Messages

Habe leider seit einer Woche gebastelt und immer noch keine Möglichkeit gefunden das hinter der UNIFI Sec Gateway zu betreiben... falls noch jemand eine Idee hat?

Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.

VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1

Vielen Dank!

Hallo.. das mit der Fritzbox hat ja super funktioniert, dasselbe hab ich jetzt mit einer Unifi USG. Hier scheitere ich in alle Herrlichkeit. Bild im Anhang beschreibt meine Konfig.

VPN Netz: 10.10.0.0/24
Opnsense: 10.10.0.1 bzw. 192.168.2.2
USG: 192.168.2.1

Vielen Dank!

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Noch ein Versuch. Der User greift über eine VPN über die opnsense auf das Netzwerk zu. Das Remotenetzwerk hat die 10.10.0.0/24 und der Zielserver ist im Netzwerk 192.168.26.1 (aktuell hat man auf alle Geräte über diese VPN im Netzwerk zugriff)

Das passt weder zum Titel noch zu deinem ersten Post, aber nun gut. Einfach einen Tunnel über openVPN, Wireguard oder IPsec machen und die jeweiligen remote-Netze in der Config spezifizieren, ein paar FW-Regeln und ab geht die Post.

Gleiche private Subnetze in beiden Filialen ist unschön, aber kein Showstopper (NAT)...

Ich sehs jetzt erst, dass ich im falschen Thread bin  ::) Sorry: hatte noch einen zweiten eröffnet wo es um eine Site2Site geht. Tut mir leid!

Beide Seiten sollen Zugriff auf alles auf beiden Seiten haben? Das widerspricht aber der Anforderung in Deinem ersten Post, dass ein User nur auf einen Server zu Fernwartungszwecken ...

Oder sollen beide Seiten Zugriff auf alles auf ihrer jeweiligen Seite haben? Das ist doch sowieso der Fall in einem LAN, da ist die jeweilige Firewall ja auch überhaupt nicht involviert ...

Also wer genau soll bitte worauf zugreifen? Möglichst vollständig ...

Hi,

also, ich hab zwei Seite, eine in Hamburg (Unifi) und eine in Berlin (OPNSense) zwischen diesen beiden Firewalls soll eine Site2Site Verbindung aufgebaut werden, sodass alle Netze erreichbar sind von beiden Seiten aus.

So wie eine Site2Site verbindung halt läuft, ich weiss nicht, wie ich es anders ausdrücken kann. Eine Netzkopplung mehrere Filialen quasi.

Danke liebe grüße

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Hi,
danke für die Rückmeldung. Es gibt zwei Filialen, eine Seite hat eine OPNsense als Firewall, die andere den unifi SecGateway - auf der einen Seite steht der Server auf den beide Filialen zugreifen müssen. Das Problem ist, dass beide Seiten aktuell denselben IP Bereich haben (192.168.50.0/24). Die Frage ist, ist das überhaupt möglich? Muss ich die IP erst ändern?

Der User sitzt an einen der beiden Filialen an einem Rechner. Beide Seiten sollten möglichst auf alles Zugriff haben.

Besten Dank!

Hi,

is it possible to create a site to site network between this both Firewalls? And how?

Thank you!

Hallo zusammen,

ich überlege gerade, wie es am Sinnvollsten ist einem User nur einen Zugriff auf einen Server zu geben zu Wartungszwecken. Er soll lediglich Zugriff auf eine feste IP im Netzwerk haben, den Rest sollte er nicht mal sehen können.

Löse ich das über Gruppen, einzelne User oder brauch ich einen extra OpenVPN Server?

Besten Dank

Das war's! Ich bedanke micht recht herzlich!

Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?

Prüf beim ESXi unter "TCP/IP Stacks", ob er die Fritzbox als Default-Gateway eingetragen hat.

Gruß
Patrick

Moin,

es hat geklappt, ich hatte einen Fehler in der Route der FB (hatte die ip der FB angegeben und nicht der OPNSENSE). Vielen lieben Dank, großartige Hilfe!!

Allerdings hab ich jetzt noch ein lustiges Problem: ich komme überall drauf, nur nicht auf mein ESXI Server den ich als einziges brauche o.O? wie kann das sein?

Also Dein LAN mit der Fritzbox ist 192.168.26.0/24? Welche Adresse hat die Fritzbox? Ja, 192.168.26.95
Du hast Dein WAN-Interface auf der OPNsense komplett gelöscht? Ja
Die OPNsense hat die Fritzbox als Default-Gateway? Ja (Unter System, Gateways, Single?)
Dein OpenVPN Netzwerk ist 10.10.0.0/24? Ja
Die Fritzbox hat eine Route 10.10.0.0/24 --> 192.168.26.1 (OPNsense)? Jetzt ja, hatte davor den falschen Gateway drin (de der FB selbst)
Du hast die Firewall global ausgemacht auf der Sense? Ja, aber ESXI nicht erreichbar

Wenn Du alle Fragen mit ja beantworten kannst, muss das eigentlich funktionieren.

Das OpenVPN muss den Clients natürlich eine Default-Route "reinpushen". Oder wenigstens eine Route nach 192.168.26.0/24, wenn es nur um den LAN-Access geht und Internet beim Client weiterhin lokal raus soll.

Alle beteiligten Seiten müssen wissen, wo alle beteiligten Netze jeweils sind. Damit Rechner in deinem LAN 192.168.26.0/24 nicht alle einzeln angefasst werden müssen, trägst Du die Route zum OpenVPN auf der Fritzbox ein wie oben geschrieben. Ich gehe davon aus, dass alle Systeme in Deinem LAN die Fritzbox als Default-Gateway haben. Bei der OPNsense fehlt das vielleicht noch - wieder s.o.

Danke, das war es leider nicht (Punkt ist unter https://xxx.xxx.xxx.xxx/system_advanced_firewall.php

habe ich die Route richtig herum eingetragen?

Sorry, aber wie :)?

hm. läuft nicht

Vielen Dank für die schnelle Rückmeldung. Route in der Fritzbox bedeutet dann:

IPv4 Netzwerk: 10.10.0.0/24
Sub: 255.255.255.0
Gateway: 192.168.26.1 (OPNSENSE)

Korrekt?

und muss ich in der Firewall die Regel dann für das LAN anlegen?

Hallo,

Ich habe eine OPNsense VM erstellt die WAN UND lan den selben Adapter hat. Ich bin straight nach Anleitung (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten) vorgegangen und bekomme auch eine VPN Verbindung erstellt. Allerdings bekomme ich keinen Zugriff auf das Lan. Der Zugriff auf die Sense funktioniert über das LAN und VPN Netzwerk. Hier die Daten:

LAN 192.168.26.0/24 auf das ich Zugriff benötige
WAN IP OPNSENSE 192.168.26.2
LAN IP OPNSENSE 192.168.26.1
VPN OPNSENSE 10.10.0.0/24

in der Firewall habe ich regeln erstellt, sodass ich vom WAN in das VPN Netzwerk komme und habe auch gesagt, dass 192.168.26.0 mein Local Network ist im OPNSENSE Server. Wenn ihr mehr Infos braucht, geht mir bitte Bescheid. Erster Versuch mit OPNSENSE :)