Messages

31

German - Deutsch / Re: Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

« on: July 29, 2023, 12:51:05 am »

Nur damit es keine Missverständnisse gibt:
Du sprichst von einem beliebigen Gerät im Netzwerk (hier im VLAN) dass über NVPN geroutet werden soll, oder? Das wäre dann nämlich kein VPN Client, allerdings frage ich mich dann, was für eine NVPN Server Adresse er auflösen soll... Oder verstehe ich etwas falsch?

32

German - Deutsch / Re: Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

« on: July 27, 2023, 09:57:57 am »

Noch einfacher

33

German - Deutsch / Re: Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

« on: July 27, 2023, 09:41:15 am »

Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.

Die v6 Blockregel bei Bedarf dann halt auch auf das VLAN Interface.

Wie das dann genau läuft, dass hier dann die DNS von NVPN verwendet werden, weiß ich nicht genau.
Entweder ist es damit getan, dass in den allgemeinen Einstellungen das VPN Gateway für die Server hinterlegt ist oder man muss den DNS per DHCP im VLAN verteilen.

34

German - Deutsch / Re: Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

« on: July 27, 2023, 09:23:21 am »

Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?

Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).
Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.
Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.
Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:

ei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?
Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.

35

German - Deutsch / Re: Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

« on: July 26, 2023, 09:34:07 pm »

Das Thema gab es die letzten Monate schon das ein oder andere Mal...
Kurz:
Alias erstellen der die jeweiligen MAC oder IP der Geräte beinhaltet.
Firewall Regel erstellen mit source = der alias und ganz unten das jeweilige VPN Gateway angeben.

36

23.1 Legacy Series / Re: ddclient doesn't support multi-wan ip update

« on: July 25, 2023, 12:41:26 pm »

I was just migrating from legacy DDNS to ddclient (OPNsense backend) and stumbled about the same issue.

It looks like IP-check traffic is always originated at primary WAN interface, no matter which interface is monitored.
This will always result in A/AAAA records for primary WAN.

To work around I did as follows:
1. Set up DDNS for primary WAN as desired.
2. Set up DDNS for secondary WAN and make sure to choose another check IP method than used for primary WAN.
3. Under Firewall/Alias create an alias, name it "check IP" or anything else, type = host and add URL from IP check method on 2nd WAN, e.g. nsupdate.info, ip4.me
4. Create a firewall rule on primary WAN interface with direction= out, destination = the new alias and set gateway to secondary WAN / GW to monitor.

Now ddclient works as it should for both interfaces even if both interfaces are up.

37

German - Deutsch / Re: internes routing bei multiwan

« on: July 24, 2023, 08:49:14 am »

Fein
Alternativ hättest du natürlich auch das VLAN Subnet bei der default allow ausschließen können, aber das fände ich unschön und wird bei eventuell weiteren solchen Fällen unübersichtlich...

38

German - Deutsch / Re: internes routing bei multiwan

« on: July 23, 2023, 08:51:42 pm »

Bei multi WAN ist das Gateway in der allow any rule das Problem, wie du ja schon erkannt hast.
Um das zu umgehen erstelle eine allow Regel vor der default allow, die an die GW Gruppe routet und nimm als Ziel das VLAN Subnet, das Gateway lässt du leer. Damit nutzt der traffic an das VLAN den routing table statt die GW group.

39

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 10:15:58 pm »

.... Oder wenn das NAS nru startet, was bei QNAP durchaus gute 10min dauern kann... 

40

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 10:09:10 pm »

Ich denke Failover braucht es nicht... Würde sicherlich nicht den zu erwartenden Aufwand rechtfertigen. Weiß übrigens gar nicht, wie ich auf Raspis gekommen bin...

41

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 09:40:41 pm »

Braucht es denn mehrere Instanzen?
Ich behandle in AGH daheim auch die Clients meiner Frau anders als meine... Also was das angeht hat man da schon Möglichkeiten, wenn vielleicht auch mit entsprechendem Aufwand. Ist halt die Frage was genau du bezwecken willst.

42

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 08:48:04 pm »

Es müssen ja nicht die "eigenen Leute" sein, die die gewünschten DNS Server umgehen. Das kann auch hardcoded sein, versehentlich eingestellt oder eventuell sogar durch Malware.
Ich denke auch, dass man für daheim nicht zwingend ein DNS Failover braucht. Aber vielleicht kann man die PIs ja auch in HA betreiben, sodass der eine Pi die Konfig und Aufgaben des anderen übernimmt, wenn dieser ausfällt 

Warum eigentlich nicht AGH auf der Sense? Warum DNS von der Sense zum Raspi und wieder zurück schicken?

43

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 08:00:35 pm »

Ok, also so wie es eigentlich sein sollte korrekt eingegeben.
Ich stelle mir nur gerade die Frage, ob eine Weiterleitung an zwei IPs überhaupt möglich ist 
Über sowas bin ich noch nie gestolpert, aber prinzipiell kann das ja nur Chaos geben!
Habe da aber auch keine Idee, wie man das als Failover umsetzen kann...

44

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 07:41:46 pm »

Also Screenshot bitte... das sagt mehr als das, was man glaubt eingestellt zu haben

45

German - Deutsch / Re: DNS Anfragen nur an AdGuard erlauben - andere DNS Server am Client verbieten

« on: July 21, 2023, 07:40:35 pm »

Ich hatte vorhin schon ohne Edit gelesen und mir die Frage gestellt, was denn in dem Alias steckt... Wie sah der denn aus?