106
German - Deutsch / Re: Verständnisfrage: Port Forward / WAN Rules
« on: July 27, 2021, 10:23:05 pm »
Ja, in Port Forwards.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
107
German - Deutsch / Re: Verständnisfrage: Port Forward / WAN Rules
« on: July 27, 2021, 09:38:35 pm »
Kann ich auch Aliase mit mehreren Ports verwenden? Eingeben kann ich sie, aber funktioniert es?
108
German - Deutsch / Re: Verständnisfrage: Port Forward / WAN Rules
« on: July 27, 2021, 09:31:59 pm »
Ahh, super!! Danke!
109
German - Deutsch / [gelöst] Verständnisfrage: Port Forward / WAN Rules
« on: July 27, 2021, 09:14:24 pm »
Hallo,
damit ich es bitte richtig verstehe, was kommt zuerst? Firewall oder Port Forward?
Ist mir etwas unklar, wenn ich ein Paket bei WAN sehe, und ich weiß wo der hinsoll, mach ich erstmal Port Forward oder zuerst WAN eingehend erlauben? Oder beides?
Beispiel:
Paket kommt auf Port 4567 rein. Klopft am WAN address.
Damit ich das erlaube, muss ich als Dest WAN address Port 4567 erlauben.
Ohne was am WAN zu machen, mache ich Port Forward 4567 -> Server -> 4567
Damit ändert sich die Destination im Live View, zu dem Server eben.
Jetzt müsste ich beim Rule "Server" als Destination eingeben.
Danke
damit ich es bitte richtig verstehe, was kommt zuerst? Firewall oder Port Forward?
Ist mir etwas unklar, wenn ich ein Paket bei WAN sehe, und ich weiß wo der hinsoll, mach ich erstmal Port Forward oder zuerst WAN eingehend erlauben? Oder beides?
Beispiel:
Paket kommt auf Port 4567 rein. Klopft am WAN address.
Damit ich das erlaube, muss ich als Dest WAN address Port 4567 erlauben.
Ohne was am WAN zu machen, mache ich Port Forward 4567 -> Server -> 4567
Damit ändert sich die Destination im Live View, zu dem Server eben.
Jetzt müsste ich beim Rule "Server" als Destination eingeben.
Danke
110
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 27, 2021, 08:48:15 pm »
Na also, geht ja ;-)
Waren heute lange Gespräche aber wir sind auf eine Konstellation gekommen die für uns richtig ist und für das RZ akzeptabel. Und zwar:
Wir müssen unser lokales Netzwerk ändern (bereits passiert): 10.10.10.0/24
Neues Transfernetz: 10.146.35.1 (sense) und 10.146.35.2 (vpn-router)
Statische Routen über Transfernetz...
Auf dem VPN Router wird unser ursprüngliches Netz eingerichtet und dort ein 1:1 NAT aus 10.10.10.0 ins 10.146.32.0 gemacht.
Sonst statische NATs für Drucker, einzelne Server...
Eine simplere Lösung wie neues Transfernetz und wir behalten 10.146.32.0 ginge nicht.
Bin gespannt ob das so funkt wie geplant. Dabei aber auch ein Vorteil: wir können zusätzliche Netze oder IPs NATen (lassen), was bisher nicht ginge. So lange alles am 10.146.32.0/24 im VPN-Router endet, alles gut.
Waren heute lange Gespräche aber wir sind auf eine Konstellation gekommen die für uns richtig ist und für das RZ akzeptabel. Und zwar:
Wir müssen unser lokales Netzwerk ändern (bereits passiert): 10.10.10.0/24
Neues Transfernetz: 10.146.35.1 (sense) und 10.146.35.2 (vpn-router)
Statische Routen über Transfernetz...
Auf dem VPN Router wird unser ursprüngliches Netz eingerichtet und dort ein 1:1 NAT aus 10.10.10.0 ins 10.146.32.0 gemacht.
Sonst statische NATs für Drucker, einzelne Server...
Eine simplere Lösung wie neues Transfernetz und wir behalten 10.146.32.0 ginge nicht.
