Verbindung über OPNSense von Arbeits-Notebook aus nicht möglich

[maze-m]

Hallo zusammen!

Ich teste zur Zeit eine OPNSense-Firewall und bin bis jetzt sehr zufrieden. Die Sense hängt hinter einer Firtbox 6690 und ist in der komplett als Exposed Host eingerichtet.

Wenn ich nun versuche, mich mit meinem Firmen-Notebook via VPN ins Firmennetz zu verbinden (über Checkpoint Mobile) bekomm ich auf dem Notebook die angehangene Fehlermeldung.

Ich habe den Internetzugriff für das Firmen-Notebkook auch "komplett durchlass" in der Sense geschaltet, aber die VPN-Verbindung funktioniert leider trotzdem nicht.

Ich hoffe, ihr könnt mir helfen, sodass ich die OPNSense auch weiterhin nutzen kann :)....

[meyergru]

Es gibt auch andere Hinweise darauf, dass eine Verbindung "hinter" pfSense und OpnSense damit nicht klappt, weil die Pakete offenbar nicht durchkommen:

https://forum.opnsense.org/index.php?topic=25217.0
https://www.reddit.com/r/OPNsenseFirewall/comments/epm9la/vpn_client_behind_opnsense_firewall_issues/
https://forum.opnsense.org/index.php?topic=27298.0
https://www.reddit.com/r/PFSENSE/comments/1650m1i/checkpoint_user_vpn_behind_pfsense/

Ich weiß es nicht genau, aber ich habe eine starke Vermutung: Offenbar nutzt Checkpoint IPSEC.
Dabei werden spezielle ISAKMP Pakete ausgetauscht, die direkt auf OSI-Layer 3 arbeiten, d.h. Vermittlungsschicht unterhalb von TCP und UDP. Da OpnSense normalerweise IPSEC selbst behandelt, gibt es offenbar automatische pf-Regeln, die diesen Traffic "abfangen", so dass er nicht zu Deinen Clients durchkommt.

Es gibt hier einen Post dazu. Man kann die automatischen Regeln abschalten, indem man nur "manual rules" für NAT nutzt, aber man müsste vermutlich den IPSEC-Traffic an Deinen Client weiterleiten. Ich habe keine Ahnung, wie man das machen könnte, es kann sogar sein, dass das außerhalb der Konfigurierbarkeit von OpnSense mittels der GUI liegt.

Das ist bei "Road Warrior" (= "Mobile") Setups kein Problem, weil das Endgerät selbst den Endpunkt der Verbindung darstellt. Andere VPN-Protokolle, wie Wireguard oder OpenVPN setzen auf TCP oder UDP auf und können somit leicht am Router an Clients "durchgereicht" werden.

[maze-m]

@meyergru:

Vielen Dank dir für deine sehr ausführliche Erklärung und die Links.

Ich hab es jetzt mal mit dem Link versucht: https://www.reddit.com/r/OPNsenseFirewall/comments/epm9la/vpn_client_behind_opnsense_firewall_issues/
...und den Firewall-Einstellungen:

<SNIP>
In case this ever pops up in google searches, I finally got it to work:

I had to create a new NAT rule on the LAN interface.

I created a static DHCP mapping for my work laptop then made an alias for it.

In the new NAT rule, I set source: work_laptop any/any dest: any/any *** force GW: WAN DHCP *** direction IN

I then had to select "allow options" and "sloppy state" in the new NAT rule

Lastly I had to disable Unbound DNS and remove the OPNSense server from the list of DNS resolvers as it was grabbing DNS requests and munging them
<SNIP>

Bei mir in der Sense schaut das dann so aus (siehe 'Outbound-NAT-Rule.png').

Die Firewall-Rule dazu ist die ebenfalls angehangene (siehe 'Firewall-Rule Part 1.png' + 'Firewall-Rule Part 2.png')

Ich habe die OPNSense bei mir in der Fritzbox komplett als Exposed Host freigegeben (siehe 'Exposed Host Fritzbox.png')


Leider bekomme ich immernoch keine VPN-Verbindung hin. Ich hoffe, ihr könnt mir noch helfen und habt noch eine Idee, was ich falsch mache!?

