[GELÖST] OpenVPN / Zugriff auf die OPNsense per Web-Interface

Started by Emma2, May 15, 2023, 05:16:15 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 15, 2023, 05:16:15 PM Last Edit: May 16, 2023, 09:11:50 AM by Emma2
Nachdem ich das Benutzerzertifikat korrekt exportieren kann, kann ich auch "von außen" per VPN in mein internes Netz.
Allerdings ist die GUI der OPNsense nicht erreichbar (Timeout), während ich per ssh prima draufkomme.
Kann es sein, dass eine geeignete Firewall-Regel fehlt? Muss ich die Durchleitung vom VPN-Subnetz auf mein nornales Subnetz explizit erlauben? Auf mein internes DokuWiki und auf mein NAS kann ich aber sehr wohl zugreifen. Und per ping erreiche ich die OPNsense auch...

Blockt eventuell die OPNsense selbst den (Web-)Zugriff aus einem anderen Subnetz? Könnte sein, denn aus meiner DMZ komme ich auch nicht "drauf" (was ja auch gut so ist). Aus dem VPN-Subnetz würde ich das jedoch schon gern tun.

Aber wie mache ich das? Eine Regel "mit lauter Sternen" gibt es sowieso ... aber das scheint noch nicht auszureichen.
Muss der VPN-User Mitglied der Gruppe "admins" sein? Nö, oder? Ich muss mich dann doch sowieso auch im Web-Interface erst als "root" anmelden... ich bin etwas ratlos... was ich wo suchen könnte. Ich rufe um... Hilfe!

"Zur Not" würde mir für meine aktuelle spezielle Anwendung auch "reichen", wenn ich die GUI der OPNsense im Web zugreifbar machen könnte... aber aus dem VPN heraus wär's mir schon lieber...
May 15, 2023, 06:49:13 PM #1
Na, das ist ja ein ulkiger "Workaround": Ich kann mich per xfreerdp auf eine Maschine in meinem LAN verbinden, und von dort aus kann ich ganz prima auf die OPNsense zugreifen. Es scheint also wirklich so zu sein, dass sie den Web-/GUI-Zugriff aus einem anderen Subnetz abblockt. Wie kann ich das ändern? Danke für jeden Tipp!
May 15, 2023, 09:26:34 PM #2
Quote from: Emma2 on May 15, 2023, 06:49:13 PM
Na, das ist ja ein ulkiger "Workaround": Ich kann mich per xfreerdp auf eine Maschine in meinem LAN verbinden, und von dort aus kann ich ganz prima auf die OPNsense zugreifen. ...

Da ist überhaupt nix Ulkiges dran. Auch kein Hexenwerk. Unter System:Einstellungen:Allgemein kannst du einstellen, auf welchem Anschluß die WEB-GUI erreichbar sein soll. Standard ist LAN. Wenn du also per rdp auf ein System im Lan zugreifen kannst kann das logischerweise an die WEB-GUI der OpnSense ran.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
May 16, 2023, 08:48:12 AM #3 Last Edit: May 16, 2023, 08:54:47 AM by Emma2
Natürlich ist es logisch, dass mein "Workaround" funktioniert, von daher war "ulkig" vermutlich das falsche Wort.
Und Deine Erklärung leuchtet mir ein, etwas Ähnliches hatte ich ja schon vermutet (dachte nur eben, das wäre eine Firewall-Einstellung).

Allerdings finde ich in System-Einstellungen-Allgemein nicht die Möglichkeit, erlaubte Anschlüsse einzustellen... (ich habe Version 23.1.2.-amd64)

... und in System-Einstellungen-Verwaltung-Weboberfläche steht unter "Hörende Schnittstellen": "Alle (empfohlen)". Also doch etwas anderes?
May 16, 2023, 09:11:28 AM #4
Ok, ich hab's gefunden, und wie erwartet lag der Fehler bei mir:
Ich habe vor langer Zeit aus irgend einem Grund den Port der Web-GUI geändert und im LAN (aber eben nur dort) eine Portweiterleitung dafür eingerichtet.
Wenn ich also aus dem VPN meine Web-GUI mit http://<adresse>:<port> aufrufe, dann klappt es auch.
Danke für das indirekte Aufzeigen der richtigen Richtung!  8)
Print
Go Up Pages1
User actions