN ist im selben Subnet wie die andere IP: 192.168.1.23 -> 192.168.1.16

Habe sowohl Alias, als auch IP direkt versucht. Bei beiden das gleiche Ergebnis.

ich bin mir zwar nicht sicher wo der Unterschied zwischen der normalen und einer "linked rule" ist. Aber wenn ich beide auf NAT Rule setze geht nichts mehr.

Ich komme einfach nicht weiter mit dem Thema :-(

Guten Abend zusammen,

meine opnsense baut per opn vpn client einen Tunnel nach aussen auf um eine feste ip von feste-ip.net zu bekommen. Das läuft soweit.
Nun möchte ich zunächst auf Port Basis eingehende Verbindungen verteilen, wie es bisher auch mit meinem Zugang per Fritzbox funktioniert hat.



Die untere Regel, welche sämtlichen Traffic an die IP 192.168.1.23 weiterleitet funktioniert auch.
Allerdings müsste nach meinem Verständnis die erste Regel vorher greifen, welche allen Traffic an Port 8001 auf einen anderen Host (Alias OLDMAN) dort an Port 5001 weiterleitet.

Ich sehe im Live View der FW auch, dass von meiner externen IP (DSL Anschluss) etwas über ovpnc1 und LAN an eben diese IP (OLDMAN:5001) erlaubt wird, ich bekomme aber im Browser keine Antwort von diesem Host.

Zusammengefasst:
- Eingang an opnsense über opnvpn-client mit externer IPv4 funktioniert.
- Weiterleiten des externen Ports 8001 an den internen Host auf Port 5001 nicht.

Sicherlich ein ziemlich simpler Fehler, allerdings wälze ich den schon 2 Abende und wäre für Hinweise sehr dankbar.
Ach ja, ich setze die aktuellste opnsense Version ein:
OPNsense 18.1.12-amd64
FreeBSD 11.1-RELEASE-p11
OpenSSL 1.0.2o 27 Mar 2018

Danke für Euren Support.