Migration Sophos UTM 9 > Opensene mit festen IP via OpenVPNtunnel

[fw115]

Hallo ,

OPNsense Version : 25.1.10

Ich hatte das Thema hier schon einmal, da aber die Gesundheit bei mir wieder für einen Delay gesorgt hat, fange ich wieder bei Null an.

Also...

ich bekomme feste IPs über VPN für meine Webserver usw.
Die feste IP 32.xx ist von meinem Glasfaseranbieter

Netzwerke:

LAN 192.168.1.0/24
WAN feste IP 32.xx.xx.xx/24 ( von dem /24  Netz ist für mich nur 1 IP  nutzbar, leider)
DMZ 192.168.100.0/24
VPN  195.8.xx.xx./29

Mein Ziel ist es über den VPN Tunnel die Server die eine 192.168.100.x lokale Adresse haben via NAT über das VPN von außen zugänglich zu machen.

Zusatzfrage: Macht das Sinn oder sollten besser direkt die 195.x als DMZ Interface verwendet werden ?

Stand jetzt:

Ich kann im lokalen Netz pingen jeweils von 192.168.1.x nach 192.168.100.x und zurück

Alle Interfaces sind UP auch der VPN Tunnel steht.

Ins Internet komme ich nicht und ich kann auch sonst nicht viel tun außer im local net.

Sagt mir:

1. Rules, die Firewall erlaubt es nicht
2. Routing, LAN/DMZ/ VPN nicht richtig
3. Gateway,ich habe die Gateways nicht richtig konfiguriert

Da die OPNsense aber so unterschiedlich zur Astaro/Sophos  UTM9 ist, verlaufe ich mich in den Menüs und verliere schnell den Überblick.
Eine bessere Struckturierung der Oberfläche wäre hier echt dringen angesagt.

Ich bin nicht die hellste Kerze auf der Torte wenn es um das Thema Routing geht, deswegen bitte ich um Nachsicht.

Ich hoffe das ich mit eurer Hilfe das hin bekomme.

Danke im voraus.

[fw115]

Folgendes gemacht und die Frage ob ihr auf das gleiche Ergebnis kommt:

mein Tunnel ist aktiv, mein Netz 195.8.xx.xx/29 liegt mit VIP auf dem Tunnel-Interface.

    WAN Default Routing funktioniert.

    OpenVPN Tunnel ist up mit route-nopull.

    Outbound NAT und Inbound Port-Forward sind korrekt eingerichtet.

    DMZ-Host kann nicht outbound pingen → Packet Capture zeigt keinen Tunnel-Traffic.
    Rules erstmal any any wegen Test

    Extern (mxtoolbox) kann niemand 195.x.xx.x7 pingen → Traffic kommt nicht am Tunnel an.

Traceroute von extern kommt beim provier an, danach die Hops nur noch :

**

Mein Schluss:
Provider Routing Problem.

Eure Meinung oder mehr Infos ?

Config:
Name                                  Typ                                                                              Details
WAN                        VLAN-Interface (vlan01)                                        VLAN Tag: 132 > Parent: em0
WAN IP                DHCP   z. B. 3x.xxx.xxx.x/24                               Gateway 3x.xxx.xx.xx
LAN                        physisch (igb0)                                                       Netz: 192.168.1.0/24
DMZ                        physisch (igb1)                                                       Netz: 192.168.100.0/24
VPNCLIENT        OpenVPN-Client (ovpnc1)                                        VIP 195.x.xxx.x7 liegt auf Interface
Tunnel Peer   213.xxx.xx.xx(/32)   Gegenstelle vom Provider

OpenVPN-Interface (ovpnc1) hat statische VIP 195.x.x.x7/32 (aus 195.x.x.x/29)


Routing:
default      3x.xx.xx.xx   vlan01 (WAN)
195.xx.xx.xx/29   lokal   ovpnc1
DMZ   lokal   igb1
LAN   lokal   igb0
route-nopull im OpenVPN blockiert Push-Default , sollte also nur geroutetes Subnetz über den Tunnel.

