NordVpn Opensense einzelne Clients

[Towantoofree2123]

Hallo,

bin am verzweifeln.
Hoffe hier kann mir jemand helfen.

Ich habe eine funktionierende VPN Leitung mit dieser Anleitung

https://support.nordvpn.com/hc/en-us/articles/20397569418129-OPNsense-21-setup-with-NordVPN

hinbekommen.
Soweit so gut.

Jetzt möchte ich aber nicht den gesamten Datenverkehr, also alle Clients über den VPN laufen lassen, sondern nur einzelne IP´s.

Ich habe hier Etwas mit Aliases gelesen und für bestimmte IP´s auch welche mit "Host" angelegt.
Auch habe ich versucht Regeln in Outbunt Nat zu erstellen nur leider bekomme ich es nicht hin.
Daher habe ich die Regeln wieder gelöscht.

Was mach ich falsch?!

Meine Grundconfig ist nun wieder wie oben in der Anleitung beschrieben.
Der gesamte Datenverkehr wird weiterhin durch den VPN gleitet:(

Ich hoffe ihr könnt mir weiter helfen!

Greetz

[viragomann]

Ich habe hier Etwas mit Aliases gelesen und für bestimmte IP´s auch welche mit "Host" angelegt.

Ja, ein Alias ist mal die Voraussetzung, um OPNsense wissen zu lassen, dass mit diesen IPs etwas Besonderes geschehen soll.

Auch habe ich versucht Regeln in Outbunt Nat zu erstellen nur leider bekomme ich es nicht hin.

Die Regel hast du ja schon entsprechend der Anleitung angelegt? Wenn die Clients über die VPN aktuell schon ins Internet kommen, funktioniert sie auch.

Was du nun benötigst nennt sich "Policy based routing": https://docs.opnsense.org/manual/firewall.html#policy-based-routing

Also eine Regel am LAN oder an welchem internen Interface die jeweiligen Clients hängen.
Dazu empfiehlt es sich, noch einen Alias "RFC1918" anzulegen, wenn du einen solchen noch nicht hast, und da alle privaten Subnetze hinzufügen.
Dann kannst du die Regel erstellen:
Source ist der Alias. "Destination / Invert" anhaken und als Destination den RFC1918 Alias setzen.
Und bei Gateway ist das Gateway zu setzen, das du entsprechend der Anleitung für die VPN eingerichtet hast.

Nun gibt es noch die Regel-Reihenfolge zu beachten. Die Regeln werden der Reihe nach von oben nach unten durchgegangen. Wenn die Bedingungen zutreffen, wird die Regel angewandt und weitere Regeln werden ignoriert.

Diese Policy Routing Regel muss also oberhalb der Standard-Regel, die den ausgehenden Traffic für alle IPs ohne spezielles Gateway erlaubt, positioniert werden. Sie sollte normalerweise ganz oben stehen können.
Beachte, dass die Regel sämtlichen Traffic, auf den die Bedingungen zutreffen, auf das gesetzte Gateway routet.
Aus diesem Grund die Geschichte mit dem RFC1918 Alias. Damit trifft die Regel nicht auf internen Ziele zu, bspw. DNS auf der OPNsense selbst.

Wenn das erledigt ist, sollte sich am Verhalten noch nichts geändert haben.
Nun musst du noch den OpenVPN Client editieren und einen Haken bei "Don't pull routes" rein setzen. Das unterbindet, dass die VPN als Standardgateway genutzt wird und jeglicher Traffic über die VPN läuft.

Grüße

[Towantoofree2123]

Hallo Viragomann,

erst mal vielen Dank!

Hab es nach deiner Anleitung mal versucht. Leider besteht das Problem immer noch:(

IP Range (also subnet) fürs Lan habe ich bei der erst Config auf 192.168.2.0/24 gesetzt. Diese ist jetzt auch im Alias RFC1918.

[tiermutter]

Moin,

magst Du vielleicht mal ein paar Screenshot der betreffenden Einstellungen / Regeln posten?
Das würde die Fehlersuche möglicherweise vereinfachen ;)

[viragomann]

Und bitte auch die Routing Tabelle.

[Towantoofree2123]

Hallo, hier die Screenshots....












Danke!

Ich habe erst einmal Alles wieder auf den Stand gebracht, wie nach der Einstellung des VPN Clients mit der o.g. Anleitung.

[Patrick M. Hausen]

Bitte häng Bilddateien hier im Forum an. Leuten eingebettete Bilder von externen "Bildhostingsites" unterzuschieben ist ziemlich unhöflich. Ich werd jetzt anfangen die bei mir kategorisch zu blockieren ...

Im Moment merke ich ja zunnächst nicht mal, dass du alle meine Daten an "ibb" lieferst, wer auch immer das ist.

[viragomann]

Mir fehlt da das Entscheidende: Die Policy Routing Regel
Vergessen?

Bitte den ganzen Regelsatz des Interfaces, LAN vermutlich, zeigen.

[Towantoofree2123]

Hier die Regeln der LAN Schnittstelle.

[tiermutter]

Etwas verwirrend... der erste Screenshot der Regeln auf LAN sieht anders aus als der zweite... und der ist völlig verbogen....
Also am besten mal alles was Du da gemacht hast rückgängig machen sodass nur noch die default allow (ohne GW-Angabe) da ist.
Dann braucht es nur eine Regel davor, bei der das GW angegeben ist, Source ist dann der Alias der IPs, die in das VPN sollen.

[viragomann]

Vom Regelsatz her sollte das VPN Gateway eigentlich genutzt werden. Voraussetzung ist aber, dass es auch online ist. Vergewissere dich dessen bitte mal.
Eventuell funktioniert das Monitoring nicht. Dann musst du eine alternative Monitoring IP einstellen.

Ansonsten kannst du im Firewall Log prüfen, ob die Regel angewandt wird.

[Towantoofree2123]

Also ich habe es wirklich versucht, dennoch nicht hinbekommen. ich weiß nicht was ich falsch mache.

Es sollen einfach nur alle IP´S (angeschlossen an der Sense) über den VPN laufen. Ausnahmen möchte ich in der Opensense dann einzeln festlegen. Diese sollen dann über das normale Gatway.

[Patrick M. Hausen]

Also ich habe es wirklich versucht, dennoch nicht hinbekommen. ich weiß nicht was ich falsch mache.

Es sollen einfach nur alle IP´S (angeschlossen an der Sense) über den VPN laufen. Ausnahmen möchte ich in der Opensense dann einzeln festlegen. Diese sollen dann über das normale Gatway.

Ich hatte das komplett umgekehrt verstanden - alles über den Default Gateway und nach deinem Betreff "NordVpn Opensense einzelne Clients" eben einzelne Clients über das VPN ...

Wenn das nicht so ist, dann setz in der globalen allow Regel auf LAN halt den Gateway und schon geht alles über das VPN.

Ausnahme-Regeln für einzelne Clients dann ohne Gateway anlegen und in der Reihenfolge weiter oben plazieren.

[Towantoofree2123]

Das war der entscheidende Hinweis Patrick. Vermutlich durch meine nicht korrekte Fragestellung! Es klappt.

Danke Euch