vpn Fragen

oekomat · March 13, 2020, 08:44:30 PM

Quote from: stumpjumper on March 13, 2020, 08:11:56 PM
Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.

Vpncilla ist ein ipsec, mit dem ich den myfritz Dienst nutze und bisher per vpn ins Netz gekommen bin.
Mit wireguard hab ich mich bisher noch gar nicht beschäftigt. Wenn ich das auf der Opensense genauso einrichten kann, werde ich mir das anschauen. Wie schwer siehst du Einrichtung für openvpn?

micneu · March 13, 2020, 08:57:06 PM

die frage kann man schlecht so beantworten, ich drücke es mal so aus. wenn du fit in der opnsense und netzwerktechnik bist, sollte es in 10 minuten erledigt sein.
wenn ich mich entscheiden muss wähle ich zurzeit noch OpenVPN als VPN. wireguard habe ich mich noch nicht so intensiv beschäftig auf der OPNsense. finde bisher kein gutes howto (ich mag howtos die auch schön bebildert sind wo was einzutragen ist). @oekomat melde dich mal mit einer persönlichen nachricht bei mir.

lfirewall1243 · March 15, 2020, 08:28:38 PM

Quote from: oekomat on March 13, 2020, 08:44:30 PM
Quote from: stumpjumper on March 13, 2020, 08:11:56 PM
Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.
Vpncilla ist ein ipsec, mit dem ich den myfritz Dienst nutze und bisher per vpn ins Netz gekommen bin.
Mit wireguard hab ich mich bisher noch gar nicht beschäftigt. Wenn ich das auf der Opensense genauso einrichten kann, werde ich mir das anschauen. Wie schwer siehst du Einrichtung für openvpn?

Ich kann dir nur OpenVPN ans herz legen.
Ist schnell eingerichtet, sicher und läuft stabil.

banym · March 15, 2020, 08:32:35 PM

Hi,

würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.

Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.

Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.

VG,

oekomat · March 17, 2020, 05:57:16 PM

Quote from: banym on March 15, 2020, 08:32:35 PM
Hi,

würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.

Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.

Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.

VG,

Das klingt gut. Mein Netz sieht wie folgt aus:

Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24

Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6

Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de

micneu · March 17, 2020, 08:18:20 PM

meine empfehlung, weg mit der fritzbox als router und mit einem modem austauschen. so hast du die externe ip direkt an der sense und kein doppeltes nat.

ich kann dir für openvpn auf der opnsense ein gutes hoftor von thomas kren empfehlen. (einfach googlen)

System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

oekomat · March 17, 2020, 10:26:09 PM

Hardware für die opnsense habe ich bereits. Intel core I3 6100 mit 8gb und 6xLan. Mit geht's um die Konfig

lfirewall1243 · March 18, 2020, 03:35:30 PM

Quote from: oekomat on March 17, 2020, 05:57:16 PM
Quote from: banym on March 15, 2020, 08:32:35 PM
Hi,

würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.

Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.

Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.

VG,

Das klingt gut. Mein Netz sieht wie folgt aus:

Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24

Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6

Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de

Und was klappt da jetzt aktuell nicht?

stumpjumper · March 19, 2020, 10:35:19 AM

Quote from: micneu on March 13, 2020, 08:57:06 PM
die frage kann man schlecht so beantworten, ich drücke es mal so aus. wenn du fit in der opnsense und netzwerktechnik bist, sollte es in 10 minuten erledigt sein.
wenn ich mich entscheiden muss wähle ich zurzeit noch OpenVPN als VPN. wireguard habe ich mich noch nicht so intensiv beschäftig auf der OPNsense. finde bisher kein gutes howto (ich mag howtos die auch schön bebildert sind wo was einzutragen ist). @oekomat melde dich mal mit einer persönlichen nachricht bei mir.

Da gibt es ein sehr gutes Tutorial bei Thomas Krenn. Google ist Euer Freund..

oekomat · March 30, 2020, 04:51:02 PM

Quote from: stumpjumper on March 19, 2020, 10:35:19 AM

Da gibt es ein sehr gutes Tutorial bei Thomas Krenn. Google ist Euer Freund..

Endlich mal wieder Zeit hier weiterzumachen vor lauter Homeoffice...
Du meinst sicher das https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten

Grüße oekomat

oekomat · April 01, 2020, 03:22:48 PM

Quote from: lfirewall1243 on March 18, 2020, 03:35:30 PM
Quote from: oekomat on March 17, 2020, 05:57:16 PM
Quote from: banym on March 15, 2020, 08:32:35 PM
Hi,

würde auch OpenVPN direkt auf die OPNsense machen und das mit der Fritzbox sein lassen.

