Messages

136

German - Deutsch / Re: Externen Zugriff auf OPNsense erlauben: Rule oder Portforward

« on: May 30, 2021, 09:18:58 pm »

Empfehlen: Nichts von beiden... Ich würde dies via VPN lösen. Sicher ist sicher.

Alternative: Eventuell willst du ja sowas "nur" als Notfallzugang von Zuhause oder bestimmten IP Adressen... Dann könntest du z.B. Zuhause eine DynDNS machen und diesen entsprechend in der OPNsense als Source einpflegen. Wäre für mich noch halbwegs vertretbar. Im Notfall kann man diesen Eintrag auch kurzerhand auf eine Hotel IP Adresse ändern oder ähnliches (falls man unterwegs wäre.)

Wenn es unbedingt sein muss, würde ich nur die entsprechende WAN Regel machen. Du brauchst ja kein NAT für die Funktion.
Wenn du verschiedene Destinations ansprechen möchtest jene NICHT die OPNsense ist, dann kommst du so oder so um ein Portforwarding nicht herum.

Gesendet von meinem OnePlus 8t mit Tapatalk

137

German - Deutsch / Re: Disk voll ... kann nicht updaten

« on: May 30, 2021, 02:40:33 pm »

Ich denke Mal das ist die Log der "Flows"
Im Zweifel Backup machen und dann löschen

Gesendet von meinem OnePlus 8t mit Tapatalk

138

German - Deutsch / Re: MultiWAN / OpenVPN / Best Practice?

« on: May 28, 2021, 10:57:49 pm »

Eine IP, teilweise HTTPS, teilweise TCP (OpenVPN)
Kurze Notizen für alle die das gleiche Vorhaben...
Ich habe es komplett mit dem Internen HAProxy geschafft.

Kurzform als Text:
Ich werde die Pakete in Layer 4 annehmen und je nachdem ob ein SSL Handshake stattfindet oder nicht den Traffic entsprechend leiten. Wenn kein Handshake stattfindet wird das Backend "OpenVPN" genommen. Wenn ein Handshake stattfindet wird der Traffic in eine weiteres Frontend weitergeleitet jenes im Layer7 läuft und HTTP(S) Befehle verarbeiten kann.
Damit dies reibungslos funktioniert muss auf dem Layer 4 Frontend besondere Einstellungen getroffen werden.

Habe 2 Frontends angelegt:
- 203.0.113.1:443
- 127.0.0.1:8765

Frontend 203.0.113.1:443
Type: TCP
Default Backend: None
Enable SSL offloading: Deaktiviert
Option pass-through:
    tcp-request inspect-delay 3s
    tcp-request content accept if HTTP
Select Rules:
    Backend OpenVPN
    Interne Weiterleitung

Frontend 127.0.0.1:8765
Dieses Frontend wie ein "gewöhnliches" Frontend einrichten.

Regeln:
Backend OpenVPN
    IF NICHT (negierung aktiv!) "Traffic is SSL (TCP request content inspection)" dann benutze Backend "OpenVPN"
Interne Weiterleitung
    IF "Traffic is SSL (TCP request content inspection)"  benutze Backend 127.0.0.1:8765

139

German - Deutsch / Re: Disk voll ... kann nicht updaten

« on: May 28, 2021, 08:10:44 am »

Im Notfall manuell mit dem untenstehendem Befehl nach dem übeltäter suchen:

Code: [Select]

du -sh /* |sort -h

140

German - Deutsch / Re: MultiWAN / OpenVPN / Best Practice?

« on: May 26, 2021, 08:18:00 am »

Nope. Da hilft dir nur den Kram auf OpenVPN oder Wireguard umzubauen.

So wichtig sind die Verbindungen dann auch nicht um das "Keep it Simple" Prinzip aktuell aufzubrechen.
Wenn wir wissen, dass der Ausfall von längerer Natur ist, dann wird eben kurzerhand auf beiden Seiten die Config von Hand geändert.
Wäre aber ein kleines Projekt für die Zukunft um auch noch das letzte etwas an Hochverfügbarkeit rauszuholen.


Mit dem HAProxy muss ich mir noch einen guten MasterPlan ausdenken.. Vielleicht auch etwas in der Art von "Auf Localhost" lauschen lassen, Portforwarding einrichten und hoffen dass ich den Traffic zwischen OpenVPN und HTTP*S unterscheiden kann. (Webseiten via SNI und VPN via IP oder so)


Danke schonmals und Gruß

141

German - Deutsch / Re: MultiWAN / OpenVPN / Best Practice?

« on: May 25, 2021, 10:37:01 pm »

Definiere Best Practice Es gibt immer verschiedene Szenarien, je nachdem was man erreichen möchte. Was ist denn die konkrete Ausgangslage?

Ziel sollte sein so viel wie möglich "Hochverfügbar" zu machen.

