Rechtsdienstleistungen, Datenschutz, sichere EDV-Systeme

ich war hier: OPNsense

Verlauf der Änderungen der Seite OPNsense


Version [3621]

Zuletzt bearbeitet am 2021-05-15 14:08:44 durch WojciechLisiewicz
Hinzugefügt:
Ein zusätzlicher Gateway für die VPN-Verbindung ist erforderlich. Einige [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-6-create-a-gateway Hinweise von hier sind zu beachten]]. Hier einrichten:
##System ‣ Gateways ‣ Single##

Gelöscht:
Ein zusätzlicher Gateway für die VPN-Verbindung ist erforderlich. Einige [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-6-create-a-gateway Hinweise von hier sind zu beachten]].


Version [3620]

Bearbeitet am 2021-05-15 14:08:06 durch WojciechLisiewicz
Hinzugefügt:
Ein zusätzlicher Gateway für die VPN-Verbindung ist erforderlich. Einige [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-6-create-a-gateway Hinweise von hier sind zu beachten]].
Hier kann dann auch das entsprechende Netzwerk des entfernten LAN plausibel eingestellt werden.

Gelöscht:
Hier kann dann auch das entsprechende Netzwerk des entfernten LAN plausibel eingestellt werden.
Der Versuch, die Verbindung über einen weiteren Gateway einzurichten, half nicht und war im Ergebnis nicht notwendig.


Version [3619]

Bearbeitet am 2021-05-15 14:06:14 durch WojciechLisiewicz
Hinzugefügt:
Dabei in den erweiterten Einstellungen auch ein spezielles Gateway einstellen, [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-2-configure-the-local-peer wie hier beschrieben]]. Dieses soll eine IP im WireGuard-Netzbereich haben, aber darf nicht identisch sein mit der IP des WG-Clients und auch nicht des entfernten Peer-s.
Das Interface sollte aktiviert werden und für weitere Einstellungen zur Verfügung stehen.
((2)) Outbound-NAT
Es wird auch eine Outbound-NAT-Regel benötigt. Diese wird erstellt unter:
##Firewall => NAT => Outbound##
und soll sich auf das entfernte LAN (z. B. 192.168.0.0/24) beziehen (vorher am besten als Alias festlegen)
((2)) Route erstellt zum LAN
Die Outbound-NAT-Regel reichte irgendwie nicht. Scheint aber nachvollziehbar zu sein, denn woher sollen die Clients wissen, bzw. die Firewall, wann dieser "Outbound" greifen soll... Also Route einrichten unter:
##System => Routes => Configuration##
Hier kann dann auch das entsprechende Netzwerk des entfernten LAN plausibel eingestellt werden.
((2)) Spezieller Gateway
Der Versuch, die Verbindung über einen weiteren Gateway einzurichten, half nicht und war im Ergebnis nicht notwendig.

Gelöscht:
Dabei in den erweiterten Einstellungen auch ein spezielles Gateway einstellen, [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-2-configure-the-local-peer wie hier beschrieben]].
- Outbound-NAT
- Route erstellt zum LAN


Version [3618]

Bearbeitet am 2021-05-15 13:53:44 durch WojciechLisiewicz
Hinzugefügt:
(per WireGuard)
In der Regel wird beschrieben, wie eine Site-to-Site-Verbindung eingerichtet wird. Es ist viel schwieriger, eine Beschreibung zu finden, wie OPNsense als WireGuard-Client agieren könnte und bei Bedarf eine Verbindung zu einem entfernten LAN (Beispiel: 192.168.0.0/24) für die hinter dem OPNsense-Router stehenden Geräte zur Verfügung stellt.
Folgende Schritte führen aber zum Erfolg:
((2)) VPN-Verbindung einrichten (WG)
Ganz normal Verbindung einrichten, wie es bei jedem Client funktioniert.
Dabei in den erweiterten Einstellungen auch ein spezielles Gateway einstellen, [[https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html#step-2-configure-the-local-peer wie hier beschrieben]].
((2)) Diese Verbindung als Interface-Zuordnung einrichten
Unter
##Interfaces => Assignments##

Gelöscht:
Folgende Schritte waren notwendig:
- VPN-Verbindung einrichten (WG)
- diese Verbindung als Interface-Assigment einrichten


Version [3617]

Bearbeitet am 2021-05-15 13:17:46 durch WojciechLisiewicz
Hinzugefügt:
((1)) Verbindung per VPN zu einem anderen LAN
Folgende Schritte waren notwendig:
- VPN-Verbindung einrichten (WG)
- diese Verbindung als Interface-Assigment einrichten
- Outbound-NAT
- Route erstellt zum LAN


