*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Zu 1.:
Es geht doch garnicht um die Externe IP oder DynDNS - das ist doch garnicht die Frage. Ich finde es zum Beispiel Quatsch wieder einen weiteren externen Service zu benutzen wenn ich ihn nicht brauche. Und nu? Das ist wie gesagt nicht meine Frage.
Meine Frage ist: Wie konfiguriere ich die Fritzbox ohne Exposed Host so, das ich durch die Fritze einen VPN-Service auf oder hinter der OPNSense erreiche?
Zu 2.:
Ich bin schockiert das es dafür keine bessere Lösung gibt - ich mein das ist doch jetzt nichts ungewöhnliches was ich erreichen will, oder?
Es geht doch garnicht um die Externe IP oder DynDNS - das ist doch garnicht die Frage. Ich finde es zum Beispiel Quatsch wieder einen weiteren externen Service zu benutzen wenn ich ihn nicht brauche. Und nu? Das ist wie gesagt nicht meine Frage.
Meine Frage ist: Wie konfiguriere ich die Fritzbox ohne Exposed Host so, das ich durch die Fritze einen VPN-Service auf oder hinter der OPNSense erreiche?
Zu 2.:
Ich bin schockiert das es dafür keine bessere Lösung gibt - ich mein das ist doch jetzt nichts ungewöhnliches was ich erreichen will, oder?
underclocker2k4
Mr. Alzheimer
Im Zweifel garnicht, weil nicht alles auf dem Planeten TCP und/oder UDP spricht.
Aus diesem Grunde betreibt man in professionellen Umgebungen keine NAT-Instanz vor dem VPN-Server.
Der VPN-Server hat direkt im Internet zu hängen. Denn dafür ist der im Idealfall auch gemacht, dank Firewall. Im Idealfall ist es anders rum, es ist eine Firewall mit VPN-Aufsatz.
Zu 2.
Sowas gibt es alles, keine Thema. Was meinst du, wie große ITs ihre Internetzugänge betreiben? Sicherlich nicht mit ner Fritzbox und der inkludierten Blacklist, dass kann ich dir versprechen.
Sicherheit kostet Geld, so ist das im Großen und auch im Kleinen. (Aufwand=Geld)
konfetti
Urgestein
Zu 1. wie schon geschrieben, ist es ja nicht mit reinem TCP/UDP getan - die Fritte spuckt da ggf. rein - ansonsten musst Du halt im VPN-Client die Möglichkeit haben, dort die IP-Adresse zu ändern.
Den Port den dein VPN-Client nutzt, kannst Du ja ggf. anpassen.
Ich habe z.B. bei No-IP mehrere DYNDNS-Einträge für verschiedene Ziele laufen, das klappt ganz ohne Probleme und sehr gut, aber die Firewall steht eben als exposed Host mit der IP "direkt" am Netz.
Und das klappt bisher ohne mucken, auch für die Gameserver die in der DMZ der Firewall stehen - dafür hat man ja die Firewall, um keine "DMZ für Arme" mit 2 Routern zu basteln, sondern eben echte Netztrennung!
Zu 2. - entweder eben über die Listen, oder Du installierst Dir auf den Clients irgendeine Software, die am Ende auch nix anderes macht.
"Kinderschutz-Software" gibt es ja auch wie Sand am Meer...
Den Port den dein VPN-Client nutzt, kannst Du ja ggf. anpassen.
Ich habe z.B. bei No-IP mehrere DYNDNS-Einträge für verschiedene Ziele laufen, das klappt ganz ohne Probleme und sehr gut, aber die Firewall steht eben als exposed Host mit der IP "direkt" am Netz.
Und das klappt bisher ohne mucken, auch für die Gameserver die in der DMZ der Firewall stehen - dafür hat man ja die Firewall, um keine "DMZ für Arme" mit 2 Routern zu basteln, sondern eben echte Netztrennung!