Wir haben 2 WAN Leitungen von 2 ISP.
WAN 1 ist ein /28 Netzwerk (200/200 MBit/s)
WAN2 ist nur eine einzelne IP (100/40 MBit/s)
Beides Businessanschlüsse. Leider hat WAN2 eben nur eine IP. Wird sich vermutlich auch nicht so schnell ändern. Ist theoretisch ein Relikt aus der Vergangenheit aber lieber haben statt brauchen.

Ist Situation auf OPNsense:
Routing:
Standartmäßig sollte alles via WAN1 geroutet werden. Bestimmte Regeln sollen via WAN2 routen.
Fällt ein WAN aus soll das andere übernehmen. Kein Loadbalancing. Am besten wäre wenn keiner etwas davon mitbekommt bzw (Das dies nicht komplett geht mit aktuellen Verbindungen ist mir klar.)
Hierzu habe ich bereits die Gateways eingerichtet, beide als Upstream markiert und die Gewichtung 100 auf WAN1 und 200 auf WAN2 gesetzt.
Ebenso für die einzelnen Regeln (welche WAN2 priorisieren sollen) eine GW-Gruppe angelegt.

Meiner Meinung nach sollte ich nur die GW-Gruppe bei entsprechenden Regeln hinzufügen.
Fällt WAN1 aus so wird das Default Gateway geändert und es läuft alles über WAN2.
Fällt WAN2 aus, so wird in der GW-Gruppe Tier 2 aktiviert und der Traffic für die entsprechenden Regeln läuft über WAN1.

IPsec:
Wir haben 3 verschiedene Site2Site Verbindungen über WAN1. (2 davon werden zukünftig mit OPNsense unterwegs sein)
Ist hier irgendwas möglich in Sinne von "wenn WAN1 ausfällt nehme WAN2 zur Verbindung"?

HAProxy:
Dann habe ich noch einen HAProxy am laufen. Gewünscht wäre diesen ebenfalls "Hochverfügbar" zu machen... Jedoch läuft mein OpenVPN bereits über TCP Port 443. Daher wird dies vermutlich nichts werden. Habe bereits ein bisschen mit TCP Frontend im HAProxy probiert. Bin aber bisher noch zu keinem zufriedenstellendem Ergebnis gekommen.  Vielleicht benötigt es noch etwas Feinschliff.

OpenVPN:

Öh warum so umständlich? Warum nicht einfach den OVPN Server auf localhost binden und auf beiden WANs schlicht ein Forwarding auf "localhost" machen? Ein Forward von WAN2 auf WAN1 IP klingt eher suboptimal und fehleranfällig wenn WAN1 down geht und die IP verliert.

Sehr schicke Idee. Warum bin ich da nicht drauf gekommen

Öffentlicher DNS Server (bind) für LetsEncrypt:
Hier würde ich analog zur OpenVPN Variante vorgehen.

LetsEncrypt:
Da ich alles via DNS-01 Challenge mache ist hier die IP Adresse egal.


Gruß

Gesendet von meinem OnePlus 8t mit Tapatalk

142

German - Deutsch / MultiWAN / OpenVPN / Best Practice?

« on: May 25, 2021, 11:37:22 am »

Hallo zusammen


weiß jemand wie der "Best Practice" Fall zu konfiguration mit OpenVPN und MultiWAN aussieht?

Ich würde gerne einen einzelnen Server beibehalten, diesen jedoch von 2 verschiedenen (externen) Interfaces ansprechen. Hierzu habe ich aktuell eine Portweiterleitung von der fixen WAN2 IP auf die fixe WAN1 IP gemacht.


Wenn meine Theorie stimmt, dann sollte ja bei deaktiviertem WAN2 weiterhin die WAN 1 funktionieren und bei ausgefallenem WAN1 die Portweiterleitung greifen oder?

143

German - Deutsch / Re: OPNsense / *sense (Online) Usergroup?

« on: May 24, 2021, 10:31:22 pm »

Habe es beim letzten Mal leider verpasst.
Diesmal von ich (hoffentlich) wieder dabei

Gesendet von meinem OnePlus 8t mit Tapatalk

144

German - Deutsch / Re: Portweiterleitung

« on: May 23, 2021, 01:09:45 pm »

Was mache ich falsch?

Was mit auf den ersten Blick auffällt:
Du hast bei der Portweiterleitung "WAN Network" und nicht Address drin.

Gesendet von meinem OnePlus 8t mit Tapatalk

145

German - Deutsch / Re: Hardware Empfehlung <300€

« on: May 23, 2021, 01:06:53 pm »

Das ist eben von den Komponenten abhängig...
Was sind denn deine aktuell IST Daten? Wie viel Strom Verbraucht dein aktuelles Setup? Internetgeschwindigkeit? Hilft vielleicht auch ein Blick auf den Gebrauchtwarenmarkt?

Ich habe die Erfahrung gemacht, das entweder die einmaligen oder die regelmäßigen Kosten hoch sind.
Ist das Setup teuer weil man stromsparende Komponenten möchte sie sind die laufenden Kosten geringer. Ebenso anderst herum.

Da ich vermute dass das Setup für deinen Privatgebrauch ist... Möchtest du irgendwann vielleicht mehr machen? Thema Hypervisor und VMs?

