Topics

1

German - Deutsch / Site2Site mit OpenVPN

« on: November 09, 2024, 06:38:19 pm »

Hallo Forum,

ich habe im Büro eine OPNsense an einem DSL-Anschluss einem mit Vigor 165 laufen. Der Anschluss hat eine feste externe IP und die OPNsense wählt sich per PPPoE selbst ein.

Ich möchte nun zu Hause eine OPNsense in Betrieb nehmen, um die beiden Netze zu verbinden. Zu Hause habe ich einen Glasfaseranschluß mit Glasfasermodem, an welchem die OPNsense ebenfalls eine direkte Einwahl macht. Zu Hause habe ich ebenfalls eine feste externe IP. Die OPNsense wählt sich per PPPoE ein.

Beide OPNsense wählen sich ein und ich kann jeweils auf beiden Seiten im internen Netz surfen. Die öffentlichen festen IPs werden in der OPNsense auch angezeigt.

Nun gibt es ja viele Anleitungen im Internet für die Verbindung untereinander.

Ich habe im Büro das Netz 10.0.10.0/24 und zu Hause das Netz 10.10.10.0/24. Als Tunnelnetz habe ich das 10.0.100.0/24 ausgesucht. Die Sense im Büro soll der Server sein und die Sense zu Hause der Client.

Ich habe also im Büro den OpenVPN-Server eingerichtet und zu Hause einen OpenVPN-Client. Beides im Legacy-Modus. auf der Server-Sense zusätzlich 2 FW-Regeln. Die eine Regel, dass die Anfragen am WAN-Interface auf Port 1195 durchgelassen werden und die zweite Regel, dass auf dem OpenVPN-Interface die Pakete ins Firmen-LAN dürfen.

Zu Hause nur die eine Regel, dass die Pakete auf dem OpenVPN-Interface in das Zuhause-LAN dürfen.

NAT steht auf beiden Seiten auf "Automatic outbound NAT".

Nun die Problematik: Der Tunnel wird aufgebaut. Das kann ich unter "Connection Status" bei beiden Seiten sehen. Auf beiden Seiten steht "connected". Aber mehr funktioniert nicht. Pings aus dem Heimnetz auf einen Server im Büro geben 100% loss. Eine RDP-Anfrage von zu Hause auf meinen Temrinalserver im Büro scheitert ebenfalls.

Was muss ich denn noch zusätzlich einstellen, dass ich in beide Richtungen auf die Ressourcen zugreifen kann?

Wie zuvor beschrieben, sind das de Einstellungen bei vielen Anleitungen, die man googelt. Eigentlich immer gleich. Leider funktioniert das so nicht. Als würde noch irgendwas fehlen.

Ich freue mich über zahlreiche Antworten :-). Vielen Dank im Voraus.

Viele Grüße
Christoph

2

German - Deutsch / Testnetz parallel zum LAN

« on: July 18, 2024, 10:01:30 pm »

Hallo Forum,
ich habe eine OPNsense mit dem WAN-Port an einem Draytek 165 und mache PPPoE. Das LAN-Netz lautet 10.0.10.0/24 und der physikalische LAN-Port hat die 10.0.10.1.

Ich möchte nun an einem weiteren physikalischen Port ein Testnetz bereitstellen. Das Testnetz soll z.B. 192.168.1.0/24 lauten und der Port soll die 192.168.1.254 bekommen.

Ich möchte nun aus meinem LAN-Netz auf ein am Testnetz-Port angeschlossenes Gerät mit der IP 192.168.1.1 zugreifen.

Ich habe für das Testnetz die gleiche Firewall-Rule aufgestellt wie sie standardmäßig beim LAN vorhanden ist. Also die Regel, daß alles nach draußen erlaubt ist.
Des weiteren habe ich das Testnetz noch in den Unbound-DNS eingetragen, damit die Auflösung auch im Testnetz klappt. Eine NAT-Regel für den Verkehr ins Internet gibt es auch.

Ich habe mal gelernt, daß die Netze standardmäßig alle aufeinander zugreifen können.

Nun kann ich aber aus meinem LAN nicht auf das Gerät im Testnetz zugreifen. Was fehlt denn noch?

Gruß
Christoph

3

German - Deutsch / Firefox und HAProxy

« on: July 05, 2024, 06:24:04 am »

Hallo Forum,

ich habe den HAProxy nach dem Tutorial von "The HellSite" eingerichtet und so u.a. einen Exchange-Server und ein Synology NAS von aussen zugänglich zu machen.

Per ACME beziehe ich für diese Subdomain ein LE-Zertifikat.

Während beispielsweise der Zugriff per OWA und per Mobilgeräten super funktioniert, bekomme ich beim Zugriff auf die Subdomain, die mit dem NAS verknüpft ist, einen Zugriffsfehler.

Aber: Das Ganze passiert nur bei Firefox. Wenn ich Chrome, Edge und sogar Safari vom iPhone verwende, klappt das. Firefox bringt folgende Fehlermeldung (siehe Anhang). Das Zertifikat wird bei allen Browsern, außer bei Firefox, als gültig angezeigt.