Zu 2. - entweder eben über die Listen, oder Du installierst Dir auf den Clients irgendeine Software, die am Ende auch nix anderes macht.
"Kinderschutz-Software" gibt es ja auch wie Sand am Meer...
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Wieso ist es mit reinem TCP/IP nicht getan? Ich finde auch ihr redet gerade an meiner Frage vorbei. Ihr sagt "Das ist doof" aber nicht warum das jetzt doof ist. Und ihr ignoriert das es ja offenbar geht. Die Frage ist doch nur "wie". Ohne Exposed Host. VPN Server steht hinter/auf/neben der OPNSense und bietet service mit Protokoll A auf Port B an. Nun muss es doch möglich sein das durch die Fritzbox nach außen zu geben. Ohne dafür gleich komplett auf das NAT der Fritze zu verzichten. Es ist ja schön und gut das das als Gefrickel abgetan wird, aber weder sagt ihr mir genau WAS da als Gefrickel abgetan wird noch warum. Da wäre doch ein bischen mehr Futter ganz geil.
konfetti
Urgestein
Ich hab auch kein Bridge-Mode, weil eben die Analogen Telefone dran hängen, aber der einzige Client der Fritzbox ist mein Exposed Host -> die pfSense.
Wenn ich die Tage den neuen Server in Betrieb nehmen, schau ich mir aber durchaus die OPNsense auch mal an - am Ende sind meine Anforderungen relativ gering - 5 Netze brauch ich und bissl Regelwerk und Blocker
DMZ - Gameserver die quasi immer laufen (LS19, TMN, TM2 Canyon, TS3, Conan, Wreckfest)
LAN/LAB - Testumgebung und die Systeme im Netz, welches wir auf unseren LANs hatten - macht die Vorbereitung und Updates einfacher
Guest - Gästenetz, Hauptsächlich WLAN <- Sollte mal ein Freifunk werden um unser Mobilfunkloch etwas abzudecken, muss ich ggf. mit 2 neuen APs am Dach mal in Angriff nehmen...
Home - Ja, alle unsere Geräte
IoT - wie der Name sagt, Hausautomation
Die Fritte gibt bei einer Portweiterleitung ja nur von Außen nach Innen den ankommenden Traffic weiter - rausgehend sowieso erstmal alles.
Wir hatten (damals noch mit dem Telekomrouter, der ja keine exposed Host kann) Probleme mit den VPN-Verbindungen auf die Firewall, selbst wenn der TCP und UDP-Port richtig an den Host freigegeben war - das war einfach kein Spaß - Manche OpenVPN-clients haben eine Verbindung aufbauen können, andere nicht - manche auch nur, wenn ich von der Firewall aus vorher deren öffentliche IP angepingt habe.
Wo da die Ursache lag, ob im Telekomrouter ode sonst wo, keine Ahnung.
seit die Firewall als Exposed host hinter der Fritzbox hängt, hatte ich keine Probleme mehr mit dem OpenVPN-client (und auch sonst niemand, der zu mir heim VPN machen wollte)
Wenn es bei Dir geht, dann mach es doch so -> Portfreigabe von Außen auf Deine VPN-Endpunkt (Firewall=?) und gut - Wenn Du kein DYNDNS nutzt, musst Du halt im VPN-client immer die aktuelle IP deines Anschlußes wissen.
--
Hoffe das hilft Dir weiter.
Wenn ich die Tage den neuen Server in Betrieb nehmen, schau ich mir aber durchaus die OPNsense auch mal an - am Ende sind meine Anforderungen relativ gering - 5 Netze brauch ich und bissl Regelwerk und Blocker
DMZ - Gameserver die quasi immer laufen (LS19, TMN, TM2 Canyon, TS3, Conan, Wreckfest)
LAN/LAB - Testumgebung und die Systeme im Netz, welches wir auf unseren LANs hatten - macht die Vorbereitung und Updates einfacher
Guest - Gästenetz, Hauptsächlich WLAN <- Sollte mal ein Freifunk werden um unser Mobilfunkloch etwas abzudecken, muss ich ggf. mit 2 neuen APs am Dach mal in Angriff nehmen...
