OpenVPN Client Config > sehe den Wald vor lauter Bäumen nicht.

[fw115]

Danke für den Stupser!

ping 213.xx.xx.xx
PING 213.xx.xx.xx (213.240.152.150) 56(84) bytes of data.
64 bytes from 213.xx.xx.xx: icmp_seq=1 ttl=60 time=98.4 ms
64 bytes from 213.xx.xx.xx: icmp_seq=2 ttl=60 time=54.8 ms
64 bytes from 213.xx.xx.xx: icmp_seq=3 ttl=60 time=127 ms

Ich weine ein kleines bischen :)

Wie weise ich denn jetzt die Netze korrekt zu ?

OpenVPN ist eine Interface-Gruppe, die alle Interfaces enthält, die du anlegst.

Warum willst du unbedingt eingehend NATen? Weise das /29 der DMZ zu wie von mir beschrieben. Wenn der Provider das in Richtung deiner OPNsense routet, ist das doch optimal so.

[viragomann]

So wie zuvor auch.

Wenn du das von der Instanz noch hast, brauchst du nur auf Interfaces: Assignments gehen und da den Legecy Client als Device auswählen und speichern.

[fw115]

So wie zuvor auch.

Wenn du das von der Instanz noch hast, brauchst du nur auf Interfaces: Assignments gehen und da den Legecy Client als Device auswählen und speichern.

Wollte Patrick mir noch richtig erklären. Hat er noch nicht, da Ping nicht ging und er sagte macht vorher keinen Sinn.

[viragomann]

Unten findest du "Assign a new interface". Da bei Device die OpenVPN client instance auswählen, bspw. "ovpnc2", einen Test in das Description Feld schreiben und auf Add klicken.

Eventuell muss du noch das neue Interface öffnen und es aktivieren. Möglw. geschieht das automatisch, weiß ich jetzt nicht.

[fw115]

So wie zuvor auch.

Wenn du das von der Instanz noch hast, brauchst du nur auf Interfaces: Assignments gehen und da den Legecy Client als Device auswählen und speichern.

Ich habe in der Instanz noch nichts eingerichtet gehabt.

[Patrick M. Hausen]

Du konfigurierst das Interface deiner DMZ statisch mit einer Adresse aus dem /29. Das ist dann der Gateway für deine Server im selben /29.

Ping sollte dann sofort gehen mit der Floating Regel.

NAT musst du auf manuell stellen und für das LAN-Netz eine Outbound Regel auf dem WAN anlegen.

Die DMZ kriegt kein NAT.

Dann eingehende Firewall-Regeln, 80, 443, ... nach Bedarf.

[fw115]

Du konfigurierst das Interface deiner DMZ statisch mit einer Adresse aus dem /29. Das ist dann der Gateway für deine Server im selben /29.

Ping sollte dann sofort gehen mit der Floating Regel.

NAT musst du auf manuell stellen und für das LAN-Netz eine Outbound Regel auf dem WAN anlegen.

Die DMZ kriegt kein NAT.

Dann eingehende Firewall-Regeln, 80, 443, ... nach Bedarf.

Das versuche ich morgen mal.
Geht Hybrid auch oder muss das manuell sein ?
Kann ich auch weitere /29 so in die DMZ bringen?

[Patrick M. Hausen]

Muss manuell sein, sonst macht sie für die DMZ automatisch NAT und das will man ja nicht.

[viragomann]

Outbound NAT im Hybrid Mode und eine Regel für die DMZ mit "no NAT" sollte es auch tun.
So braucht es nicht noch Regeln für andere Subnetze.

Und die Regel wohl am VPN Interface, und den ausgehenden Traffic mit einer Policy-Routing Regel da raus schicken wenn der VPN Server nicht das Standardgateway ist.
Das WAN GW möchte eventuell diese IPs nicht sehen.

