RDP und 2 Internetanschlüsse

[Horst]

Hallo - lese schon lange mit - hat auch viel geholfen , aber leider finde ich diesmal keine Lösung daher mein post.

Ausgangsituation:

1 Stock:
WAN 1 - Router IP 192.168.1.1 - GFI Hardware FW mit Gateway 1.1 dahinter lokales LAN 192.168.0.xxx bis 100.

2 Stock:
WAN 2 - Router IP 192.168.1.101 - OPNsense FW mit Gateway 1.101 dahinter loakales LAN 192.168.0.102 bis 200.

Alles statisch - kein DHCP- beide Netze sind in unterschiedlichen Stockwerken mit jeweils 8 - 9 User, halt ganz einfach gehalten ohne VLAN etc.

Im 1 Stock gibt es einen Ipsec VPN server in der FW integriert alle Clients erhalten die IP 192.168.3.x  und haben Zugriff in Lan ( geht problemlos ) und ich verwende auch über VPN RDP Microsoft habe damit Zugriff auf alle PC im 1 Stock.

Bis jetzt waren die beide Netze nicht verbunden und ich habe zum testen mal 2 Switches mit einander verbunden , ( ja ja ) somit habe ich auf alle Clients einen Zugriff vom LAN aus, Wenn ich per 'Ipsec und VPN auf die Clients hinter der Opnsense verbinden will geht es nicht ( da die Opnsense die IP vom Ipsec 192.168.3.x anscheinend im Lan blockt.

Anbei Screenshot - 
Leider komme ich mit den LAnregeln noch nicht ganz klar - hab schon verschiedene Rules versucht - leider keine Chance, wie gesagt noobie.

Danke

[micneu]

Hallo - lese schon lange mit - hat auch viel geholfen , aber leider finde ich diesmal keine Lösung daher mein post.

Ausgangsituation:

1 Stock:
WAN 1 - Router IP 192.168.1.1 - GFI Hardware FW mit Gateway 1.1 dahinter lokales LAN 192.168.0.xxx bis 100.

2 Stock:
WAN 2 - Router IP 192.168.1.101 - OPNsense FW mit Gateway 1.101 dahinter loakales LAN 192.168.0.102 bis 200.

Sehe ich das richtig das beide Stockwerke das gleiche Netz verwenden (.1.0/24)

Warum?
Zu deinem Problem, ich verstehe es so das deine Sense das .3.0 netz nicht kennt

Kannst du bitte für mich noch einen grafischen netzwerkplan erstellen, das hilft mir dein Netz besser zu verstehen


Gesendet von iPhone mit Tapatalk Pro

[Horst]

Ja, bin halt einfach gestrickt , beide LANS verwenden das selbe LAN 192.168.0.X/24 , was ja problemlos klappt da alles statisch.
Da wir versuchen , langsam weg von GFI zu gehen und einfach auf opnsense umstellen wollen, mit meinem Versuch geht das so recht einfach mit Gateway ändern und passt.

Ja es ist mir klar das das ein ganz simples Problem mit den LAN Regeln ist , aber ich schaff es einfach nicht über IPSEC mit RDP ins ganze LAN zukommen. IM LAn vorort gehts eh problemlos.
( Opnsense Rules sind echt ungewohnt nach 15 Jahren Wingate ,Winroute,GFI
Danke

Achtung: Hab vergessen zu erwähnen das ich bei meinen eigenen PC im 1 Stock mit der IP 192.168.0.68 den Gatway geändert habe auf die opnsense um es einfacher zu testen !!

[Horst]

Hmm, ich raffs einfach nicht mit den rules
Eigentlich will ich da ich ja übers LAN 192.168.0.X komme und im meinem Fall durchs VPN eine 192.168.3.X IP habe , wäre es für mich logisch einfach eine Regel im Lan auf der Opnsense zu erstellen mit ( IN Source 192.168.3.1 und Ziel zB. 192.168.0.68 any any ).
Aber warum geht das nicht ? Komme immer zum selben Ergebnis - blocked by default

[Horst]

Hallo

Jemand einen TIP ? lese mich eh selber ein - komme aber überhaupt nicht weiter ..


DANKE DANKE

[Zoki]

Laut Screenshot wird 192.168.3.11 geblockt, die Regel "IN Source 192.168.3.1 und Ziel zB. 192.168.0.68 any any"
erlaubt aber nur für 192.168.3.1

Für die OPNsense sieht es einfach so auf, als auf WAN1 zwei Netze hängen .3.x und 192.168.0.xxx bis 100.

Ein Bild würde aber wirklich helfen-.

[Horst]

Hi Zoki

Danke für deine Hilfe , hatte die Regel mit 192.168.3.11 nach 192.68.0.68 drinnen , trotzdem...

Welches Bild meinst du ?

[Horst]

immer das selbe , egal was ich in den Lan rules freigebe , auch mit any any etc immer das selbe
Anbei screenshot

[Gauss23]

Das interessante ist, dass der Antwort-Traffic geblockt wird. Als würde aus irgendeinem Grund keine „State“ gespeichert werden.
Was hast du in der Regel unter Advanced/State type in der ersten Regel, die den RDP Traffic zulässt?

[Horst]

moment

Da habe ich gar nichts drinnen, habs mir gerade angesehen - keine Ahnung was ich da eintragen müsste

[Gauss23]

„State type“ sollte auf „keep state“ stehen.

[Horst]

hmm , war eingestellt - selbes Ergebnis - geht nicht ..

[Gauss23]

Ich tippe auf die Windows Firewall auf dem RDP Host, die den Traffic nicht zulässt. Ist diese deaktiviert?

[Horst]

Nein , komplett aus

[Gauss23]

Jetzt verstehe ich warum es nicht geht: das Paket nimmt folgenden Weg:
FW-IPsec-Server->RDP-Host
Das Antwortpaket geht aber:
RDP-Host -> OPNsense (die verwirft das Paket, da es kein korrespondierendes Anfragepaket gab)

Das Antwortpaket muss aber den selben Weg nehmen, den es hergekommen ist. Tut es in dem Falle aber nicht mehr.

Es liegt an Deiner - mit Verlaub - etwas unglücklichen Doppel-GW Lösung bzw dieses merkwürdig geteilte /24er Netz. Bau es um, dann läuft es.