Version [3108]

Bearbeitet am 2021-04-02 20:44:45 durch WojciechLisiewicz
Hinzugefügt:
Aus OPT1 => WAN2 und praktisch identisch vorgehen, wie bei WAN. Auch separates Gateway erstellen und zuweisen - und dem größere Zahl bei Priorität geben, damit es nicht aktiviert wird (wenn Internet über WAN laufen soll).
((2)) Die LAN-Route zu beiden WAN-Netzen erstellen
((2)) Route zur Lancom-Verbindung mit dem VPN der HS erstellen


Version [3107]

Bearbeitet am 2021-04-02 14:11:10 durch WojciechLisiewicz
Hinzugefügt:
LAN = vmx0 => Virtual Network von ESXi mit Uplink auf LAN
WAN = igb0 => passthrough Intel 1 Gb zu Fritzbox
OPT = igb1 => passthrough Intel 1 Gb zu Lancom
Bei Problemen - siehe oben "Probleme mit WAN und Gateway".
WAN-Interface statisch 10.9.0.2 im LAN der Fritzbox (10.9.0.0/**24**).
WAN_GW hat IP 10.9.0.1

Gelöscht:
LAN = vmx0
WAN = igb0
OPT = igb1
Bei Problemen - siehe oben "Probleme mit WAN und Gateway"


Version [3106]

Bearbeitet am 2021-04-02 14:08:09 durch WojciechLisiewicz
Hinzugefügt:
((1)) Aktuelle Konfiguration step-by-step
Folgende Schritte wurden vorgenommen:
((2)) Interfaces
Unter "Assignment" sind sie zuzuordnen:
LAN = vmx0
WAN = igb0
OPT = igb1
((2)) Gateway
Bei Problemen - siehe oben "Probleme mit WAN und Gateway"
((2)) Zweites WAN konfigurieren


Version [3105]

Bearbeitet am 2021-04-02 11:27:54 durch WojciechLisiewicz
Hinzugefügt:
((1)) Probleme mit WAN und Gateway
Die Umstellung des WAN auf statische IP führte zur Unterbrechung der Verbindung aus dem LAN ins Internet. Auch pings in OPNsense zum **WAN network** konnten nicht geroutet werden. Nachdem WAN zurück auf DHCP umgestellt wurde, haben sich die Gateway komischerweise vermehrt. Dann ging die Verbindung wieder. Umstellung wieder auf statische IP löschte diese zusätzlichen Gateway und es funktionierte wieder nicht.
Folgendes hat geholfen:
- die Gateways komplett löschen
- WAN-Gateway (##System => Gateways => Single##) manuell erstellen
- in den Einstellungen des Interface WAN (##Interfaces => WAN##) unbedingt beachten:
- net Maske nicht 32 (Voreinstellung) sondern auf 24 stellen!
- IPv4 Upstream GW manuell auswählen - den zuvor eingerichteten


Version [3104]

Bearbeitet am 2021-04-02 11:17:43 durch WojciechLisiewicz
Hinzugefügt:
Es konnte aktiviert werden (nach mehreren Versuchen - letztlich ist die unten genannte Regel entscheidend):

Gelöscht:
Es konnte aktiviert werden (nach mehreren Versuchen => bei WAN schauen, ob nicht auch etwas Anderes benötigt wird, als das, was am Ende geholfen hatte!):


Version [3102]

Bearbeitet am 2021-03-31 12:37:21 durch WojciechLisiewicz
Hinzugefügt:
## - Destination = WAN net; Port = *##

Gelöscht:
## - Destination = *; Port = *##


Version [3071]

Bearbeitet am 2021-03-26 16:43:30 durch WojciechLisiewicz
Hinzugefügt:
((1)) WireGuard mit OPNsense
[[WireGuard => siehe hier]], wo alle Hinweise zur Thema WireGuard gesammelt werden.
----
CategoryNetzwerk


Version [3065]

Bearbeitet am 2021-03-26 10:17:13 durch WojciechLisiewicz
Hinzugefügt:
Verbindung zwischen LAN und quasi-DMZ wollte nicht funktionieren - insofern auch Zugriff auf Fritzbox sowie die Geräte zwischen FB und OPNsense war nicht möglich...

Gelöscht:
Verbindung zwischen LAN und quasi-DMZ wollte nicht funktionieren - Zugriff auf Fritzbox war nicht möglich...