[fw115]

Outbound NAT im Hybrid Mode und eine Regel für die DMZ mit "no NAT" sollte es auch tun.
So braucht es nicht noch Regeln für andere Subnetze.

Und die Regel wohl am VPN Interface, und den ausgehenden Traffic mit einer Policy-Routing Regel da raus schicken wenn der VPN Server nicht das Standardgateway ist.
Das WAN GW möchte eventuell diese IPs nicht sehen.

Wärst du so nett und gibts mit ein reales Beispiel? Ich habe über 10 Jahre mit einer anderen Firewall gearbeitet und habe es doch etwas schwer mit dem Umstieg auf Opnsense. Die Verteilung in den ganzen Untermenüs ist für mich echt ein Problem.

Sagen wir eine Regel für eingehend und ausgehend:


195.1.2.3/29 eingehend über WAN / Vlan 132 in die DMZ auf 192.168.100.10
und ausgehend von der DMZ über das VPN .

WAN mit VLAN 132 ist das default GW.

Ich wäre echt dankbar dafür!

[viragomann]

195.1.2.3/29 eingehend über WAN / Vlan 132

Ist das nun dein WAN Subnetz?

Zuvor hattest du diese Angaben gemacht:

WAN > Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
DMZ > 192.168.100.0/24
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 geroutet werden soll

So wie ich es verstanden hatte, war das Ziel, das 195.8.xx.xx/29 den Webservern in der DMZ zuzuweisen.
Am WAN wären keine eingehender Traffic, nur über VPN.
Aus dem LAN ausgehender Traffic sollte normal über WAN raus gehen.
Ist das so noch richtig?

Hast du dem DMZ Interface und den Servern die IPs aus 195.8.xx.xx/29 zugewiesen?
Und wenn ja, kommen die Pings schon an und werden beantwortet?

[fw115]

195.1.2.3/29 eingehend über WAN / Vlan 132

Ist das nun dein WAN Subnetz?

Zuvor hattest du diese Angaben gemacht:

WAN > Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
DMZ > 192.168.100.0/24
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 geroutet werden soll

So wie ich es verstanden hatte, war das Ziel, das 195.8.xx.xx/29 den Webservern in der DMZ zuzuweisen.
Am WAN wären keine eingehender Traffic, nur über VPN.
Aus dem LAN ausgehender Traffic sollte normal über WAN raus gehen.
Ist das so noch richtig?

Hast du dem DMZ Interface und den Servern die IPs aus 195.8.xx.xx/29 zugewiesen?
Und wenn ja, kommen die Pings schon an und werden beantwortet?

Fast.
Sorry fals ich das unklar ausgedrückt habe.

war das Ziel, das 195.8.xx.xx/29 den Webservern in der DMZ zuzuweisen

Genau.
Plus 2 historische Netze /29 die noch dazukommen, soweit das mit dem 195.x/29 funktioniert und erstmal grundlegend konfiguriert ist.

Aber:

Alles von LAN, eingehend wie ausgehend, soll über WAN/VLAN 132
LAN soll ebenfalls die DMZ erreichen können, eingehen wie ausgehend

Alles was in der DMZ ist (öffentliche IPs) , soll nur über VPN rein und raus.

WAN hätte meiner Ansicht nach dann Traffic weil das VPN ja letztendlich über das WAN rein und raus geht.

Wie gesagt :
Über WAN mit dem draufgelegten VLAN 132, muss aller Traffic  rein und raus, das das der Hauptanschluss mit Default GW ist über den auch das VPN laufen muss.

Hier nochmal als schnelle Übersicht:

LAN > 192.168.1.0/24
WAN > Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
DMZ > 192.168.100.0/24
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 geroutet werden soll

Wenn ich das nun richtig sehe, fällt das DMZ > 192.168.100.0/24 weg und an dessen stelle tritt dann das 195.x.x./29
Da ich vorher immer genattet habe , bin ich vollkommen unsicher wie hier die config zu sein hat.
Kämen die anderen Netze dann als Virtuelle IP auf dieses Interface ?

