OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of kosta »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - kosta

Pages: 1 ... 7 8 [9] 10 11 ... 36
121
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 25, 2021, 04:13:32 pm »
Ihr besteht drauf dass ICH das will.
1) bisher wusste ich das nicht besser, Sophos hat perfekt funktioniert, jetzt weiß ich, und bin DAFÜR dass man es ändert.
2) ihr kennt nicht "unser" RZ, ihr kennt nicht die Firma und die Regeln die in Namen von Sicherheit die dort betrieben werden (sehr berechtigt).

Genug zu sagen dass wir diese Firewall in eine Konstellation implementieren die vom RZ eigentlich gar nicht vorgesehen wird.

Wenn es dort nein heißt, dann ist es so, und da fährt die Eisenbahn drüber. ICH kann dann nur die Wege rundherum suchen.

Morgen schauen wir mal ob ich die richtige Kollegen erreiche, dann versuchen wir mal das Thema Transfernetz.

Mir wurde noch immer nicht beantwortet:
Warum zweiter WAN? Wenn ich es richtig verstehe, eher wäre sinnvoll zweite LAN-Schnittstelle, mit ein anderen IP die ich für das Transfernetz verwende und ein statisches Routing "unser LAN via neues Interface". WAN bleibt WAN, eine Schnittstelle die auf der OPNsense hängt und dem VPN-Router die Anbindung ins Internet gibt.

122
German - Deutsch / Re: DNAT Hilfe
« on: July 25, 2021, 08:47:50 am »
Begriffe SNAT DNAT verwechselt. Outbound NAT in OPNsense natürlich gemeint. Ich hab eh ein Tunnel dazwischen, aber wie soll ich beim Tunnel die IP umschreiben? So dass Site C die IP von Site A als Site B sieht?

123
German - Deutsch / SNAT Hilfe
« on: July 25, 2021, 02:08:58 am »
Hallo,

kleine SNAT Hilfe bitte.
IKE2 Policy IPsec Tunnel Site A-B.
Site A: 192.168.11.0/24
Site B: 10.146.32.0/24
Site C: 10.246.157.0/24
Damit Site C von Site A zugegriffen werden kann, muss Site A IP in Site B IP übersetzt werden, SNAT.

Auf Sense Site B:
Interface   Source   Source Port   Destination   Destination Port   NAT Address   NAT Port   Static Port
IPsec   192.168.11.0/24    *   10.246.157.0/24     *           LAN address   *   NO

Stimmt das so? Bisher kriege ich es nicht hin, aber das müsste stimmen, korrekt?

124
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 24, 2021, 07:29:21 pm »
Quote
Probier es zumindest zum Debugging mal mit "permit all" und dann können wir weitersehen.
Damit schon versucht.
Das erste was ich getan habe um zu troubleshooten war im Prinzip alles zu deaktivieren was nicht notwendig ist, und alles zu öffnen - auf jeden Netz existieren zwei Rules für Troubleshooting, einmal TCP/UDP allow all, einmal ICMP allow all. Rest nach Bedarf, da es fast nie auftritt.
Alle Rules deaktiviert, diese zwei überall aktiviert.
Mit und ohne Haken versucht, und das Problem bestand.

Was mich aber ärgert ist dass es eine Weile funktioniert hat (siehe History), als mir empfohlen wurde den Haken zu setzen, waren die Probleme weg. Aber dann fingen sie wieder an und ich habe keine Ahnung was wirklich passieren konnte, damit es nicht mehr geht. Am Vortag habe ich eigentlich nur mit IPsec Tunnels probiert, was ich zwischen 2 Standorten habe (die normal funktionieren).

Jetzt habe ich mittlerweile einiges drauf, viel schon konfiguriert, möchte das jetzt nicht mehr auseinanderreißen ;-)

125
German - Deutsch / Re: OPNsense Hauptfirewall, Sophos UTM für WLAN
« on: July 24, 2021, 06:12:12 pm »
Ich verzichte auf die Sophos. Die UI AP sind schon da, Sophos verkaufe als eine Einheit und aus ist die Maus.
Controller und AP kommen ins Mgmt VLAN, und haben entsprechend getaggte VLANs.

126
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 24, 2021, 06:09:47 pm »
Also ich kann nachfragen ob sie bereit sind am LAN Interface die Adresse zu ändern, aber das erlaubte Netz ja belassen. Dann kann ich natürlich ein Transfernetz machen. Das letzte mal als wir darüber gesprochen haben hies es nein… aber jetzt kenne ich paar Leute mehr. Glaubt mir, das hier ist kein typischer Dienstleister und was wir fordern ist in dem Bereich wo wir sind, sehr untypisch.
Wir können uns gerne über details per PM austauschen, aber die Infos möchte ich nicht zwingend im Forum posten, Firma usw.

Aber: warum zweites WAN?? Das Gerät (Cisco) hat sicher genug Ports, aber was für Zweck?
Aktuell hat Cisco ein WAN und LAN Port.
LAN am Cisco ändern, auf OPNsense stöpseln, damit Transfernetz abbilden.
Statische Routen:#
Cisco: unser LAN via Transfernetz.
OPNsense: Netze im RZ via Transfernetz.

