Messages

121

German - Deutsch / Re: OPNsense und OVPN/Wireguard wollen nicht zusammen...

« on: October 30, 2024, 05:25:30 pm »

Hallo, liebe Freunde der Currywurst! 

Hallo, ich bevorzuge Bosna! 

Hast du auch Punkt 6 der Anleitung genau befolgt?

Wenn ja, darf man die Regel sehen?

122

General Discussion / Re: Problem with NAT and Rule

« on: October 30, 2024, 05:03:36 pm »

(before OPNsense, my router redirected the ports and there was no problem).

And it did masquerading on inbound traffic, as some consumer class routers do...

Sniff the traffic on the internal interlace to see if the packets are forwarded or not.
If there are no replies configure your server properly.

123

General Discussion / Re: Problem with NAT and Rule

« on: October 30, 2024, 04:21:58 pm »

Possibly the server blocks access by its own firewall?
This is the default behavior normally, if you didn't explicitly allow access from outside of its subnet.

124

24.7 Production Series / Re: Changing Hostname for dynamic ip address devices

« on: October 30, 2024, 03:44:50 pm »

Presuming you're using Unbound for DNS, did you enable "Register DHCP Static Mappings" in its geneural settings?
I don't know, however, it this even works with a blank IP reservation, but it does, if you state an IP in ISC DHCP.

125

Virtual private networks / Re: Issue is accessing the Azure network through the IPSec VPN using OpenVPN.

« on: October 30, 2024, 02:22:41 pm »

Did you add a route in Azure for the OpenVPN tunnel subnet?

126

German - Deutsch / Re: NordVpn Opensense einzelne Clients

« on: October 28, 2024, 11:48:08 pm »

Und bitte auch die Routing Tabelle.

127

German - Deutsch / Re: NordVpn Opensense einzelne Clients

« on: October 28, 2024, 06:06:50 pm »

Ich habe hier Etwas mit Aliases gelesen und für bestimmte IP´s auch welche mit "Host" angelegt.

Ja, ein Alias ist mal die Voraussetzung, um OPNsense wissen zu lassen, dass mit diesen IPs etwas Besonderes geschehen soll.

Auch habe ich versucht Regeln in Outbunt Nat zu erstellen nur leider bekomme ich es nicht hin.

Die Regel hast du ja schon entsprechend der Anleitung angelegt? Wenn die Clients über die VPN aktuell schon ins Internet kommen, funktioniert sie auch.

Was du nun benötigst nennt sich "Policy based routing": https://docs.opnsense.org/manual/firewall.html#policy-based-routing

Also eine Regel am LAN oder an welchem internen Interface die jeweiligen Clients hängen.
Dazu empfiehlt es sich, noch einen Alias "RFC1918" anzulegen, wenn du einen solchen noch nicht hast, und da alle privaten Subnetze hinzufügen.
Dann kannst du die Regel erstellen:
Source ist der Alias. "Destination / Invert" anhaken und als Destination den RFC1918 Alias setzen.
Und bei Gateway ist das Gateway zu setzen, das du entsprechend der Anleitung für die VPN eingerichtet hast.

Nun gibt es noch die Regel-Reihenfolge zu beachten. Die Regeln werden der Reihe nach von oben nach unten durchgegangen. Wenn die Bedingungen zutreffen, wird die Regel angewandt und weitere Regeln werden ignoriert.

Diese Policy Routing Regel muss also oberhalb der Standard-Regel, die den ausgehenden Traffic für alle IPs ohne spezielles Gateway erlaubt, positioniert werden. Sie sollte normalerweise ganz oben stehen können.
Beachte, dass die Regel sämtlichen Traffic, auf den die Bedingungen zutreffen, auf das gesetzte Gateway routet.
Aus diesem Grund die Geschichte mit dem RFC1918 Alias. Damit trifft die Regel nicht auf internen Ziele zu, bspw. DNS auf der OPNsense selbst.

Wenn das erledigt ist, sollte sich am Verhalten noch nichts geändert haben.
Nun musst du noch den OpenVPN Client editieren und einen Haken bei "Don't pull routes" rein setzen. Das unterbindet, dass die VPN als Standardgateway genutzt wird und jeglicher Traffic über die VPN läuft.