Home - Ja, alle unsere Geräte
IoT - wie der Name sagt, Hausautomation
Beitrag automatisch zusammengeführt:
Die Fritte gibt bei einer Portweiterleitung ja nur von Außen nach Innen den ankommenden Traffic weiter - rausgehend sowieso erstmal alles.
Wir hatten (damals noch mit dem Telekomrouter, der ja keine exposed Host kann) Probleme mit den VPN-Verbindungen auf die Firewall, selbst wenn der TCP und UDP-Port richtig an den Host freigegeben war - das war einfach kein Spaß - Manche OpenVPN-clients haben eine Verbindung aufbauen können, andere nicht - manche auch nur, wenn ich von der Firewall aus vorher deren öffentliche IP angepingt habe.
Wo da die Ursache lag, ob im Telekomrouter ode sonst wo, keine Ahnung.
seit die Firewall als Exposed host hinter der Fritzbox hängt, hatte ich keine Probleme mehr mit dem OpenVPN-client (und auch sonst niemand, der zu mir heim VPN machen wollte)
Wenn es bei Dir geht, dann mach es doch so -> Portfreigabe von Außen auf Deine VPN-Endpunkt (Firewall=?) und gut - Wenn Du kein DYNDNS nutzt, musst Du halt im VPN-client immer die aktuelle IP deines Anschlußes wissen.
--
Hoffe das hilft Dir weiter.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Das Internet funktioniert so nicht.
Punkt.
Um dich von *IRGENDWO* auf der Welt in DEIN Netz einzuwählen, muss dein VPN-Client erst mal deine aktuelle IP-Adresse der Fritzbox kennen.
Da diese bei 99% der Endnutzer eben *nicht* statisch, sondern jede Nacht gg. 0300 neu verwürfelt wird, kannst du genau 24 h lang dein VPN nutzen, ohne nach Hause zu schluffen und nachzugucken, wie deine neue IP ist. -.-
Genau DAS macht ein DynDNS automagisch.
Er gibt die die Möglichkeit, dein Heimnetz nicht nur unter der IP sondern (wichtig) unter einem DNS-Namen zu erreichen.
Dem DNS-Namen ist die IP erst mal egal, diese wird nämlich über den DynDNS-Client, der in deiner Fritze schon drin ist, aktualisiert, sobald die Fritze ne neue externe IP bekommt.
Das ist zunächst mal dein Grundproblem um von außen in dein Netz nach Hause zu kommen.
Deshalb nutzen ca. 80% der Nutzer, die sowas nutzen, einen DynDNS-Service.
Der Rest gibt eben 5 € im Monat für ne feste IP und eine geringe Summe im Jahr (bei mir 13 €) für ne feste Domain aus.
Damit spart man sich das ganze Geraffel schonmal.
(Haha, sparen.
)Dein zweites Problem (Traffic zu verbieten und nur bestimmten Traffic aufgrund von Layer 4(!) zu erlauben) ist auch so ein besonderes, den 99,8% aller Enduser nicht machen (können).
Ne Fritze kann sowas garnicht.
Hier kommst du nur mit Enterprise-Soft- und / oder Hardware weiter.
Weil DPI nicht umsonst daten- und verbraucherschutztechnisch bedenklich ist.
Eine normale Firewall arbeitet im allgemeinen auf dem IP-Protokoll und kennt den ganzen Kram dahinter (URLs usw.) überhaupt nicht.
Die FW schaut nur in den IP-Header deines Datenpakets und entscheidet einzig anhand der IP-Adresse, wo das Paket hin wandert.
Was du willst, ist ein L4-Firewalling, wozu es nötig ist, TCP-Sequenzen zu tracken, das ist ne ganz andere Hausnummer.
