Messages

106

German - Deutsch / Re: [gelöst]externen FTP Server erreichen

« on: February 18, 2021, 08:36:57 am »

Das freut mich. Dennoch würde ich Dir raten das Multi-WAN Setup mal zu überprüfen. Eigentlich sollten da nicht kreuz und quer nach gusto Pakete auf unterschiedliche Gateways verteilt werden.

Dein Bild ist sehr klein geworden. Ich vermute Du hast für Port 21 den Vodafone Gateway festgelegt. Wäre aber eigentlich nicht nötig, wenn klar ist, welches Gateway als Default zu nehmen ist. Dann hat man auch eine schöne Fallback Lösung. In Deinem Fall wäre nun keine Kommunikation per FTP möglich, wenn Vodafone down ist.

Ordentliches Gateway-Monitoring einrichten, die Prios richtig einstellen: Haupt-Leitung bekommt bei mir immer eine Prio <=10. Zweiter Gateway 11-20 etc.

107

21.1 Legacy Series / Re: Rule not taking effect

« on: February 18, 2021, 06:43:20 am »

Please provide a network plan
https://forum.opnsense.org/index.php?topic=7216.0

178.x.x.x is a strange network for internal usage.

108

German - Deutsch / Re: externen FTP Server erreichen

« on: February 17, 2021, 08:36:43 pm »

Hast du in irgendwelchen Firewallregeln den Telekom Gateway drin? Kannst du den testweise mal deaktivieren?

109

German - Deutsch / Re: externen FTP Server erreichen

« on: February 17, 2021, 07:48:40 pm »

Du musst den Leitungen unterschiedliche Prioritäten geben in System Gateways Single. Vermutlich sind beide gerade gleich wichtig und es läuft als loadbalancing über beide. Nur eine Vermutung

110

German - Deutsch / Re: externen FTP Server erreichen

« on: February 17, 2021, 07:38:20 pm »

Hab das gerade nur auf dem Smartphone. Sieht aber aus als käme der da mit dem MultiWAN durcheinander, oder? Das ist ja wild gemixt.

111

German - Deutsch / Re: NAT deaktivieren, nur routen

« on: February 17, 2021, 06:59:11 pm »

Also etwas mehr Mühe musst Du Dir leider schon geben uns Dein Problem zu schildern. Ein Netzwerkplan https://forum.opnsense.org/index.php?topic=7216.0
ist ein guter Anfang.

112

German - Deutsch / Re: externen FTP Server erreichen

« on: February 17, 2021, 06:44:32 pm »

Siehst du denn im Firewall unter Logfiles in der Live View irgendwelche geblockten Pakete?

113

German - Deutsch / Re: 21.1 Und immer noch keine ZFS root Installation

« on: February 17, 2021, 05:46:20 pm »

kein Meckerpost à la "das muss jetzt implementiert werden, warum macht ihr das nicht", aber

+1

Wie groß ist der Aufwand das zu implementieren? Da muss der Installer sicherlich umgebaut werden. Kann man ja ggf. optional machen.

Dann könnte man vor jedem Update ein Snapshot erstellen lassen und es bräuchte vermutlich noch ein Interface, um einen Rollback machen zu können.

Nachtrag: eben https://github.com/opnsense/installer gefunden. Ob der mal den jetzigen Installer ablösen soll?

In https://github.com/opnsense/installer/blob/master/scripts/opnsense.sh sind die relevanten ZFS Teile auskommentiert. Benutzt wird offenbar noch die "alte" Version vom Installer: https://github.com/opnsense/bsdinstaller
In dem Repo findet sich das Wort ZFS an 4 Stellen.

114

German - Deutsch / Re: externen FTP Server erreichen

« on: February 17, 2021, 04:55:41 pm »

Also ich hab mich eben testweise mit dem FTP Server speedtest.tele2.net verbunden. Da kommt zwar ne Warnung aber ich komme rein. Hinter eine OPNsense 21.1.1. Habe eigentlich nichts spezielles aktiviert, damit das geht.