Grüße

128

24.7 Production Series / Re: can I use same IP class on two intefaces ?

« on: October 28, 2024, 01:10:06 pm »

Thanks, from your answer I assume I can use the same IP class on the two interfaces.

A bridge is considered as a single interface, just using multiple (virtual) network ports. And yes, you can bridge a LAN und a VLAN.

In Interfaces: Other Types: VLAN add a VLAN to the desired NIC.
In Interfaces: Assignments assign a new interface to it and enable it.
Interfaces: Other Types: Bridge: create a bridge with LAN and the VLAN as member.
Go back to Interfaces: Assignments, assign a new interface to the bridge and enable it.

Even it will work if you assign an IP to the LAN interface and another one to the VLAN or the bridge, its highly recommended for reliability to assign IPs to the bridge and remove IPs from member interfaces.

129

24.7 Production Series / Re: can I use same IP class on two intefaces ?

« on: October 28, 2024, 12:02:13 pm »

QUESTION, can I use OPNsense the same way ?
I mean, can I have a LAN port and a VLAN set with the same IP class ?

OPNsense supports VLAN. So why don't you want to separate the subnets properly?

You can have the same network segment on both interfaces though, presumed you bridge them in OPNsense. Doing this you can only run a single DHCP for both (on the bridge), however. And IPs should be assigned to the bridge.

130

German - Deutsch / Re: Kann man die Hostnamen im Netz anpassen?

« on: October 27, 2024, 07:36:20 pm »

Du kannst den Geräten statische IP Zuweisungen verpassen und da auch gleich einen Hostnamen mit angeben.
Damit kann der lokale Unbound DNS die Hostnamen auflösen. Ob sich das auch auf die Logfiles auswirkt, die du angesprochen hast, weiß ich nicht. Weiß auch nicht, welche du meinst.

Statische Zuweisungen kannst du in den jeweiligen DHCP Servern mit der MAC Adresse der Geräte anlegen.
In Unbound DNS musst du dann noch die Registrierung statischer Mappings aktivieren.

Grüße

131

Virtual private networks / Re: How to create a openvpn client connection , when you only have a ovpn file

« on: October 27, 2024, 07:01:47 pm »

You will have to configure the client in the GUI manually.

First copy the CA cert from the config file and paste it in System: Trust: Authorities: Add, Method: Import an existing CA >  Certificate data

Do the same with the client cert, but on the Certificate page. Here you have also to insert the clients private key.

Then go through the client configuration steps.

132

German - Deutsch / Re: Hilfe mit Gäste WLAN

« on: October 27, 2024, 02:42:34 pm »

Du hast also am LAN Interface nun nach wie vor das LAN und zusätzlich ein VLAN darauf eingerichtet?
Dann musst du dasselbe auch am Switch machen. Dieser "Ruckus Switch" ist eigentlich ein WLAN AP oder auch Switch?

Ich nehme mal an, ein AP und dazwischen hängt eventuell ein Switch. Ja, den musst du den jeweiligen Port zum VLAN 100 als tagged hinzufügen, falls der mehrere Netzwerkports hat. Und im entsprechenden Guest WLAN muss auch das VLAN tagging aktiviert werden.

Wenn dazwischen noch ein Switch hängt, müsst da VLAN entweder deaktiviert oder entsprechend konfiguriert werden. Aber das erfordert ein paar mehr Angaben.

133

24.7 Production Series / Re: Firewall logs - "let out anything from firewall host itself"

« on: October 27, 2024, 10:06:19 am »

Did you even enable logging of your user rules?

134

General Discussion / Re: Cannot Connect To Network Switch From LAN

« on: October 26, 2024, 08:17:13 pm »

So connect the switch to igb1 or which subnet you want and set it a proper IP and gateway.

135

General Discussion / Re: Cannot Connect To Network Switch From LAN

« on: October 26, 2024, 06:09:09 pm »

So this is somewhat unclear:

Interface LAN        (igb0); 10.34.1.0/24
Interface SWITCH  (igb1); 10.34.2.0/24 -> NETGEAR MANAGED SWITCH static 10.34.1.50

You have a LAN and a SWITCH subnet. However, the switch has an IP in the LAN subnet?