[meyergru]

Es geht doch nicht um Outbound NAT, sondern um eingehenden VPN-Traffic. Aber um überhaupt herauszubekommen, was da geblockt wird, müsste man zunächst auf der Default-Block-Regel ein Logging einschalten. Abgesehen davon glaube ich gar nicht, dass der Traffic geblockt wird, sondern dass er von der OpnSense selbst abgefangen wird.

Eine andere Variante wäre, beim VPN-Anbieter bzw. Hersteller festzustellen, welche Sorte Traffic er erzeugt (IPSEC, AH, GRE, UDP, was auch immer). Ich würde davon ausgehen, dass bei Nutzung z.B. aus einem Hotel-WLAN ja auch Probleme auftreten könnten. Dann muss der Hersteller ja Auskunft darüber geben können, was er an technischen Voraussetzungen benötigt.

[maze-m]

Es geht doch nicht um Outbound NAT, sondern um eingehenden VPN-Traffic. Aber um überhaupt herauszubekommen, was da geblockt wird, müsste man zunächst auf der Default-Block-Regel ein Logging einschalten. Abgesehen davon glaube ich gar nicht, dass der Traffic geblockt wird, sondern dass er von der OpnSense selbst abgefangen wird.

Hm, ehrlich gesagt bin ich mir gerade nicht sicher,welches von den angehangenen Regeln nun meine Default-Block-Regel ist (die beiden ursprünglichen Defaults sind bei mir ja disabled).

Eine andere Variante wäre, beim VPN-Anbieter bzw. Hersteller festzustellen, welche Sorte Traffic er erzeugt (IPSEC, AH, GRE, UDP, was auch immer). Ich würde davon ausgehen, dass bei Nutzung z.B. aus einem Hotel-WLAN ja auch Probleme auftreten könnten. Dann muss der Hersteller ja Auskunft darüber geben können, was er an technischen Voraussetzungen benötigt.

Ja, daran habe ich auch schon gedacht, gerade da ich in der Tat auch mein Arbeits-Notebook z.B. nicht im ICE nutze kann, da ich dort nichts ins VPN reinkomme.
Ich muss mir für sowas immer einen Hotspot aufmachen....

Ehrlich gesagt weiß ich nur nicht, ob es da eine direkte Kontaktmöglichkeit in Richtung Hersteller gibt, oder ich das bei meiner Firma über den Helpdesk laufen lassen muss...


EDIT:

....Default-Block-Regel ein Logging einschalten. Abgesehen davon glaube ich gar nicht, dass der Traffic geblockt wird, sondern dass er von der OpnSense selbst abgefangen wird.

Ich hab eben glaub ich den Punkt für's Logging gefunden und das mal aktiviert. Wenn ich nun unter 'Firewall' --> 'Log Files' ---> 'Live View' als DST die IP von unserem VPN-Gateway angebe, seh ich den angehangenen Screenshot (Log File Live View.png)

[Monviech (Cedrik)]

Bei mir in der Firma nutzen viele Leute VPN Einwahl Clients mit IPsec hinter der OPNsense (z.B. die von Sophos, Draytec, NCP Client...) und das geht alles sauber durch, obwohl die OPNsense selber sehr viele Site2Site VPN Tunnel und eigenes Einwahl VPN macht.

(Und auch daheim wo ich eine Hardware OPnsense+Zyxel Modem betreibe. Da kann ich mich und andere auch ohne Probleme bei der jeweiligen Arbeit mit IPsec Einwählen)..

Was IPsec gar nicht mag ist Doppel NAT. Wenn das durch die Flitzebox davor verursacht wird da sie zusätzlich zur OPNsense NATed dann funktioniert das Einwahl VPN nicht weil NAT Traversial so ein Szenario nicht abdeckt.

Ein großes Problem wäre wenn der Checkpoint client ohne NAT Traversial mur auf Port 500 funktionieren will, sowas geht einfach gar nicht richtig. Er muss auf UDP 4500 gehen beim Verbindungsaufbau.