Version [3064]

Bearbeitet am 2021-03-26 10:16:35 durch WojciechLisiewicz
Hinzugefügt:
((1)) Verbindung mit einem lokalen LAN __vor__ OPNsense

Gelöscht:
((1)) Verbindung mit einem lokalen LAN hinter OPNsense


Version [3063]

Bearbeitet am 2021-03-26 10:16:14 durch WojciechLisiewicz
Hinzugefügt:
//Assuming you don't have an Enterprise Plus licence then you're left with using the standard vSwitch. Create two of those and attach your NICs to them - if this is a home LAN then one NIC on each of the switches should do. Create the OPNsense VM with two NICs, connect one of those NICs to the 'WAN' vSwitch and the other to the 'LAN' vSwitch. Install OPNsense and configure it to your requirements, when it's up and running you should have a working firewall and LAN connection.

Gelöscht:
//Assuming you don't have an Exterprise Plus licence then you're left with using the standard vSwitch. Create two of those and attach your NICs to them - if this is a home LAN then one NIC on each of the switches should do. Create the OPNsense VM with two NICs, connect one of those NICs to the 'WAN' vSwitch and the other to the 'LAN' vSwitch. Install OPNsense and configure it to your requirements, when it's up and running you should have a working firewall and LAN connection.


Version [3062]

Bearbeitet am 2021-03-26 10:15:56 durch WojciechLisiewicz
Hinzugefügt:
Nothing in my environment is directly connected to the internet (except the ESXi NICs) and everything (including the ESXi host) is routed throiugh OPNsense. Create any required VMs with single NICs (you don't really need more) and connect them to the LAN vSwitch and that should give you a quick and simple set-up, the beauty is you can rearrange things later should you desire to do so.//

Gelöscht:
Nothing in my environment is directly connected to the internet (excpet the ESXi NICs) and everything (including the ESXi host) is routed throiugh OPNsense. Create any required VMs with single NICs (you don't really need more) and connect them to the LAN vSwitch and that should give you a quick and simple set-up, the beauty is you can rearrange things later should you desire to do so.//


Version [3061]

Bearbeitet am 2021-03-26 10:14:52 durch WojciechLisiewicz
Hinzugefügt:
- entscheidend ist allerdings, dass diese Regel vor anderen Regeln aus dem LAN gestellt wird - damit sie abgefangen wird, bevor die allgemeinen Regeln (zum Gateway) greifen. Also Reihenfolge beachten und ändern.


Version [3060]

Bearbeitet am 2021-03-26 01:33:11 durch WojciechLisiewicz
Hinzugefügt:
##=> neue anlegen mit folgenden Parametern:##

Gelöscht:
##=>neue anlegen mit folgenden Parametern:##


Version [3059]

Bearbeitet am 2021-03-26 01:33:05 durch WojciechLisiewicz
Hinzugefügt:

- Firewall
- Rules
- LAN:
## - Source = LAN net; Port = *##
## - Destination = *; Port = *##
## - Gateway = *##
## - Schedule = * ##

Gelöscht:
##
Firewall
Rules
LAN##
- Source = LAN net; Port = *
- Destination = *; Port = *
- Gateway = *
- Schedule = * ##


Version [3058]

Bearbeitet am 2021-03-26 01:32:31 durch WojciechLisiewicz
Hinzugefügt:
LAN##
##=>neue anlegen mit folgenden Parametern:##
## - Protokol = IPv4 *##

Gelöscht:
LAN
=>neue anlegen mit folgenden Parametern:
- Protokol = IPv4 *


Version [3057]

Bearbeitet am 2021-03-26 01:32:09 durch WojciechLisiewicz

Gelöscht:



Version [3056]

Bearbeitet am 2021-03-26 01:31:53 durch WojciechLisiewicz
Hinzugefügt:
Es konnte aktiviert werden (nach mehreren Versuchen => bei WAN schauen, ob nicht auch etwas Anderes benötigt wird, als das, was am Ende geholfen hatte!):
##
Firewall
Rules
LAN

=>neue anlegen mit folgenden Parametern:

- Protokol = IPv4 *
- Source = LAN net; Port = *
- Destination = *; Port = *
- Gateway = *
- Schedule = * ##


Version [3055]

Bearbeitet am 2021-03-26 01:16:11 durch WojciechLisiewicz
Hinzugefügt:
((1)) Verbindung mit einem lokalen LAN hinter OPNsense
Szenario:
Internet <-> Fritzbox <- quasi-DMZ -> OPNsense <-> LAN
Verbindung zwischen LAN und quasi-DMZ wollte nicht funktionieren - Zugriff auf Fritzbox war nicht möglich...


Version [2566]

Die älteste bekannte Version dieser Seite wurde am 2020-06-13 15:02:14 von WojciechLisiewicz bearbeitet.
Valid XHTML  |  Valid CSS  |  Powered by WikkaWiki