[viragomann]

Wenn ich das nun richtig sehe, fällt das DMZ > 192.168.100.0/24 weg und an dessen stelle tritt dann das 195.x.x./29

Ja.

Da ich vorher immer genattet habe , bin ich vollkommen unsicher wie hier die config zu sein hat.

Routen tut OPNsense automatisch.
Also wenn auf irgendeinem Interface ein Paket für 195.8.xx.xx/29 ankommt, wird es auf das jeweilige Zielgerät weitergeleitet. Voraussetzung ist nur, dass die IP in der DMZ existiert und dass es eine Firewall Regel erlaubt.

Kämen die anderen Netze dann als Virtuelle IP auf dieses Interface ?

Würde ich natten. Aber ich hätte auch das 195.8.xx.xx/29 genattet. Was daran schlecht ist, hat mir noch keiner erklärt.

Verstehe ich das richtig, dieses andere /29 soll auf dieselben DMZ Geräte geleitet werden?

Du hast noch nicht verraten, ob das 195.8.xx.xx/29 schon funktioniert.

Begrenzen wir erst das Setep auf die DMZ mit 195.8.xx.xx/29.
OPT1 heißt den VPN Interface, soweit ich mich erinnere.

Outbound NAT Regel:
Firewall: NAT: Outbound
"Hybrid outbound NAT rule generation" aktivieren und das mal sichern.

Mit "+" darunter eine Regel hinzufügen:
"Do not NAT" anhaken
Interface: OPT1
Source address: DMZ net
Restlichen Werte auf default belassen. Wichtig dabei
Destination: any

Das bedeuten alles, was am OPT1 (VPN) raus geht und vom DMZ Subnetz kommt, soll nicht genattet werden (Quell IP). Die IPs werden also beibehalten.

Ausgehender Traffic von der DMZ:
Hier wieder eine Annahme von mir: Das VPN Gateway ist nicht das Standardgateway, sondern das WAN GW.
Annahme auch, aller ausgehender Traffic von der DMZ wird erlaubt.

Damit die Pakete nicht zum WAN GW gehen, musst du sie per Policy-routing aus VPN GW schicken. Das macht eine normale Firewall-Regel, in der man das Gateway angibt.

Um Public und private IPv4 zu differenzieren, empfiehlt es sich, für die privaten Ranges einen Alias anzulegen. Ich nenne diesen treffend RFC1918.
Firewall: Aliases
Mit "+" einen neuen Alias erstellen:
Name: RFC1918
Type: Networks
Content: 10.0.0.0/8 172.16.12.0/12 192.168.0.0/24
Save

Also eine Regel anlegen:
Firewall: Rules: DMZ
Mit "+" eine Regel anlegen:
Action: Pass
Protocol: any
Source: DMZ net
"Destination / Invert" anhaken
Destination: RFC1918
Gateway: OPT1 GW

Der Haken bei "Destination / Invert" kehrt den Wert um, so dass diese Regel für alles andere als dem RFC1918 Alias gilt.
Diese Regel sollte ganz oben positioniert sein.

Wenn du aus der DMZ auch Zugriff auf lokale Resourcen brauchst, bspw. dem DNS Resolver auf der OPNsense, musst du dafür weitere Regeln anlegen.

[fw115]

Hallo,

ich kann Erfolge melden.

Das Firewall DMZ Interface hat die erste IP vom /29 Netz zugewiesen bekommen und kann nun
von außen angepingt werden.

Die config ist zwar vollkommen anders als ich das von der anderen Firewall her gewohnt bin, aber ich arbeite daran.

Vielen vielen Dank für die Hilfe dafür an  Patrick und Viragoman, dass dieser Abschnitt nun funktioniert.

Nun geht es mit der config weiter und eine Menge neuer Fragen sind bereits aufgekommen.