Bin gespannt ob das so funkt wie geplant. Dabei aber auch ein Vorteil: wir können zusätzliche Netze oder IPs NATen (lassen), was bisher nicht ginge. So lange alles am 10.146.32.0/24 im VPN-Router endet, alles gut.
111
German - Deutsch / LDAP Active Directory Sync icon weg
« on: July 26, 2021, 02:13:50 pm »
Hallo,
sag mal, bin ich komplett bescheuert, und ist das Icon für den AD-Sync einfach mal weg?
https://docs.opnsense.org/manual/how-tos/user-ldap.html
Unter Step 4, das kleine Icon fehlt bei mir.
Beim Erstsetup gestern war noch drin, dann habe ich es genutzt, gewisse Benutzer bezogen, aber manche nicht übernommen, die möchte ich jetzt aber nachziehen.
Das Icon ist aber weg.
Wie krieg ich das bitte hin?
EDIT:
Erstmal suchen, dann posten!
https://forum.opnsense.org/index.php?topic=9801.0
sag mal, bin ich komplett bescheuert, und ist das Icon für den AD-Sync einfach mal weg?
https://docs.opnsense.org/manual/how-tos/user-ldap.html
Unter Step 4, das kleine Icon fehlt bei mir.
Beim Erstsetup gestern war noch drin, dann habe ich es genutzt, gewisse Benutzer bezogen, aber manche nicht übernommen, die möchte ich jetzt aber nachziehen.
Das Icon ist aber weg.
Wie krieg ich das bitte hin?
EDIT:
Erstmal suchen, dann posten!
https://forum.opnsense.org/index.php?topic=9801.0
112
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 26, 2021, 01:24:58 pm »
Also ich hatte heute schon mal das Gespräch mit den Leuten aus dem RZ und wie ich schon vorgeahnt habe:
"Machen wir nicht, ist nicht vorgesehen".
Nun habe ich denen mehr Druck gemacht (im Sinne von "wir können nicht arbeiten wenn das so nicht umgesetzt wird"), Netzplan geschickt, und jetzt schauen sie sich das mal an.
Sie sagten mir auch, dass das die erste Anfrage ever ist, um so etwas zu machen, und das glaube ich denen sofort, denn es gibt bei denen KEINEN anderen Kunden (von knappen 3000 Kunden die dort hosten) der eine eigene IT wie wir hat.
Deswegen ist es eine Sonder-Sonderlösung, und das müssen sie erstmal gut prüfen lassen.
Ich sagte schon unser Unternehmen ist hier sehr sehr speziell.
Cisco wird standardmäßig mit WAN und LAN Ports konfiguriert und ist standardmäßig der EINZIGE Router im Unternehmen. WAN ist normalerweise direkt ans Internet angeschlossen, auf LAN DHCP, klassisch halt, und das Transfernetz ist das LAN Netz.
Bei uns: zusätzlichee Firewall (OPNsense), die für Cisco Zugang zum WAN herstellt. LAN ist aktuell nach wie vor das default Transfernetz.
Was ich aktuell anstrebe, ist die Konfiguration eines weiteren LAN-Ports mit dem Transfernetz (neues Netz, unabhängig vom aktuellen Clientnetz), und wie schon gesagt, einer statischen Route am Cisco und OPNsense die jeweils über das Netz routet.
Vorallem finde ich es so seltsam dass sie sich so anstellen, denn das Transfernetz zwischen Cisco und OPNsense ist eigentlich NUR bei uns und hat mit den Netzen im RZ gar nix zu tun... von daher...
"Machen wir nicht, ist nicht vorgesehen".
Nun habe ich denen mehr Druck gemacht (im Sinne von "wir können nicht arbeiten wenn das so nicht umgesetzt wird"), Netzplan geschickt, und jetzt schauen sie sich das mal an.
Sie sagten mir auch, dass das die erste Anfrage ever ist, um so etwas zu machen, und das glaube ich denen sofort, denn es gibt bei denen KEINEN anderen Kunden (von knappen 3000 Kunden die dort hosten) der eine eigene IT wie wir hat.