Benutzt habe ich Filezilla unter Windows 10

115

German - Deutsch / Re: Empfehlung VPN

« on: February 17, 2021, 04:35:44 pm »

Es kann was nutzen, klar. Aber für konkret eingerenzte Fälle.

Ich nutze es bei meinen Kunden und bei mir ganz gerne um Gäste-Traffic abzuwickeln. Gerade im Airbnb Bereich hatten einige meiner Kunden schon Abmahnungen im Briefkasten wegen Filesharings. Macht man das Netz aber zu dicht, beschweren sich die Mieter, dass sie Dienst X nicht nutzen können.
Durch das Tunneln in den VPN sind sie diese Sorge los. Es sollte die Störerhaftung ja eigentlich gar nicht mehr geben, die Realität ist aber dennoch, dass man sich zumindest mit dem Zeug beschäftigen muss.

Beim Anonymisieren gebe ich Dir recht. Da gehört mehr als eine IP Adresse dazu.

116

German - Deutsch / Re: OpenVPN und PIA selektives Routing

« on: February 17, 2021, 12:32:20 pm »

Es fällt mir grad was ein:
Ich kann den Clients nicht öffentliche IPs geben, sie müssen über die Firewall gehen, denn ich habe ein S2S Tunnel mit der Firma, und das funkt nicht wenn die DNS öffentlich sind.

Also bei mir gehen nur spezielle Geräte über die VPN Strecke raus. Meistens sowas wie Gastnetz.
Die Clients, die in andere Netze müssen und die richtige Namensauflösung machen sollen, werden nicht umgebogen.

Aber selbst das ließe sich ja per Unbound umsetzen. Die Firmendomain eben als Override anlegen und den DNS Server aus der Firma eintragen.

117

German - Deutsch / Re: OpenVPN und PIA selektives Routing

« on: February 17, 2021, 12:22:05 pm »

Daher schicke ich die DNS Anfragen von diesen Clients auch über den VPN Tunnel raus. So ist sichergestellt, dass nur die VPN IP nach außen hin verwendet wird und es keinen Leak gibt. Welchen DNS Server Du dem Client dann gibst, ist fast egal. Es sollte im Idealfall eben nicht mehr die OPNsense sein.

Alternativ/zusätzlich kannst Du den Unbound von der OPNsense auch über die VPN Strecke alle Anfragen abwickeln lassen. In Kombination mit DoT keine schlechte Kombi.

118

German - Deutsch / Re: OpenVPN und PIA selektives Routing

« on: February 17, 2021, 11:58:52 am »

Die Rule ist natürlich falsch:
Firewall: Top Rule, IPv4*, Source: LAN net, Gateway: VPN_PIA

Das inkludiert ja die Destination OPNsense und somit kannst Du die OPNsense nicht mehr per DNS ansprechen. Also entweder bei Destination die OPNsense mit rein und ein Destination invert oder die Clients einfach andere DNS Server nutzen lassen. Kannst Du ja auch per DHCP an diese Clients direkt andere DNS Server ausliefern lassen.

119

German - Deutsch / Re: Empfehlung VPN

« on: February 17, 2021, 11:38:08 am »

Aber was mich interessiert:
NordVPN: hast du, oder habt ihr, NordVPN so konfigurieren können, dass man NICHT automatisch alles durch den Tunnel routet, sondern nur selektiv. Spricht es geht nichts durch das Tunnel bis man was explizit durch das Tunnel routet?

Ja! Sogar mit Kill-Switch.

120

German - Deutsch / Re: OpenVPN und PIA selektives Routing

« on: February 17, 2021, 09:52:56 am »

PIA liest man ja hier öfter.

Ich habe das nie genutzt aber prinzipiell sollte das ja zum Laufen zu bringen sein.

Beim Outbound NAT ist interface_address oftmals komisch. Besser VPN_PIA interface_address aus dem Dropdown suchen.