Opnsense-Cloud-Server -> VPN -> Fritzbox -> Lokaler Server?

Started by calim, March 12, 2020, 02:07:02 PM

Previous topic - Next topic
Hallo zusammen,

ich beschäftige mich neu mit Opnsense, da ich es für die im Betreff beschriebene Kombination für erfolgversprechend halte.

Aktueller Stand:


  • ich habe meine eigene Domain
  • ich habe einen Cloud-Server (Hetzner) mit fester IP auf dem ich Opnsense zum laufen gebracht (1 WAN, 1 LAN) und einen rDNS-Eintrag angelegt.
  • ich habe es mit der Konfiguration aus https://gist.github.com/smilzo/d66ddc6f64896bf6de0f8e6257f00e15 geschafft eine VPN-Verbindung zwischen meiner Fritzbox und Opnsense herzustellen.
  • Zugriff auf das Web GUI funktioniert über WAN.
  • ich habe anhand dieser Anleitung https://www.linuxbabe.com/mail-server/email-server-ubuntu-18-04-modoboa einen lokalen Mailserver zu Hause eingerichtet (dessen Mails z.B. von gmx abgelehnt werden u.a. weil keine feste IP vorhanden war und kein rDNS-Eintrag).
  • Portweiterleitung für imap, smtp und jew. mit ssl sind eingerichtet mit der lokalen IP des Mailservers.

Was mein Ziel ist:

Um die Probleme beim Mailversand zu umgehen, möchte ich den Cloud-Server als Gateway nutzen über den ich auf meinen lokalenMailserver zugreife, d.h. die entsprechenden Ports sollen am Cloud-Server über VPN an meinen lokalen Mailserver weitergeleitet werden und der Mailserver über VPN und den CLoud-Server Mails versenden.

Probleme:

  • die VPN-Verbindung besteht nicht durchgehend.
  • über die ping-Funktion des Web GUI können meine lokalen Geräte nicht erreicht werden.
  • aus dem Lokalen Netz kann die LAN-IP des Cloud-Servers nicht erreicht werden.

Vielleicht hat mir jemand einen Tipp wo ich weitermachen kann?
Im Voraus vielen Dank!

calim

Hallo,

ich habe ähnliches vor aber habe zwei opnsense Systeme.

Zu deinem ersten Problem das der VPN nicht dauerhaft besteht: Das wird denke ich wohl an der FritzBox liegen. Diese wird den Tunnel schließen sobald keine Daten mehr gesendet werden. FritzBox kann VPN nicht wirklich gut. Wenn deine FritzBox nur mit SHA1 eine Verbindung aufbaut würde ich dir eh davon abraten die FritzBox als VPN Server zu benutzen.

Zu deinem zweiten Problem. Über das Web GUI der Ping wird nur funktionieren, wenn du das LAN Netzwerk auswählst,
da dieses dann Quelle des Pings ist: ping -s `DEIN QUELLNETZWERK` -c `DEIN ZIELNETZWERK`
Bei Default ist die Quelle die WAN Adresse.
Wenn du die Ausgabe der opnsense beobachtest siehst du auch das dort kein -s benutzt wird.

Und genau da ist das Problem weswegen die Portweiterleitung so nicht funktionieren. Genau dazu suche ich auch die Lösung.

Villeicht weiß hier ja jemand was eingestellt werden muss damit die Firewall weiß, wenn die Zieladresse der Portweiterleitung das VPN Netzwerk ist dieses auch zum VPN Netzwerk geschickt wird und nicht übers WAN Interface?

Zu deinem dritten Problem: Das hört sich für mich nach falsch konfigurierten oder fehlenden Firewall Regeln der VPN Verbindung an. Prüfe das doch mal: https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html


Grüße und vielen Dank schonmal wenn jemand die Lösung für die Portweiterleitung über VPN kennt. :-)

Ich hatte Mal an etwas ähnlichen gearbeitet, aber es damals verworfen (die genauen Gründe weiß ich leider nicht mehr, aber zumindest für eine produktive Nutzung war mir das zuviel Bastelei).
Ich habe es dann damals über einen remote Port per SSH gelöst.

Was spricht den dagegen auf den Cloud Server einen Mailrelay für den innenliegenden Server zu betreiben?