Messages

31

German - Deutsch / Re: Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

« on: November 10, 2021, 10:39:11 am »

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Noch ein Versuch. Der User greift über eine VPN über die opnsense auf das Netzwerk zu. Das Remotenetzwerk hat die 10.10.0.0/24 und der Zielserver ist im Netzwerk 192.168.26.1 (aktuell hat man auf alle Geräte über diese VPN im Netzwerk zugriff)

32

German - Deutsch / Re: Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

« on: November 10, 2021, 10:38:01 am »

Das passt weder zum Titel noch zu deinem ersten Post, aber nun gut. Einfach einen Tunnel über openVPN, Wireguard oder IPsec machen und die jeweiligen remote-Netze in der Config spezifizieren, ein paar FW-Regeln und ab geht die Post.

Gleiche private Subnetze in beiden Filialen ist unschön, aber kein Showstopper (NAT)...

Ich sehs jetzt erst, dass ich im falschen Thread bin  Sorry: hatte noch einen zweiten eröffnet wo es um eine Site2Site geht. Tut mir leid!

33

German - Deutsch / Re: Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

« on: November 10, 2021, 09:24:29 am »

Beide Seiten sollen Zugriff auf alles auf beiden Seiten haben? Das widerspricht aber der Anforderung in Deinem ersten Post, dass ein User nur auf einen Server zu Fernwartungszwecken ...

Oder sollen beide Seiten Zugriff auf alles auf ihrer jeweiligen Seite haben? Das ist doch sowieso der Fall in einem LAN, da ist die jeweilige Firewall ja auch überhaupt nicht involviert ...

Also wer genau soll bitte worauf zugreifen? Möglichst vollständig ...

Hi,

also, ich hab zwei Seite, eine in Hamburg (Unifi) und eine in Berlin (OPNSense) zwischen diesen beiden Firewalls soll eine Site2Site Verbindung aufgebaut werden, sodass alle Netze erreichbar sind von beiden Seiten aus.

So wie eine Site2Site verbindung halt läuft, ich weiss nicht, wie ich es anders ausdrücken kann. Eine Netzkopplung mehrere Filialen quasi.

Danke liebe grüße

34

German - Deutsch / Re: Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

« on: November 05, 2021, 11:20:16 am »

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Hi,
danke für die Rückmeldung. Es gibt zwei Filialen, eine Seite hat eine OPNsense als Firewall, die andere den unifi SecGateway - auf der einen Seite steht der Server auf den beide Filialen zugreifen müssen. Das Problem ist, dass beide Seiten aktuell denselben IP Bereich haben (192.168.50.0/24). Die Frage ist, ist das überhaupt möglich? Muss ich die IP erst ändern?

Der User sitzt an einen der beiden Filialen an einem Rechner. Beide Seiten sollten möglichst auf alles Zugriff haben.

Besten Dank!

35

Virtual private networks / VPN Site to Site from OPNSENSE to UNIFI SEC GATEWAY

« on: November 05, 2021, 07:04:04 am »

Hi,

is it possible to create a site to site network between this both Firewalls? And how?

Thank you!

36

German - Deutsch / Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

« on: November 02, 2021, 10:06:59 am »

Hallo zusammen,

ich überlege gerade, wie es am Sinnvollsten ist einem User nur einen Zugriff auf einen Server zu geben zu Wartungszwecken. Er soll lediglich Zugriff auf eine feste IP im Netzwerk haben, den Rest sollte er nicht mal sehen können.

Löse ich das über Gruppen, einzelne User oder brauch ich einen extra OpenVPN Server?

Besten Dank

37

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: November 02, 2021, 09:39:17 am »

Das war's! Ich bedanke micht recht herzlich!

Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?

Prüf beim ESXi unter "TCP/IP Stacks", ob er die Fritzbox als Default-Gateway eingetragen hat.

Gruß
Patrick

38

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: November 02, 2021, 09:18:59 am »

Moin,

es hat geklappt, ich hatte einen Fehler in der Route der FB (hatte die ip der FB angegeben und nicht der OPNSENSE). Vielen lieben Dank, großartige Hilfe!!

Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?