Ich für mich bin damals für fast geschenkt an meine Hardware gekommen. Daher dauert eine Amortisation echt lange bis die Stromkosten höher gewesen wäre als ein stromsparenderes System.

Gesendet von meinem OnePlus 8t mit Tapatalk

146

German - Deutsch / Re: Hardware Empfehlung <300€

« on: May 23, 2021, 12:16:50 pm »

Wenn es nur um günstige Hardware geht, warum nicht selbst bauen? Die Ports kann man ja mit PCI Karten erweitern. Dann hat man volle Auswahl von günstig bis teuer.

Gesendet von meinem OnePlus 8t mit Tapatalk

147

German - Deutsch / Re: Fritzbox 7590 x opnsense

« on: May 21, 2021, 04:48:22 pm »

Hallo maxdali

Bitte nicht falsch verstehen, aber ich glaube wenn jemand Lust hat eine funktionierende Anleitung zu schreiben, dann würde diese in der Dokumentation stehen.
Was genau klappt nicht? Phase 1? Phase 2? Allgemeines Verständnis?
Ich würde behaupten, dass es auf der pfsense zwar etwas anderst aussieht, die Einstellungen sich jedoch nicht besonders unterscheiden.

Ich vermute, damit das mit der FB stabil funktioniert benötigst du mindestens einen DynDNS Eintrag....

PS. Durch deine anderen Beiträge weiß ich bereits, das du das mit der FB daheim machst und deine ThinClients zu testen... Wird dies in der Firmenumgebung ebenso sein? Falls nicht, schnapp dir doch nen allen Rechner mit 2 oder mehr Netzwerkkarten und versuche es richtig zwischen 2 richtigen Firewalls. Wenn dann das Prinzip klar ist kann man sich auch mit etwas Semiprofessionellem wie einer FB beschäftigen....



Gesendet von meinem OnePlus 8t mit Tapatalk

148

German - Deutsch / Re: MultiWAN mit PPPoE / Kein Wechsel bei "Mark Gateway as Down"

« on: May 21, 2021, 10:41:00 am »

Neue Erkenntnis:
Wenn ich das Gateway Monitoring ausschalte, dann funktioniert es wie gewünscht.


Gibt es vielleicht jemand der dies gegentesten kann?

149

German - Deutsch / Re: opnsense openvpn thinclients

« on: May 20, 2021, 09:01:32 am »

leider finde ich den Pukt wo ich "Allow multiple concurrent connections from clients using the same Common Name" angeben kann nicht. https://forum.netgate.com/topic/150448/anf%C3%A4ngerfrage-einen-openvpn-user-f%C3%BCr-mehrere-verbindungen

Ich denke hier kann mir bestimmt jemand sagen ob dies so richtig ist und wenn ja wo ich diesen Punkt finde.

Als den Punkt an sich findest du in den OpenVPN Einstellungen des Servers.
VPN -> OpenVPN -> Servers -> "Ensprechender VPN Server" -> Tunnel Settings -> Duplicate Connections


Je nach Anzahl der Clients und aufgrund deren Verwaltung würde ich jedoch auch ein eine Site2Site Verbindung bevorzugen und die ThinClients in einem Entsprechend seperatem Netz laufen lassen.

150

German - Deutsch / MultiWAN mit PPPoE / Kein Wechsel bei "Mark Gateway as Down"

« on: May 20, 2021, 08:51:29 am »

Hallo zusammen

ich habe ein kleines Problem mit meinem MultiWAN Setup.
Bin bisher immer nur SingleWAN unterwegs gewesen und nun kommt eben eine weitere Internetleitung von Anbieter2 via PPPoE hinzu.

WAN1: Anbieter1
WAN2: Anbieter2 via PPPoE

Mein Plan ist es, ein Regelbasiertes "Loadbalancing" zu machen bei welchem die andere Leitung übernimmt falls die primäre Leitung einen Ausfall hat.
Hierzu habe ich 2 GW Gruppen angelegt:

GW_Group_1: (Anbieter1 ist primär)
WAN1 als Tier1
WAN2 als Tier2

GW_Group_2: (Anbieter2 ist primär)
WAN1 als Tier2
WAN2 als Tier1

Zum testen ob dies klappt, habe ich eine Regel für meinen Computer erstellt.
Je nachdem was ich in der FW-Regel bei "Gateway" angebe, bekomme ich die öffentliche IP von WAN1 oder WAN2. Soweit so gut.

Nun möchte ich den Fehlerfall testen:
Dazu gehe ich auf das WAN2 Gateway und aktiviere den Haken bei "Mark Gateway as Down". Das Gateway wird nun als "Offline (forced)" angezeigt.
Obwohl ich in der GW_Group_2 bin (bei jener das Tier1 GW als Offline markiert ist) bin ich weiterhin mit der entsprechenden IP Adresse von Anbieter2 unterwegs und habe normalen Internetzugriff.

Liegt dies am PPPoE? Habe ich irgendwo einen Fehler gemacht?

Danke und Gruß