Blöd wirds dann, wenn das Paket bereits TLS-verschlüsselt (HTTPS lässt grüßen) ist, dann siehst du darin nämlich garnichts außer dem IP-Header im Klartext mehr, deshalb muss die Firewall die Verschlüsselung brechen, um überhaupt an den den URL zu kommen.
Wie du siehst, je höher im OSI-Layer du firewallen willst, desto größer werden deine Probleme.
War das jetzt genug (frei verfügbare) Information?
//Edith:
Den (falschen) Layer-Quatsch mal geändert, ich Doof.
//Edith2:
Und natürlich geht dein VPN-Gerät auch ohne exposed host, der Port fürs VPN ist durch dich ja frei konfigurierbar.
Daran hat sich doch auch keiner gestoßen.
Es ist nur eben doppelter Aufwand für die Absicherung.
Nem Angreifer ist es egal, ob er auf Port 1194 oder 65534 ein VPN angreift.
Deine Fritze leitet den Angriff nur auf das entsprechende Gerät weiter, womit dein "doppelter" Schutz nur noch ein einfacher ist, da du selbst ja ein zusätzliches Loch in die Fritz-FW gebohrt hast.
Beitrag automatisch zusammengeführt:
Um Problem 2 anders zu umschreiben:
Alle Welt macht das mit DNS- / IP-Blocklisten, nicht über den URL.
In deinem Fall musst du die Blacklist eben in eine Whitelist umwandeln.
Die Fritze kanns ned, dafür brauchst du einen DNS-Service in deinem Netz.
Das geht
a) direkt in der OPNsense (Adguard Home Plugin) oder
b) mittels Raspi und Dietpi und Pihole / Adguard Home.
c) Software-Quatsch, den Kiddies mit 3 Klicks überbrücken
Natürlich musst du den DNS-Server bei a) und b) dann auch über DHCP an dein Netz verteilen.
Zuletzt bearbeitet:
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ich weiß was DynDNS macht, danke - nochmals: Das Thema mit der externen IP ist KEIN Thema - ich weiß wie ich meine aktuelle IP auf mein Telefon kriege, ich überwache die eh schon.
Es geht mir dabei nur um "Wie komme ich von meiner Fritzbox (IP bekannt! (man beachte das Ausrufezeichen)) weiter zu meinem VPN-Server dahinter. Der möglicherweise auf einer OPNsense läuft.
Aber für deinen (euren) Seelenfrieden: Stellt euch einfach von ich hätte eine feste IP. ICH BRAUCHE KEIN DYNDNS FFS.
Was das zweite Problem angeht bin ich (leider) weiter. Da muss ein Proxy her. Doof.
Es geht mir dabei nur um "Wie komme ich von meiner Fritzbox (IP bekannt! (man beachte das Ausrufezeichen)) weiter zu meinem VPN-Server dahinter. Der möglicherweise auf einer OPNsense läuft.
Aber für deinen (euren) Seelenfrieden: Stellt euch einfach von ich hätte eine feste IP. ICH BRAUCHE KEIN DYNDNS FFS.
Was das zweite Problem angeht bin ich (leider) weiter. Da muss ein Proxy her. Doof.
underclocker2k4
Mr. Alzheimer
Ich wiederhole mich. Im Zweifel garnicht! (man beachte das Ausrufezeichen)
Es gibt Protokolle, die eine Fritzbox per Portweiterleitung NICHT weiterleiten kann. Warum das so ist?
Die Welt besteht nicht nur aus TCP und UDP. Aber die FB kann nur TCP und UDP weiterleiten. Alle anderen Protokolle werden von der FB direkt weiterverarbeitet. Willst du nicht? Tja, dein Problem! (man beachte das Ausrufezeichen)
Das ist also sehr einfach.
Wenn du etwas an dem Text nicht verstehst, dann zitiere bitte die Stelle, dann können wir da ansetzen.
