OPenVPN Routing Problem / Default GW Problem

Started by fw115, August 04, 2025, 05:48:30 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
August 04, 2025, 10:55:20 PM #15
Quote from: Patrick M. Hausen on August 04, 2025, 10:38:36 PMKomm doch am Freitag mal zum virtuellen Stammtisch, dann gucken wir uns den Kram live an.

Der Jens hat mit OpenVPN auch noch deutlich mehr Erfahrung als ich, ich benutz wo ich kann lieber IPsec oder WireGuard.

Stammtisch-Info: https://forum.opnsense.org/index.php?topic=18183.0

Ich hätte auch gerne was anderes, leider bekomme ich von meinem Provider nichts anderes. Ich bin schon froh das ich meine IP Adressen überhaupt so bekomme.

Ich würde wirklich sehr gerne vorbei schauen, leider bin ich genau dieses WE schon verplant. Wie das so ist im Leben.
Und ich merke auch, dass Netzwerken nicht ganz so meine Welt ist (wohl auch der Grund warum ich IPv6 hasse wie die Pest, aber das ist ein anderes Thema).
Vielleicht erbarmt sich ja jemand und schaut mal für 15 min in der Woche danach mit mir auf mein System.
Mal sehen, ansonsten wird das wohl bis zum 22. warten müssen.

Danke an alle für die Hilfe!
August 04, 2025, 11:28:37 PM #16
Könntest du bitte mal alle Floating Regeln und alle auf OpenVPN zeigen?
August 04, 2025, 11:58:33 PM #17
Quote from: fw115 on August 04, 2025, 10:55:20 PMIch hätte auch gerne was anderes, leider bekomme ich von meinem Provider nichts anderes. Ich bin schon froh das ich meine IP Adressen überhaupt so bekomme.

Das ist ja auch nicht schlimm - ich mache genau dasselbe für 2 Kunden, die über je einen WireGuard-Tunnel IP-Adressen aus meinem AS aus einem Interface ihrer OPNsense rauströpfeln lassen. Die hatten halt vor 20 Jahren mal eine 2 Mbit Leitung von uns zu astronomischen Preisen und haben sich dann vor ein paar Jahren eine DSL-Leitung der Telekom geklickt und wollten irgendwie unsere Adressen behalten.

Funktioniert alles - der Policy-Kram ist halt nicht ganz trivial.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:16:38 AM #18
Hier die Rules:
Today at 12:19:04 AM #19
Quote from: Patrick M. Hausen on August 04, 2025, 11:58:33 PM
Quote from: fw115 on August 04, 2025, 10:55:20 PMIch hätte auch gerne was anderes, leider bekomme ich von meinem Provider nichts anderes. Ich bin schon froh das ich meine IP Adressen überhaupt so bekomme.

Das ist ja auch nicht schlimm - ich mache genau dasselbe für 2 Kunden, die über je einen WireGuard-Tunnel IP-Adressen aus meinem AS aus einem Interface ihrer OPNsense rauströpfeln lassen. Die hatten halt vor 20 Jahren mal eine 2 Mbit Leitung von uns zu astronomischen Preisen und haben sich dann vor ein paar Jahren eine DSL-Leitung der Telekom geklickt und wollten irgendwie unsere Adressen behalten.

Funktioniert alles - der Policy-Kram ist halt nicht ganz trivial.

Das merke ich gerade.

Witzig gerade: Ich kann Webseiten aufrufen aus dem LAN , aber nicht aus dem LAN pingen....

Ich Blick es nich mehr....
Ich würde gerne die Zusammenhänge verstehen und verstehe es nicht. Joa, merkt man am Ergebnis :)
Today at 12:28:44 AM #20
Dein grundlegendes Verständnisproblem mit den Interfaces verstehe ich nun aber auch nicht ganz. Ich komme von viel Cisco (IOS, PIX, ASA) und vor allem der Secure Computing Sidewinder zur OPNsense und bei jeder anderen Firewall gehört eine Regel auf das Interface, an dem das System hängt, das die Verbindung initiiert. Ist wirklich global so. Bissi Berührung mit Checkpoint hatte ich auch - ebenfalls kein Unterschied.

Weshalb ist das mit den Interfaces so kompliziert in deinem Kopf?

System im Internet will Dinge von den Servern - IP kommt über den Tunnel rein --> Regel muss auf das Tunnel-Interface.
System im LAN will Dinge im Internet --> Regel muss auf das LAN.

Etc. Easy? Oder?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:51:48 AM #21 Last Edit: Today at 01:25:05 AM by fw115
Quote from: Patrick M. Hausen on Today at 12:28:44 AMDein grundlegendes Verständnisproblem mit den Interfaces verstehe ich nun aber auch nicht ganz. Ich komme von viel Cisco (IOS, PIX, ASA) und vor allem der Secure Computing Sidewinder zur OPNsense und bei jeder anderen Firewall gehört eine Regel auf das Interface, an dem das System hängt, das die Verbindung initiiert. Ist wirklich global so. Bissi Berührung mit Checkpoint hatte ich auch - ebenfalls kein Unterschied.

Weshalb ist das mit den Interfaces so kompliziert in deinem Kopf?

System im Internet will Dinge von den Servern - IP kommt über den Tunnel rein --> Regel muss auf das Tunnel-Interface.
System im LAN will Dinge im Internet --> Regel muss auf das LAN.

Etc. Easy? Oder?
Eigntlich ja, ich denke ich stehe mir aus Unsicherheit mit dem neuem System( is das was ich gemacht habe wirklich richtig?) mehr selber im Weg als ich sollte.
Die einzige Firewall die ich kenne, ist eben die Astaro die dann zur Sohopos UTM wurde. Aktuell V9.
In der Astaro hab ich 3 Interfaces. Das war es dann.
LAN
DMZ
WAN
VPN wird gar nicht als Interface wie in der OPNsense definiert.

Da wird kein Interface nochmal zugewiesen wie bei der Opnsense z.B. VPN oder das vlan 132

So sieht z.B das WAN bei der Sophos aus. Ich hab kein extra Vlan Interface das irgenwo assigend werden muss und habe dann auch nur 1 Interface WAN und nicht ein WAN und ein VLAN das mir angezeigt wird.

VLAN Tag rein, erledigt.

Macht das ganze deutlich übersichtlicher und einfacher nachzuvollziehen.

Und so gibt es viele Sachen die bei opsense in Zig Menüs aufgesplittet sind und die config einfach extrem unübersichtlich machen.
Als Anfäger in Opnsense und von der Oberfläche der Astaro ( is für mich eben immer noch Astaro obwohl von Sophos übernommen)kommend, bekommt man einfach einen Fön.


Print
Go Up Pages 1 2
User actions