Ich habe die Sicherheitseinstellungen von Firefox schon zurückgesetzt, bringt aber nichts.

Habt Ihr eine Erklärung?

4

German - Deutsch / Vorher erstellte Config von HA Proxy in andere OPNsense einspielen

« on: June 28, 2024, 06:25:00 am »

Hallo Forum,
wir ziehen gerade alle unsere SOPHOS-Kunden zu OPNsense um. Einige haben einen Exchange-Server On Premise und daher muß hier z.B. HAProxy eingerichtet werden.

Da über die GUI unter Services/HAProxy/Config Export die Konfiguration exportieren kann, habe ich mir eine Standard-Vorlage gebaut und diese exportiert.

Auf der anderen OPNsense gibt es allerdings keine Möglichkeit diese einzulesen. Daher habe ich die exportierte haproxy.conf per ftp in das Verzeichnis /usr/local/etc kopiert und die OPNsense neu gestartet.

Komischerweise sind die Einstellungen alle "leer" und der Dienst lässt sich nicht mehr starten, da er in der Liste der Dienste (Dashboard) nicht mehr auftaucht.

Weiß einer, wie ich das bewerkstelligen kann? Das Konfigurieren einer jeden OPNsense des Kunden wäre sehr zeitaufwendig.

Besten Dank im Voraus.

Gruß
Christoph

5

German - Deutsch / DNS-Einstellungen und Gateways

« on: June 16, 2024, 06:34:40 pm »

Hi Forum,

unter System/Einstellungen/Allgemein kann man untereinander ja diverse DNS-Server eintragen. Daneben dann das jeweilige Gateway.

Wenn man bei Gateway nichts einträgt, wird dann auch nichts verwendet oder wird dann das Standard-Gateway bzw. das Upstream-Gateway verwendet?

Meines Erachtens ist diese Einstellung doch nur sinnvoll bei Multi-WAN, oder?

Gruß
Christoph

6

German - Deutsch / Einem VLAN nur Zugriff ins Internet erlauben

« on: May 31, 2024, 10:45:50 am »

Hallo Forum,

wir haben auf einer OPNsense auf dem Internal-LAN ein weiteres VLAN gelegt für einen WLAN-Gästezugriff. Dahinter hängt ein UniFi-Controller mit AP.

Nun wollen wir, daß das Interface "GästeWLAN" so konfigurieren, daß das lediglich nach draußen ins Internet darf, aber nicht in das Internal-LAN.

Habt Ihr einen kurzen Hinweis auf die Rules?

Besten Dank im Voraus.

7

German - Deutsch / Zugriff auf's GUI über WAN nur von bestimmten IP-Adressen

« on: May 23, 2024, 05:58:24 pm »

Hallo Forum,

Unter Administration kann ich ja beim WebInterface einstellen, daß das WebInterface auf LAN und WAN hören soll. Das bedeutet natürlich, daß jeder aus dem Internet am Anmeldefenster landet.

Ich habe hier bei uns im Büro eine Opensense mit OPNcentral und bin mit zwei OPNsenses hierüber verbunden für zentrales Management.

Wenn ich auf den beiden entfernten OPNsenses den Zugriff auf das GUI auf LAN beschränke, funktioniert das zentrale Management nicht mehr. Kann man irgendwie definieren, daß Anfragen über meine feste externe IP trotzdem das GUI öffnen dürfen und daß das zentrale Mangement funktioniert, jeder andere aber nicht aus dem Internet an den Anmeldedialog kommt?

Grüsse

8

German - Deutsch / OpenVPN und LDAP

« on: May 23, 2024, 07:37:06 am »

Moin Forum,

ich würde gerne einen OpenVPN-Server auf der OPNsense bereitstellen, der sich mit dem AD des Windows-Servers abgleicht und für jeden Benutzer, der VPN machen darf, ein eigenes Zertifikat bzw. eine eigene Konfigdatei erzeugt.

Bisher hatte ich für jeden Benutzer die gleiche Konfig und habe lediglich gegen Benutzername und Passwort geprüft. Idealerweise entsteht in der Sense unter "Group" eine Gruppe VPN, in welcher die User einzeln aufgeführt sind und aus welcher man die Benutzer löscht, wenn sie das Unternehmen verlassen haben.

Gibts da eine "Blaupause"?

9

German - Deutsch / Authentifizierung localdatabase und LADP

« on: May 21, 2024, 09:02:13 am »

Hallo Forum,

ich hatte eine OPNsense 24.4. normal aufgesetzt und für den root-User ein Passwort vergeben.

Dann hatte ich eine Authentifizierung mit einem LDAP-Server eingerichtet, da ich mit einer Gruppe VPN im AD lediglich die User OpenVPN machen lassen wollte, die im AD Mitglied der Gruppe sind. Das klappte soweit auch ganz gut, bis ich mich einmal vom Webinterface der OPNsense abgemeldet hatte.

Ich kann mich nun nicht mehr anmelden, da das Passwort für root angeblich falsch sei.