PS:
Ich würde lieber Pakete, die man nicht möchte an ein OPNsense weiterleiten, als dass sich die FB damit beschäftigen muss.
Denn, wer sagt dir denn, dass die FB nicht irgendwelche Backdoors und Bugs hat, die man ausnutzen kann?
So werden alle Pakete, die für Backdoors bestimmt sind, an die OPNsense weitergeleitet. Und da die ja auf aktuellem Stand ist, geht die damit sicherlich besser um als es die FB könnte. Aber das ist nur meine Meinung...
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
OpenVPN braucht doch aber nur TCP/IP bzw. UDP. Wireguard kommt komplett mit UDP aus. Ich kann doch "ohne Probleme" einen OpenVPN-Server hinter einer Fritzbox betreiben, ohne Exposed Host - richtig? Also, warum sollte dann der weitere Schritt zur OPNsense nicht möglich sein?
konfetti
Urgestein
Wie schon geschrieben - gib halt dann die entsprechenden Ports an der FB frei auf die Adresse, auf der dahinter das VPN-Gateway antwortet.
Wenn das nicht funktioniert, probier die Einstellung Exposed Host.
Ich versteh gerade nicht, wo das Problem ist. - vorher sagtest Du noch "es geht ja" jetzt sagst Du "es geht nicht" ???
Wenn das nicht funktioniert, probier die Einstellung Exposed Host.
Ich versteh gerade nicht, wo das Problem ist. - vorher sagtest Du noch "es geht ja" jetzt sagst Du "es geht nicht" ???
underclocker2k4
Mr. Alzheimer
OpenVPN != VPN.
OPNsense != OpenVPN.
OpenVPN ist/verwendet nur "ein" Protokoll für VPN, von vielen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Er möchte zusätzlich zur OPNsense ein VPN-Gateway im Netz der Fritzbox betreiben.
Wie beschrieben, ganz einfach: Nichtstandard-VPN-Port nutzen und in der Fritzbox ne Portweiterleitung machen.
Problem:
Wenn dir (@Shihatsu) die OPNsense abraucht (die macht sicher auch DHCP, oder?) bekommst du nach Ablauf von 0,5*leasetime keinen Zugriff mehr auf die Geräte, weil die sich eine Minute später fein säuberlich alle ne APIPA-Adresse (169....) vergeben.
Damit hast du aber auch keine DNS-Auflösung und kein Standard-GW mehr für die Geräte, weil die ganzen Infos weg sind.
Du kannst unter Windows eventuell ne alternative IP vergeben, mit dem ganzen Kladderadatsch, aber ob das automatisch umschaltet, wenn das Gateway verschwindet?
iLO kann das glaube garnicht.
Saubere Lösung mit OPNsense wäre tatsächlich ne Umschaltung auf ne zweite mittels HA.
Wie beschrieben, ganz einfach: Nichtstandard-VPN-Port nutzen und in der Fritzbox ne Portweiterleitung machen.
Problem:
Wenn dir (@Shihatsu) die OPNsense abraucht (die macht sicher auch DHCP, oder?) bekommst du nach Ablauf von 0,5*leasetime keinen Zugriff mehr auf die Geräte, weil die sich eine Minute später fein säuberlich alle ne APIPA-Adresse (169....) vergeben.
Damit hast du aber auch keine DNS-Auflösung und kein Standard-GW mehr für die Geräte, weil die ganzen Infos weg sind.
Du kannst unter Windows eventuell ne alternative IP vergeben, mit dem ganzen Kladderadatsch, aber ob das automatisch umschaltet, wenn das Gateway verschwindet?
iLO kann das glaube garnicht.
Saubere Lösung mit OPNsense wäre tatsächlich ne Umschaltung auf ne zweite mittels HA.
underclocker2k4
Mr. Alzheimer
Das mit dem Host im Transfernetz war nen anderer Kollege.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Ups.