Ich bin mir über deinen Aufbau auch nicht ganz im klaren, ich vermute du hast da mit den VPN Netzen und dem Netz hinter der OPNsense evtl. einen Denkfehler.
Vllt. zeichnest du nochmal einen Netzplan und postest ihn hier, dann wird evtl. der Fehler klarer.

Aber besser ich finde auch schöner ist direkt das VPN mit der OPNsense.

VG,

Das klingt gut. Mein Netz sieht wie folgt aus:

Internet ------ Fritzbox IP: 192.168.10.1/24 ----------------------- Opnsense ----------------- LAN 192.168.1.1/24
vergibt fest 192.168.10.101 an Opnsense WAN 192.168.10.101/24

Fritzbox Portfreigaben auf 192.168.10.101 Port 1194, auch als Exposed Host für IPV4 und IPV6

Um per VPN auf die Fritzbox zu kommen bzw die IP aufzulösen, hab ich einen Dienst bei myfritz und ddnss.de

Und was klappt da jetzt aktuell nicht?

Also, ich habe nach der Anleitung https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_für_Road_Warrior_einrichten#Weitere_Informationen die Konfiguration 1:1 vorgenommen.

Unter System-Trust-Authorities steht:
Name: OpenVPN CA
Internal Yes
Issuer self-signed
certificates 1
Distinguished Name email, Adessse...CN=internal-sslvpn-ca, C=DE,

unter System-Trust-Certificates steht:
Name mobil CA no, Server no
Issuer OpenVPN CA
Distinguished Name email Adresse...CN=mobil

unter VPN-OpenVPN-Servers steht.
Protocol UDP/1194
TunnelNetwork 10.10.0.0/24

Der Fritzbox habe ich auf der OPNsense (192.168.10.101) den Exposed Host gegeben
Protokoll UDP, Port 1194

Wenn ich die Zerfikate bei Android importiere:
Typ Nutzer/PW + Zerfifikate

Dann importiert er den Server 192.168.1.0 - (quasi mein LAN)
Dort habe ich die Änderung auf die externe IP Adresse meiner Fritzbox vorgenommen.

Im Log der Sense kommt:
2020-04-01T13:19:56   openvpn[12231]: extIP des Adnroiden:11378 TLS Error: TLS handshake failed
2020-04-01T13:19:56   openvpn[12231]: extIP des Adnroiden:11378 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2020-04-01T13:19:47   openvpn[12231]: extIP des Adnroiden:11760 TLS: Initial packet from [AF_INET]80.187.87.5:11760, sid=59317790 dc326789
2020-04-01T13:19:44   openvpn[12231]: MANAGEMENT: Client disconnected

Die OPNsense hängt aber an der Fritzbox und kommt auch ins Internet. Hast du eine Idee?

lfirewall1243 · April 01, 2020, 07:41:24 PM

Also du erstellt zuerst eine CA und mit der CA ein Server Zertifikat. Das hinterlegst du beides bei deinem VPN Server.

Dann unter Clientexport den VPN Server auswählen und deine externe IP Adresse eintragen.

Dann sollte es alles klappen :)

stumpjumper · April 01, 2020, 08:23:01 PM

Hallo oekomat,
sorry wenn ich da für Verwirrung gesorgt habe, mein Hinweis bezog sich auf Wireguard., weil ich das ja angesprochen hatte
Hier der Link dazu.
https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_VPN_f%C3%BCr_Road_Warrior_einrichten

Aber egal ob OpenVPN oder Wireguard, in jedem Fall musst Du eine entsprechende Portweiterleitung auf der Fritzbox machen.
Zu finden auf der FB direkt in der Übersicht rechts unten "Portfreigabe".
Dort "Neue Freigabe", da wählst Du dann "Andere Anwendung" und "Portfreigabe".

vpn Fragen

oekomat

March 13, 2020, 08:44:30 PM #15

micneu

March 13, 2020, 08:57:06 PM #16

lfirewall1243

March 15, 2020, 08:28:38 PM #17

banym

March 15, 2020, 08:32:35 PM #18

oekomat

March 17, 2020, 05:57:16 PM #19

micneu

March 17, 2020, 08:18:20 PM #20

oekomat

March 17, 2020, 10:26:09 PM #21

lfirewall1243

March 18, 2020, 03:35:30 PM #22

stumpjumper

March 19, 2020, 10:35:19 AM #23

oekomat

March 30, 2020, 04:51:02 PM #24

oekomat

April 01, 2020, 03:22:48 PM #25

lfirewall1243

April 01, 2020, 07:41:24 PM #26

stumpjumper

April 01, 2020, 08:23:01 PM #27