Ist es so, daß wenn man die Authentifizierung mit LDAP einschaltet, die localdatabase nicht mehr parallel läuft?

Grüsse...

10

German - Deutsch / HA Proxy - Dienst startet nicht mehr nach Update von 23.10 auf 24.4

« on: May 18, 2024, 11:28:36 am »

Hallo Forum,

siehe Betreff.

Habe schon die Anpassungen vom HowTo von TheHellSite gemacht, auch den Patch eingespielt, aber ich bekomme den Dienst nicht mehr gestartet.

Habt Ihr eine Lösung bzw. kennt das Problem?

Gruß
Christoph

11

German - Deutsch / Fehlermeldung nach Update

« on: April 10, 2024, 07:03:14 am »

Guten Morgen,
ich habe heute morgen in eine, am vergangenen Wochenende aufgesetzte, OPNsense (Business Edition) per GUI nach Updates gesucht und auch einspielen lassen.

Nach dem Neustart habe ich nochmal nach Updates suchen lassen und bekomme folgende Fehlermeldung (siehe Anhang).

Wie bekomme ich das repariert?

Gruß
Christoph

12

German - Deutsch / Hardware-Empfehlung à la Sophos RED 15

« on: April 09, 2024, 10:32:27 am »

Hallo Forum,
wir lösen nach und nach die SOPHOS-Firewall bei den Kunden ab und nutzen deren SOPHIS-Firewall-Hardware, um dort drauf die OPNsense zu installieren.

Das klappt soweit prima. Nun haben wir beim nächsten Kunden ein SOPHOS-RED-Gerät in einer Aussenstelle mit SOPHOS Access-Point. Diese Hardware kann nicht genutzt werden, da es sich hierbei um Hardware handelt, auf der OPNsense nicht läuft. Den AP würden wir gegen einen Unifi U6-Pro ersetzen.

Ich habe nun zwei Fragen an die Box in der Aussenstelle.
1.) Was würdet Ihr hier als alternative Hardware empfehlen? Gerne mit mindestens vier LAN-Buchsen.
2.) Wie würdet Ihr die Anbindung machen? VPN per IPsec, OpenVPN oder Wireguard oder als Bridge?

Die Konfiguration soll so eingestellt werden, daß der normale "Surf-Traffic" in der Aussenstelle über den Router ins Internet erfolgt und lediglich die Anfragen an den Server der Zentrale über den Tunnel geschickt werden. Bei SOPHOS nennt man das "Standard-Split"-Mode.

Ich freue mich auf Eure Kommentare und verbleibe

MfG
Christoph

13

German - Deutsch / LDAP / OPNVPN

« on: December 19, 2023, 06:36:18 am »

Hi Forum,

gibt's ein gutes Tutorial für folgendes Szenario:

Auf einem Windows-Server gibt es eine Gruppe VPN mit einigen (nicht allen Usern des Windows AD). Diese Gruppe soll über die OPNsense OPNVPN machen dürfen.

Ich hatte das früher schonmal auf einer SOPHOS UTM konfiguriert und würde das gerne hier auch machen wollen.

Besten Dank im Voraus.

Gruß
Christoph

14

German - Deutsch / Konfigurations-Backup Nextcloud

« on: December 16, 2023, 03:24:40 pm »

Hi Forum,

man kann ja über ein installiertes Nextcloud-Plugin in die Backups der Konfiguration in einen Nextcloud-Ordner sichern.

Weiß jemand, ob die Sicherung nur erstellt wird, wenn man auf den Button drückt oder ob die alle paar Tage automatisch gemacht wird.

Falls manuell, kann man das automatisieren?

Gruß
Christoph

15

German - Deutsch / OPNcentral

« on: December 06, 2023, 06:28:21 am »

Guten Morgen Forum,

ich bekomme das OPNcentral nicht zum Laufen. Vielleicht habt Ihr ein paar Tipps für mich ;-).

Bestand:
- Eine eigene OPNsense Business-Edition (Lizenz aktiviert) bei mir im Büro
- Eine OPNsense Business-Edition (Lizenz aktiviert) beim Kunden

Meine macht direkte PPPoE-Einwahl am FTTH-Anschluß, beim Kunden ist ein Router am FTTH-Anschluß und die OPNsense hängt WAN-seitig in einem "Zwischennetz", also Doppel-NAT.

Beide WebGUI-Ports sind auf 4444 geändert, da LE-ACME mit http/https-Challenge aktiv.

Nun habe ich beim root-User der Kunden-OPNsense die API-Keys erzeugt und bei mir unter Management/Hosts die Daten der Kunden-OPNsense eingetragen.
Dabei habe ich als URL die feste externe IP des Anschlusses des Kunden gewählt und die API-Keys eingetragen.
Ich bekomme nun allerdings keine Verbindung. Bei der URL habe ich die feste-IP mal mit ...:4444 eingetragen und auch mal ohne versucht.

Im Router des Kunden sind alle Ports direkt an den WAN-Port der OPNsense weitergeleitet.

Ich hoffe, daß Ihr mir helfen könnt und danke schonmal im Voraus.

Gruß
Christoph