Deswegen ist es eine Sonder-Sonderlösung, und das müssen sie erstmal gut prüfen lassen.
Ich sagte schon unser Unternehmen ist hier sehr sehr speziell.
Quote
Wenn der Cisco VPN macht und das über ein Interface, das gleichzeitig eben für ihn quasi WAN/LAN ist, dann ist es umso einfacher und man muss weniger beachten, das war die Aussage, die ich machen wollte damit. Wenn der noch selbst eigenes WAN hat für sein VPN, dann muss man ggf. das Transfernetz zu diesem Cisco eben als wirkliches Upstream WAN konfigurieren (mit aktivierten Gateway Settings im Interface) statt nur als weiteres LAN/VLAN. Nur darum hatte ich gefragt.
Cisco wird standardmäßig mit WAN und LAN Ports konfiguriert und ist standardmäßig der EINZIGE Router im Unternehmen. WAN ist normalerweise direkt ans Internet angeschlossen, auf LAN DHCP, klassisch halt, und das Transfernetz ist das LAN Netz.
Bei uns: zusätzlichee Firewall (OPNsense), die für Cisco Zugang zum WAN herstellt. LAN ist aktuell nach wie vor das default Transfernetz.
Was ich aktuell anstrebe, ist die Konfiguration eines weiteren LAN-Ports mit dem Transfernetz (neues Netz, unabhängig vom aktuellen Clientnetz), und wie schon gesagt, einer statischen Route am Cisco und OPNsense die jeweils über das Netz routet.
Vorallem finde ich es so seltsam dass sie sich so anstellen, denn das Transfernetz zwischen Cisco und OPNsense ist eigentlich NUR bei uns und hat mit den Netzen im RZ gar nix zu tun... von daher...
113
German - Deutsch / Re: Rule greift nicht?
« on: July 26, 2021, 01:19:10 pm »
Sensei wird eingesetzt, ist auf der To-Do Liste, aber bin noch nicht soweit.
@JeGr, danke, verstehe. Ist kein Problem, wenn es so nicht geht, dann werde ich rundum arbeiten.
@JeGr, danke, verstehe. Ist kein Problem, wenn es so nicht geht, dann werde ich rundum arbeiten.
114
German - Deutsch / Re: DNAT Hilfe
« on: July 26, 2021, 01:13:07 pm »
Site C (10.246.157.0/24) erlaubt Zugriff ausschließlich aus dem Bereich des Site B (10.146.32.0/24).
Site A muss auf den IP Bereich der Site B genatet werden, damit man auf Site C zugreifen kann und aktuell funktioniert es so (siehe Screenshot).
Ich hatte nur das Interface falsch... mit LAN geht's.
Hier hakt nämlich noch mein Verständnis, ob am LAN oder ein anderer Interface.
Ebenso Titel/Eröffnungsthread angepasst.
Site A muss auf den IP Bereich der Site B genatet werden, damit man auf Site C zugreifen kann und aktuell funktioniert es so (siehe Screenshot).
Ich hatte nur das Interface falsch... mit LAN geht's.
Hier hakt nämlich noch mein Verständnis, ob am LAN oder ein anderer Interface.
Ebenso Titel/Eröffnungsthread angepasst.
115
Web Proxy Filtering and Caching / Multiple sites via HAproxy
« on: July 26, 2021, 12:24:42 am »
Hello,
I hope this is the right place. I am using HAproxy for SSL offloading for internal and external GUIs.
I migrated to the OPNsense, however I have issue with the same config as I used to have on the Sophos, our previous firewall.
I have two sites that both have internally 443, however I used to get to one via another port.
Doing that works, the site answers, however the site gets redirected to 443 and also picks some other certificate, one of the other sites used in HAproxy.
There is only one WAN IP, however different FQDNs, of course.
My understanding is mostly basic, what I know from reading off the net and tutorials.
