Messages

691

20.7 Legacy Series / Re: OpenVPN remote networks not pushed to main routing table

« on: October 15, 2020, 11:29:01 pm »

I'd do a separate instance for remote access and one for site2site.
Have this already in production and works really fine

Yes that’s definitely the way I would recommend. Have it in production like that.

692

20.7 Legacy Series / Re: OpenVPN remote networks not pushed to main routing table

« on: October 15, 2020, 10:12:40 pm »

You still need to specify all local and remote networks in the main server. In client specific override you specify which client will use it.

693

German - Deutsch / Re: Zugriff z.B. von GREEN auf BLUE funktioniert nicht

« on: October 15, 2020, 09:23:29 pm »

Hast du bei Outbound NAT was eingestellt? Mich wundert der Name der Regel, die da beim ICMP angewandt wird.

694

German - Deutsch / Re: Zugriff z.B. von GREEN auf BLUE funktioniert nicht

« on: October 15, 2020, 09:00:56 pm »

Ich bleibe dabei, dass der Laptop die Ursache sein könnte. Beim Netzwerk drauf geachtet, dass Windows das neue Green Netz als privates Netz seiht und nicht als öffentliches? Das passiert gerne mal.
Dann lässt Windows keine Pings durch.
Im Log wird ja nix geblockt.

695

German - Deutsch / Re: Zugriff z.B. von GREEN auf BLUE funktioniert nicht

« on: October 15, 2020, 08:26:32 pm »

Die Regel sollte jeglichen Verkehr von Green erlauben. Bist du sicher, dass das Laptop pingbar ist? Windows spielt einem da gerne Streiche.

Sonst einfach unter Firewall in die Live View schauen und überprüfen, ob da ICMP Requests geblockt werden. Dürfte aber nicht. Denke es liegt am Laptop.

696

Virtual private networks / Re: How to establish a routed IPSec Tunnel

« on: October 15, 2020, 07:58:16 pm »

Did you try the official docs? I wrote examples there

Do you mean this one: https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html . Yes, sure. There are some points I did not understand. I cannot find the IP adresses 10.111.1.1 and 10.111.1.2 in the diagram and do not understand the purpose of these addresses in general. Furthermore if I configure it as described the box becomes unreachable (no ping, no ssh, no web) in the moment when the tunnel comes up (so I have to reboot without wan connection to undo the configuration).

Those IPs are just examples. They are needed as a sort of transfer-net. They are used as an interface to route traffic. Policy based IPsec tunnels don’t use a transfer-net.
Do you use by coincidence IPs from that example somewhere else in your network? This would be an explanation for the box going „offline“.

697

German - Deutsch / Re: Zugriff z.B. von GREEN auf BLUE funktioniert nicht

« on: October 15, 2020, 07:52:13 pm »

Wenn man sich mit dem Grundprinzip von Firewalls und in diesem Falle insbesondere mit OPNsense beschäftigt hätte, wüsstest du woran es liegt.

Üblicherweise erstellt man die Regeln auf dem Interface, wo die Pakete an der OPNsense eintreffen.

D.h. Wenn du von einem ins Netz A in ein Netz B möchtest, erstellst du eine Regel auf Interface A mit Destination Netz B mit entsprechenden Protokoll/Port oder eben any. Dann dürfen Pakete von Netz A nach Netz B und die Antwortpakete dürfen auch wieder zurück.

698

German - Deutsch / Re: Fehlkonfiguration Interfaces

« on: October 14, 2020, 11:11:16 pm »

Schau Dir mal „disable reply-to“ in den entsprechenden Firewall Regeln an.
Vielleicht liegt es daran.

699

20.1 Legacy Series / Re: DHCPv4 relay is not working on one VLAN

« on: October 14, 2020, 10:47:54 pm »

Wifi hardware manufacturer?

Unifi for example has a feature called DHCP guard. If enabled only the specified DHCP server is allowed for this network. Or maybe you have port isolation enabled for that network?

700

German - Deutsch / Re: Multiple VPN-Connections (Wireguard und OpenVPN)

« on: October 14, 2020, 08:44:22 pm »

Du denkst es m.E. von der falschen Seite.

1. Es gibt eine WAN Verbindung über die Fritzbox.

2. Deine OPNsense baut 2 WireGuard und 1 OpenVPN Verbindung über diese WAN Strecke auf.

3. Diese Client-Verbindungen kannst Du als Gateway für Clients hinter der sense nutzen.

4. Du steuerst selbst welche VLANs/oder auch einzelne IPs über welchen Gateway rausgehen. Das kannst Du sogar noch mit einem Kill-Switch garnieren, so dass es auch keinen Fallback gibt.

701

German - Deutsch / Re: WireGuard und mehrere Interfaces

« on: October 14, 2020, 08:09:33 pm »

Hast Du denn die Netzwerke als Allowed-IPs in der Wireguard Config drin? Oder geht der gesamte Traffic durch den Tunnel?

Es gibt immer 2 Ebenen:
1: der Traffic muss richtig geroutet werden
und
2: wenn 1 gegeben ist, kann man mit Firewall-Regeln den Traffic einschränken/erlauben.

702

20.7 Legacy Series / Re: OpenVPN performance

« on: October 14, 2020, 07:41:02 pm »

X1 is really expensive. Are you sure?

I think I would try t3.xlarge (Intel Xeon) or t3a.xlarge (AMD EPYC). Both of them have 4 cores/threads and 16GB RAM.

But let's see if someone else has another idea about that.

703

20.7 Legacy Series / Re: OpenVPN performance

« on: October 14, 2020, 06:29:21 pm »

Looks like the ARM based Graviton2 processors used in t4g instances don't support AES-NI which could be a huge performance drawback.
And 2 CPUs for 380 VPN connections seem to be a bit small dimensioned.

704

German - Deutsch / Re: Grundsatzfrage mehrere IPsec S2S Verbindungen

« on: October 14, 2020, 05:49:57 pm »

@Gauss23 - Grundsätzlich sollen die Niederlassungen auf die Zentrale zugreifen. Als Admin würde ich mich natürlich darüber freuen, wenn ich innerhalb der Zentrale oder einer Niederlassung überall Zugriff erhalten würde

Du musst im ersten Schritt die Netze "routebar" machen und dann über die Firewall Regeln einstellen, welcher Traffic stattfinden darf. Im Idealfall würden Niederlassungen wohl je eine VPN Verbindung in die Zentrale aufbauen und in der Zentrale haben dann bestimmte Clients das Recht auf alles in den Niederlassungen zuzugreifen (z.B. alle Clients eines bestimmten VLANs).
Den restlichen Traffic beschränkt man auf das Nötigste. Eine Liste von benötigten Diensten erstellen und sich überlegen wer auf was zugreifen darf. Dann umsetzen.

705

Virtual private networks / Re: OpenVPN - Access to local network

« on: October 14, 2020, 05:44:44 pm »

192.168.50.0/24

Yes. This route should then be pushed out to the client on next reconnect. Try it.