Outbound NAT:
Feld                Wert
Mode            Manual oder Hybrid
Interface    VPNCLIENT (ovpnc1)
Source            192.168.100.0/24
Destination     any
Translation      Interface address (195.xx.xx.x7)
Ziel   DMZ-Hosts  Tunnel-Exit

Port-Forward (Inbound NAT)
Feld            Wert
Interface   VPNCLIENT
Destination   195.xx.xx.x7
NAT           1:1 oder Port-Forward auf 192.168.100.x
Services   ICMP (Ping) für Test

Regel:  DMZ-Traffic > Tunnel
Feld                    Wert
Action                    Pass
Interface             DMZ
Source                    DMZ net (192.168.100.0/24)
Destination            any
Protocol            any
Gateway   VPNCLIENT_GW
Description   DMZ  Tunnel Only

VPNCLIENT > Rules
Feld                             Wert
Action                             Pass
Source                             any
Destination                     195.xx.xx.x7
Protocol                     ICMP
Description                    Allow inbound ICMP

[viragomann]

Beim oberen Post bin ich ausgestiegen, weil vollkommen unklar war, was dein Vorhaben ist.
Nach dem zweiten Post vermute ich verstanden zu haben, dass du einen eine OpenVPN zu einem Provider hast, der dir eingehenden Traffic weiterleitet.

DMZ-Host kann nicht outbound pingen → Packet Capture zeigt keinen Tunnel-Traffic.
    Rules erstmal any any wegen Test

Mit der Policy Routing Regel am  DMZ sollte der eigentlich über die VPN raus gehen.
Hast du das mit einer IP probiert?

Der Fallstrick ist hier, dass der Host vielleicht einen internen DNS Server konfiguriert hat, die Policy-Routing Regel die Requests aber auf das Gateway schickt.
Wenn internes DNS verwendet werden soll, braucht es dafür eine zusätzliche Regel oberhalb dieser. Dasselbe gilt für etwaige andere interne Verbindungen.

Aber möchtest du überhaupt jeglichen Upstream Traffic von der DMZ über die VPN routen? Für den Zugriff von außen ist das nicht nötig. Eventuell ist auch deine VPN dafür gar nicht geeignet, und deshalb geht es beim Provider nicht weiter?
Das Outbound NAT wirkt sich nur auf ausgehende Verbindungen aus.

Port-Forward (Inbound NAT)
Feld            Wert
Interface   VPNCLIENT
Destination   195.xx.xx.x7
NAT           1:1 oder Port-Forward auf 192.168.100.x
Services   ICMP (Ping) für Test

Wird ICMP auch an dich weitergeleitet?

Für den Zweck, den ich oben angenommen habe, musst du auf jeden Fall sichergehen, dass keine Pass-Regel am OpenVPN Tab auf den weitergeleiteten Traffic vom VPN Provider zutrifft. Wenn du keine anderen OpenVPN Instanzen laufen hast, entferne am besten alle Regeln. Fall doch, musst du sie so anlegen, dass sie nicht zutreffen oder besser auch den anderen Instanzen, die eingehende Verbindungen erlauben sollen, ebenso ein Interface zuweisen.

[fw115]

Der Fallstrick ist hier, dass der Host vielleicht einen internen DNS Server konfiguriert hat, die Policy-Routing Regel die Requests aber auf das Gateway schickt.
Wenn internes DNS verwendet werden soll, braucht es dafür eine zusätzliche Regel oberhalb dieser. Dasselbe gilt für etwaige andere interne Verbindungen.

Hmmm... Das könnte ein Problem sein. Natürlich soll der DMZ Host für 192.100.x.x den internen DNS nutzen. Für alles andere extern.
In wie weit das jetzt im einzelnen zum Problem werden kann, ist mir noch gar nicht klar bzw. war mir gar nicht bewusst.
Wenn ich mit dem Host in der DMZ

ping 8.8.8.8

bekomme ich als antwort:

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.137 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.108 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=0.107 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=4 ttl=64 time=0.136 ms (DIFFERENT ADDRESS!)
64 bytes from 192.168.100.1: icmp_seq=5 ttl=64 time=0.131 ms (DIFFERENT ADDRESS!)

Das VPN hat keine Port Filter oder ähnliches. Das liegt alles auf meiner Seite.

Aber möchtest du überhaupt jeglichen Upstream Traffic von der DMZ über die VPN routen? Für den Zugriff von außen ist das nicht nötig. Eventuell ist auch deine VPN dafür gar nicht geeignet, und deshalb geht es beim Provider nicht weiter?

Das VPN soll für Web und Mailserver sein und diesen die festen IPs über das VPN zur Verfügung stellen.
Mein ganzer Hobby Kram läuft darüber ( Web und Mail und noch von div. Freunden und Verwanten)

Vielleicht ist mein Ansatz mit der OPnsense hier auch vollkommen falsch gedacht.

Naja, jetzt bin ich erstmal bis Montag unterwegs und schau dann nochmal wie es weiter geht.
Danke für die Antwort.