I would expect it to "sort" the access according to the FQDN and then retain the port at which HAproxy serves the site (and of course the cert).
Is that possible at all?
An example:
site1.domain.com:443 -> server1.internal.domain.com:443
site2.domain.com:4343 -> server2.internal.domain.com:443
I'm only reluctant to post real domains and ports, so these are just examples.
I hope this is the right place. I am using HAproxy for SSL offloading for internal and external GUIs.
I migrated to the OPNsense, however I have issue with the same config as I used to have on the Sophos, our previous firewall.
I have two sites that both have internally 443, however I used to get to one via another port.
Doing that works, the site answers, however the site gets redirected to 443 and also picks some other certificate, one of the other sites used in HAproxy.
There is only one WAN IP, however different FQDNs, of course.
My understanding is mostly basic, what I know from reading off the net and tutorials.
I would expect it to "sort" the access according to the FQDN and then retain the port at which HAproxy serves the site (and of course the cert).
Is that possible at all?
An example:
site1.domain.com:443 -> server1.internal.domain.com:443
site2.domain.com:4343 -> server2.internal.domain.com:443
I'm only reluctant to post real domains and ports, so these are just examples.
116
German - Deutsch / Re: Rule greift nicht?
« on: July 26, 2021, 12:00:55 am »
Ist drin sowohl mit wie auch ohne. Ich entferne den Eintrag mit.
117
German - Deutsch / Re: Rule greift nicht?
« on: July 25, 2021, 09:30:50 pm »
Ich hätte gedacht das war aus den Screenshots klar.
Nun:
Das sind diverse Clients die N-Central Agent installiert haben. Port 1234 ist:
https://secure.n-able.com/webhelp/NC_11-0-0_en/Content/Help_20/MSPA/MSPC_ports.htm
Betrifft Remoting aus dem N-Central.
Er will Outbound zu *.mspa.n-able.com
Port 1234
Ja, die Rule soll erlauben.
Nein, ein Deny ist erst ganz am Ende.
Nix im Floating dazu...
Mm, wie soll ich mehr Infos zu den Rules posten, was willst du genau wissen? Es sind LAN und mehrere VLANs, Floating verwende ich aktuell nur 1 Rule, nix mit N-Able zu tun.
Grundlegend steht ganz oben IPv6 deny, dann alle Rules und dann am Ende Deny All mit Logging an.
Nun:
Das sind diverse Clients die N-Central Agent installiert haben. Port 1234 ist:
https://secure.n-able.com/webhelp/NC_11-0-0_en/Content/Help_20/MSPA/MSPC_ports.htm
Betrifft Remoting aus dem N-Central.
Er will Outbound zu *.mspa.n-able.com
Port 1234
Ja, die Rule soll erlauben.
Nein, ein Deny ist erst ganz am Ende.
Nix im Floating dazu...
Mm, wie soll ich mehr Infos zu den Rules posten, was willst du genau wissen? Es sind LAN und mehrere VLANs, Floating verwende ich aktuell nur 1 Rule, nix mit N-Able zu tun.
Grundlegend steht ganz oben IPv6 deny, dann alle Rules und dann am Ende Deny All mit Logging an.
118
German - Deutsch / Re: Rule greift nicht?
« on: July 25, 2021, 07:22:34 pm »
Und hier noch das Rule selbst
119
German - Deutsch / Rule greift nicht?
« on: July 25, 2021, 07:18:15 pm »
Hallo,
bin etwas perplext, warum greift dieses Rule nicht?
Screenshots folgen.
bin etwas perplext, warum greift dieses Rule nicht?
Screenshots folgen.
120
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 25, 2021, 04:25:50 pm »
Macht eh keinen Sinn, muss JeGr wohl missverstanden haben.
Ist schon gut, solche Empfehlungen bringen hier nix.
Quote
und wenn der kein extra WAN hat, dann wars das. Wenn er noch extra WAN hat, dann braucht es noch eine
Route (zum Client LAN) mehr, aber das wars dann.
Ist schon gut, solche Empfehlungen bringen hier nix.