127
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 24, 2021, 03:48:18 pm »
Verstehe grad nicht was dein Problem ist.
VPN Router ist eine Anforderung und hier lässt der Betreiber keine Anpassungen zu (mit Ausnahme von der WAN IP). Aus. Bringt nix darüber zu diskutieren. LAN-Netz ist fix.
Und das betrifft auch das Thema Netz, ich muss den Router LAN-seitig in das Client-Netz hängen, anders geht es nicht wirklich. TECHNISCH genau gesehen würde es gehen würde ich die Clients in ein anderes Netzwerk verschieben, dazwischen 1:1 NAT schalten würde, bringt eine absolut unnötige Komplexität in das ganze und keine wirklich höhere Sicherheit. Eventuell auch mit NAT, dann müsste ich wiederum die einzelnen IPs die aus RZ angesprochen werden müssen alle händisch routen, hin und retour. Es ist vorgesehen, vom RZ aus (der uns den VPN Router bereitstellt), dass der Router im gleichen Netz wie die Clients ist.
Und das ist deswegen, weil der Zugriff auf den Router erfolgt ausschließlich aus dem gleichen Netz - die LAN IP kann nicht geändert werden, die WAN IP kann angepasst werden.

Was würde ich an Sicherheit, aus deiner Sicht gewinnen, wenn ich den Router auf ein getrenntes Interface klemmen würde?

128
German - Deutsch / Re: LDAP (AD) Abfrage - div. Fragen
« on: July 24, 2021, 02:26:28 pm »
Ahhh OK, geil! Also Realtime Abfragen... irgendwie dachte ich nicht daran, da Sophos das nicht konnte soweit ich weiß. Dort musste immer ein Sync vorhanden sein, oder halt händisch syncen. Danke

129
German - Deutsch / Re: LDAP (AD) Abfrage - div. Fragen
« on: July 24, 2021, 10:40:44 am »
Aber ich hab noch andere Fragen:
Bei der Sophos habe ich das so gemacht, dass ich die Benutzer mit der Firewall gesynct habe, damit auch die Kennwörter, und diese Benutzer dann verwendet habe für die OpenVPN Anbindungen.
Die Zertifikate muss ich wohl händisch machen und die Profile auch herunterladen, aber der Benutzer kann sein Kennwort selber tippen.

Meine Frage: werden die Kennwörter mit dem AD gesynct? Funktioniert das überhaupt so? GUI-Login für die Firewall brauche ich nicht und würde die Auth-Methode für GUI auch nicht hinzufügen.
Ich brauche lediglich angelegte Benutzer und gesyncte Kennwörter.

130
German - Deutsch / Re: LDAP (AD) Abfrage - seltsame Zeichen
« on: July 24, 2021, 10:32:29 am »
Hast du Recht, das ist es.

Aber, noch immer keine Gruppen-Mitgliedschaftsinfos.

Sollte ja hier stehen:
User: xxxx authenticated successfully.
This user is a member of these groups:

Natürlich kann ich weiter unten auslesen, aber oben fehlt es.

131
German - Deutsch / LDAP (AD) Abfrage - div. Fragen
« on: July 24, 2021, 10:11:19 am »
Hallo,

ist es normal wenn ich auf der Sense bei der Abfrage des AD seltsame Zeichen bekomme?
Etwa so:
usercertificate => 0�,0��o�����՗z��0  *�H��  0`10
(aber deutlich mehr Zeilen)
Weiter unten kommen dann weniger seltsame Zeichen, aber definitiv nicht so wie in der Anleitung.

Lt. Anleitung soll es die Gruppen anzeigen:
https://docs.opnsense.org/_images/ldap_testok.png

Wenn ich Read Properties nicht anhake, sieht normal aus, aber halt ohne Gruppen-Info.

132
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 24, 2021, 10:08:38 am »
Dachte mir eh :)
Nein, kein Zugriff auf den VPN Router.
Ich kann eine WAN/LAN IP Änderung anfordern, aber dafür muss die Verbindung bestehen.
Wenn sie nicht vorhanden ist, muss der Router versendet werden damit er umkonfiguriert werden kann.

MTU/MSS hat man zwar probiert, aber wie gesagt, liegt am Routing, denn es funktioniert wenn man richtig routet (Hinweg und Rückweg ohne OPNsense). Oder halt Hinweg UND Rückweg durch die OPNsense.

Und eben muss probieren ob ich das zweite machen kann. Und wenn die Probleme dann nach wie vor auftreten, dann werde ich noch über MTU nachdenken.

133
German - Deutsch / Re: TCP Antworten geblockt
« on: July 24, 2021, 12:08:28 am »
Und es passiert nicht nur am Port 7222... hab grad noch 80 und 8081 getestet, und alle 3. Rule evaluiert aber trifft nicht zu.

134
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 23, 2021, 11:49:45 pm »
Leider nein. Ich glaube das liegt an der Konfiguration des VPN Routers, und den kann ich, außer WAN und LAN IP, nicht konfigurieren.

135
German - Deutsch / Re: Probleme mit dem VPN-Router
« on: July 23, 2021, 11:37:02 pm »
Quote
Es geht nicht darum das Routing zu ändern sondern festzustellen welchen Weg die Pakete hin- und zurück gehen.
Um genau zu sein, korrekt, damit könnte man das 100% sagen, aber der unwissenschaftlicher Test mit ständigen Routen hat's auch getan.

Quote
Wieso eigentlich Route 10.157.10.0/24 über 10.150.32.129?
Müßte eigentlich Route 10.157.10.0/24 über 192.168.31.129 sein.
Gute Frage. Weil man eigentlich immer schon lan-seitig geroutet haben.
Aber die Sense kennt ja auch die WAN Seite...

Lass mich probieren...

Pages: 1 ... 7 8 [9] 10 11 ... 36
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2