Umstellung von Fritzbox (Doppel-NAT) ---> Kabel-Modem + OPNSense

[schnipp]

Mein eigentliches Problem ist gar nicht mal die Fritzbox selber. Surven, Streamen von Amazon Prime Video, Youtube etc. läuft auch mit der Fritzbox super.
Ich habe aber das Problem, dass ich mich nicht meinem Arbeitsplatz-Notebook in unser VPN verbinden kann (siehe https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418)...

Dies wiederum scheint am Doppel-NAT zu liegen (siehe Reply 1 und Reply 5 in dem Thread). Daher bin ich zur Zeit viel am überlegen, die Fritzbox komplett rauszunehmen und ein ordentliches Setup mit OPNSense zu fahren.

[...]

Ich hatte mich in den letzten (mindestens 6-7 Jahren) über Checkpoint Mobile ins Firmen-VPN eingewählt. Das lief mit unterschiedlichen Szenarien (Single-, Double- und Tripple-NAT) in Verbindung mit der Opnsense immer einwandfrei. Daher vermute ich mal, dass entweder der VPN-Client uns/oder der VPN-Server nicht richtig konfiguriert sind.

Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst „IPSec-Passthrough“ unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.

Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.

[tuschi]

Hallo  also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.

[maze-m]

Der Checkpoint Mobile verwendet IPSec als Protokoll. Wenn es wirklich nur über NAT klemmt, dann sind Server und Client vermutlich nicht für NAT-T konfiguriert und verwenden natives IPSec. In einem solchen Fall muss jede NAT-Instanz selbst „IPSec-Passthrough“ unterstützen. Je nach Implementierung funktioniert dies auch nur mit einer gleichzeitigen Verbindung zu demselben Ziel.

Am besten ist es, den IPSec-Handshake einmal mit Wireshark aufzuzeichnen.

Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre (arbeite bei ner VW-Konzern-Tochter)......

Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird. 

[maze-m]

Hallo  also das Thema ist recht einfach. Habe es selber am laufen, Modem besorgen, bei Vodafon anrufen die MAC von dem Modem freischalten lassen, das Gerät anstecken, irgendeine Seite Aufrufen. Man wird dann auf die Rgistrierung für das Modem geleitet gibt nochmal die MAC ein und den Freischaltcodeden man irgendwann mal bekommen hat oder lässt sich einen neuen schicken... und dann ist man drin. Was du dann an das Modem hängt ist dir überlassen. Das Gerät nsch dem Modem bekommt die öffentliche IP. Ich hab die Sense dran. Wichtig nur, in der Konfiguration den Zugriff nur über LAN einstellen. Sonst geht das auch von außen. Ich hab meine sense mit normal lan und gast konfiguriert. Sogar der wireguard geht super. Bild im Anhang. Die FB dient aktuell nur als WLAN AP.

Ja, ich liebäugel ja schon mit dem Kauf eines https://shop.wernerelectronic.de/kabelmodem-arris-cm3500.html, wobei ehrlicherweise die 200€ natürlich auch einiges an Geld ist.
Aber zur Zeit ist bei uns leider auch noch nicht in Aussicht, dass wir auf absehbare Zeit einen Glasfaseranschluss bekommen. Von daher werde ich zur Vermeidung des Doppel-NAT vermutlich nicht drum herum kommen.

Wie hast du das bei dir denn gelöst, wenn du Support für deinen Anschluss brauchst?
Dann musst du doch das Provider-Gerät erstmal wieder anstöpseln. oder?

[schnipp]

Danke dir für die ausführliche Rückmeldung. Wireshark wird leider bei mir ein Problem werden, weil ich auf dem FIrmen-Notebook zwar Admin-Rechte habe und somit Wireshark instalieren könnte, allerdings vermutlich die IT-Securoty Abteilung nicht so begeistern davon wäre (arbeite bei ner VW-Konzern-Tochter)......

Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.

Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?

Ich hatte schon den Diensleister - welcher für die Checkpoint Mobile Sachen zuständig ist - kontaktiert, da wir zur Zeit auf ZScaler Client VPN migrieren und angefragt, ob es damit vielleicht weniger Probleme gibt.
Leider konnte man mir da nicht sagen, ob mein Problem damit eher behoben wird.

Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.

BTW Seltsam, dass ich keine E-Mail bezüglich der Antworten in diesem Thread erhalten hatte

[maze-m]

Ich kann die Sichtweise der Security gut nachvollziehen. Ich bin genauso wenig begeistert, wenn Leute in unserer Firma heruntergeladene Software aus dem Internet ausführen.

Ja, aus dem Gesichtspunkt heraus kann ich die Sichtweise von unserer Security-Abteilung natürlich auch nachvollziehen.

Was spricht dagegen, den Paketmitschnitt in der Opnsense zu machen (die unterstützt das) und die Aufzeichnung auf Deinem privaten Rechner analysieren?

Dagegen spricht natürlich nichts bis auf das Problem, dass ich nicht weiß, wir ich das in der Sense mache 😇🥴...

Nach der Migration auf ZScaler (Private Access) benötigst Du den VPN Client nicht mehr. Damit sollte Dein Problem behoben sein.

Das wäre natürlich sehr sehr cool 😍

[schnipp]

Das wäre natürlich sehr sehr cool 😍

Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:

• TCP/443
• UDP/443

BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:

• Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
• Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück

Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose

[maze-m]

Für ZScaler Private Access sind Firewallregeln mit folgenden Zielports zu erstellen:

• TCP/443
• UDP/443

Cool, danke dir für die Info! Dann würde ich nach hoffentlich erfolgreicher Migration für mein Arbeitsnotebook Firewall-Regeln mit 'TCP/443' und 'UDP/443' erstellen.

BTW ich habe mit Deinen Beitrag unter https://forum.opnsense.org/index.php?topic=38892.msg190418#msg190418 angesehen. Dort scheint einiges nicht ganz richtig zu sein:

• Entferne bitte die manuell hinzugefügten NAT-Regeln (IPsec über NAT-T benötigt diese nicht)
• Setze das Gateway in den zugehörigen Firewallregeln bitte mal auf Default zurück

Falls es mit dem Checkpoint VPN-Client dann immer noch nicht funktioniert, findest Du hier weitere Infos zur Diagnose

Vielen vielen Dank dir für's Reviewen von meinem Thread!
Ich hab das mal folgermaßen abgeändert (bzw. die NAT-Regel erstmal deaktiviert):

Siehe 'Firewall_Outbound_NAT.jpg'

[maze-m]

Zudem habe ich die Firewall-Regeln zunächst auch einmal auf 'default' zurückgesetzt:

Siehe 'Firewall_LAN_Rules.jpg'

Leider kann ich gerade nicht testen, weil die PKI-Abfrage vom Checkpoint Mobile anscheinend nicht über den Squid drüberkommt, weil meine privaten (von der Sense ausgestellten) Certs nicht richtig übernommen werden. Ich muss mir das nochmal angucken....

[schnipp]

Ich verstehe Dein Setup nicht so ganz.

• Du hast NAT komplett auf „manuell“ stehen. Ist in der vorgeschalteten Fritzbox die korrekte IPv4-Route für die Opnsense eingetragen?
• Checkpoint Mobile hat mit dem Squid nichts zu tun. Wofür möchtest Du den Squid einsetzen?

[maze-m]

Ich verstehe Dein Setup nicht so ganz.

Du hast NAT komplett auf „manuell“ stehen. Ist in der vorgeschalteten Fritzbox die korrekte IPv4-Route für die Opnsense eingetragen?[/li]

[/quote]

Ich habe für die Fritzbox die Route wie im Anhang gezeigt (Statische_Route_auf_Fritzbox.jpg) angelegt.

Checkpoint Mobile hat mit dem Squid nichts zu tun. Wofür möchtest Du den Squid einsetzen?[/li][/list]

Nein, du hast Recht, dass der Squid nichts mit dem Checkpoint Mobile zu tun hat. Den Squid setzt ich als Transparenter Proxy ein und hab den so wie hier beschrieben konfiguriert: https://docs.opnsense.org/manual/how-tos/proxytransparent.html[/list]