[maze-m]

Was IPsec gar nicht mag ist Doppel NAT. Wenn das durch die Flitzebox davor verursacht wird da sie zusätzlich zur OPNsense NATed dann funktioniert das Einwahl VPN nicht weil NAT Traversial so ein Szenario nicht abdeckt.

Ein großes Problem wäre wenn der Checkpoint client ohne NAT Traversial mur auf Port 500 funktionieren will, sowas geht einfach gar nicht richtig. Er muss auf UDP 4500 gehen beim Verbindungsaufbau.

Danke dir zunächst für deine Antwort :).

Ja, das hab ich mir auch schon sagen lassen, habe jedoch gehofft, dass ich's trotz des Doppel-NATs irgendwie hinbekomme, weil ich mir nun vermutlich ein extra Modem (wie https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html ) dafür zulegen muss....

Ich hab mein zumindest im Live-View gesehen zu haben, dass der Checkpoint Client sich auf Port 500 und 4500 versucht zu verbinden.
Aber ich seh dann nicht, dass da noch etwas zurückkommt bzw. sehe nur das aus meinem letzten Post gezeigte NAT...

[maze-m]

Blöde Frage, aber was wäre das denn für ein Aufwand, meine jetzigen Fritzbox komplett durch die OPNSense abzulösen bzw. was bräuchte ich von meinem Provider alles für Infos, um das sauber umzusetzen?

[Patrick M. Hausen]

Welcher ist denn dein Provider?

Telekom ist einfach. Man findet relativ einfach und bezahlbar Modems und man bekommt bzw. hat schon (für die Fritzbox) die PPPoE-Einwahl-Daten. Das wäre es im Fall Telekom.

Bei allen anderen hängt es vom Provider ab.

[maze-m]

Hallo Patrick!

Danke dir für die schnelle Rückmeldung. Leider bin ich momentan (und wahrscheinlich leider auch noch länger) an einen Vodafone-Business Kabel-Anschluss gebunden.
Daher habe ich mir überlegt, so ein Modem zuzulegen https://shop.wernerelectronic.de/kabelmodem-arris-docsis-3-1-touchstone-2322.html....

Allerdings bräuchte ich für das WAN-Interface doch das GW meines Providers und noch einige andere Daten, oder?
Zur Zeit ist mein WAN-Interface noch so wie im Anhang gezeigt konfiguriert.

Was müsste ich denn beim Umstellen noch weiteres beachten? Und könnte ich ggf. auch wieder temporär auf die Fritzbox zurückswitchen, falls meine Hardware mit der OPNSense mal nicht will oder der Provider meckert, weil ich ja eigene Hardware verwende?

[Patrick M. Hausen]

So weit ich weiß, kann Vodafone deine Fritzbox in den Bridgemodus schalten. Du brauchst dann nur irgend einen anderen AP für das WLAN hinter der OPNsense.

[maze-m]

Das mit dem Bridge Mode habe ich bei Vodafone schon erfragt und das ist leider nicht mehr (zumindest mit der Fritzbox) möglich.
Ich könnte mir eine Vodafone Station holen, welche dann in den Bridge Mode geschaltet werden kann, aber aufgrund dessen, dass ich wahrscheinlich noch länger an VF gebunden sein werde, würde ich mir lieber ein dediziertes Modem besorgen, welches das "sauber" macht.....

Also AP für's Wlan nutzte ich momentan eh nen Unifi 'UAP AC LR' und wollte bei uns im Haus eh noch einen weiteren installieren im DG.

[Patrick M. Hausen]

Bei Kabelanschlüssen kenne ich mich mit Modems und Zugangsdaten leider nicht aus.

[maze-m]

Hat jemand anderes von euch einen Vodafone-Anschluss und kann mir sagen, wo ich die nötigen Daten für einen Switch auf die OPNSense herbekomme?

Ich wäre euch sehr dankbar :)....

[meyergru]

https://www.youtube.com/watch?v=FTweqyTjatc