Also Dein LAN mit der Fritzbox ist 192.168.26.0/24? Welche Adresse hat die Fritzbox? Ja, 192.168.26.95
Du hast Dein WAN-Interface auf der OPNsense komplett gelöscht? Ja
Die OPNsense hat die Fritzbox als Default-Gateway? Ja (Unter System, Gateways, Single?)
Dein OpenVPN Netzwerk ist 10.10.0.0/24? Ja
Die Fritzbox hat eine Route 10.10.0.0/24 --> 192.168.26.1 (OPNsense)? Jetzt ja, hatte davor den falschen Gateway drin (de der FB selbst)
Du hast die Firewall global ausgemacht auf der Sense? Ja, aber ESXI nicht erreichbar

Wenn Du alle Fragen mit ja beantworten kannst, muss das eigentlich funktionieren.

Das OpenVPN muss den Clients natürlich eine Default-Route "reinpushen". Oder wenigstens eine Route nach 192.168.26.0/24, wenn es nur um den LAN-Access geht und Internet beim Client weiterhin lokal raus soll.

Alle beteiligten Seiten müssen wissen, wo alle beteiligten Netze jeweils sind. Damit Rechner in deinem LAN 192.168.26.0/24 nicht alle einzeln angefasst werden müssen, trägst Du die Route zum OpenVPN auf der Fritzbox ein wie oben geschrieben. Ich gehe davon aus, dass alle Systeme in Deinem LAN die Fritzbox als Default-Gateway haben. Bei der OPNsense fehlt das vielleicht noch - wieder s.o.

39

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: November 01, 2021, 01:39:02 pm »

Danke, das war es leider nicht (Punkt ist unter https://XXX.XXX.XXX.XXX/system_advanced_firewall.php

habe ich die Route richtig herum eingetragen?

40

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: October 29, 2021, 07:43:48 pm »

Sorry, aber wie ?

41

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: October 29, 2021, 06:32:55 pm »

hm. läuft nicht

42

German - Deutsch / Re: OPNSense als VPN Server (WAN LAN selbes Netzwerk)

« on: October 29, 2021, 04:46:33 pm »

Vielen Dank für die schnelle Rückmeldung. Route in der Fritzbox bedeutet dann:

IPv4 Netzwerk: 10.10.0.0/24
Sub: 255.255.255.0
Gateway: 192.168.26.1 (OPNSENSE)

Korrekt?

und muss ich in der Firewall die Regel dann für das LAN anlegen?

43

German - Deutsch / OPNSense als VPN Server (WAN LAN selbes Netzwerk), Fritzbox & Unifi

« on: October 29, 2021, 03:05:41 pm »

Hallo,

Ich habe eine OPNsense VM erstellt die WAN UND lan den selben Adapter hat. Ich bin straight nach Anleitung (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten) vorgegangen und bekomme auch eine VPN Verbindung erstellt. Allerdings bekomme ich keinen Zugriff auf das Lan. Der Zugriff auf die Sense funktioniert über das LAN und VPN Netzwerk. Hier die Daten:

LAN 192.168.26.0/24 auf das ich Zugriff benötige
WAN IP OPNSENSE 192.168.26.2
LAN IP OPNSENSE 192.168.26.1
VPN OPNSENSE 10.10.0.0/24

in der Firewall habe ich regeln erstellt, sodass ich vom WAN in das VPN Netzwerk komme und habe auch gesagt, dass 192.168.26.0 mein Local Network ist im OPNSENSE Server. Wenn ihr mehr Infos braucht, geht mir bitte Bescheid. Erster Versuch mit OPNSENSE

44

German - Deutsch / Re: mehrere OPNsense hinter Fritzbox Modem

« on: July 22, 2021, 01:25:14 pm »

Danke,

Ja, das ist die Teststellung. Unabhängig was beim Anbieter anliegt und wie es am einfachsten geht interessiert mich das, wie sich so etwas realisieren lässt. Hatte ich tatsächlich nicht dazu geschrieben. Sorry

45

German - Deutsch / Re: mehrere OPNsense hinter Fritzbox Modem

« on: July 22, 2021, 07:44:18 am »

Hi micneu,

Genau das ist aber die Herausforderung. Ich brauche für jeden Server eine Opnsense da es verschiedene Kunden betrifft. Jeder Kunde muss nachher die Option haben seine eigene Sense zu verwalten. Deshalb sind VLAN wie gesagt keine Option.

Das viel grundlegendere Problem ist aber die öffentliche IP an die Sense zu bekommen. Aktuell habe ich nur eine einzige (es sollen mal drei sein), sei mal dahingestellt oh das nachher klappt oder nicht. Draytek hatte ich mir auch schon überlegt, diese dann im Bridge Mode vermute ich?