Wenns einfach nur um nen VPN-Server geht, nehm die Plugins von OPNsense (OpenVPN oder Wireguard) und gut ist.
Dann einfach die Ports (OVPN: 1194, WG: 51820) in der Fritze für die OPNsense freischalten und gut.
In der OPNsense machst du dasselbe nochmal (wobei die Plugins das glaube ich gleich mit erledigen).
//Edith:
Ich nutz ja Wireguard auf der OPNsense.
Wenn man die Fallstricke mal raus hat geht das super flott.
Die Aktivierung auf dem Client (Handy) geht innerhalb einer Sekunde.
Wenns einfach nur um nen VPN-Server geht, nehm die Plugins von OPNsense (OpenVPN oder Wireguard) und gut ist.
Dann einfach die Ports (OVPN: 1194, WG: 51820) in der Fritze für die OPNsense freischalten und gut.
In der OPNsense machst du dasselbe nochmal (wobei die Plugins das glaube ich gleich mit erledigen).
//Edith:
Ich nutz ja Wireguard auf der OPNsense.
Wenn man die Fallstricke mal raus hat geht das super flott.
Die Aktivierung auf dem Client (Handy) geht innerhalb einer Sekunde.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Meine beiden OPNsenses laufen im HA-Modus, als nächstes kriegen sie noch eine USV. Das ist schon relativ gut von der Asufallsicherheit her. Klar geht immer mehr, aber noch mehr wird sehr unwarscheinlich und sehr teuer.
Ich will doch nur wissen wie man das genau macht die Fritzbox nicht um ihr NAT zu bringen aber eben ein beliebiges VPN durch dieses NAT zur OPNSense (oder eben einen VPN-Server "daneben" oder "dahinter") zu bringen - das kann doch garnicht so schwer sein? Stattdessen wird auf Protokollen rumgeritten die ich nicht brauche (klar, ich hab nicht OpenVPN gesagt, aber ich hab auch nicht IPsec gesagt), weshalb das ganze ja nicht ginge, und mir wird gesagt ich MUSS DynDNS machen (was einfach quatsch ist). Irgendwie ist das hier gerade ziemlich enttäuschend...
Edit: Gepostet und danach den letzten Post gesehen - ist das die Lösung? Wenn ja: DANKE DANKE! (Würde andere Ports nehmen, aber das lässt sich ja ändern - default ports versuch ich zu vermeiden).
Ich will doch nur wissen wie man das genau macht die Fritzbox nicht um ihr NAT zu bringen aber eben ein beliebiges VPN durch dieses NAT zur OPNSense (oder eben einen VPN-Server "daneben" oder "dahinter") zu bringen - das kann doch garnicht so schwer sein? Stattdessen wird auf Protokollen rumgeritten die ich nicht brauche (klar, ich hab nicht OpenVPN gesagt, aber ich hab auch nicht IPsec gesagt), weshalb das ganze ja nicht ginge, und mir wird gesagt ich MUSS DynDNS machen (was einfach quatsch ist). Irgendwie ist das hier gerade ziemlich enttäuschend...
Edit: Gepostet und danach den letzten Post gesehen - ist das die Lösung? Wenn ja: DANKE DANKE! (Würde andere Ports nehmen, aber das lässt sich ja ändern - default ports versuch ich zu vermeiden).
FritzBox -> Opnsense - > VPN -> Client
1. FritzBox benötigt eine DynDNS Account um sich zu registrieren (einfacher, weil DNS Name - sonst Öffentliche IP)
2. FritzBox Portfreigabe erstellen mit TCP/UDP Port vom VPN Server an die Firewall/VPN weiterleiten.
3. FritzBox Routing Netze bekannt geben, die hinter der Firewall verwendet werden (auch VPN Netz)
4. Firewall Nat deaktivieren
5. Firewall WAN Portfreigabe für den VPN öffnen
6. Firewall Regeln für den zugriff von VPN Client auf die Netze erstellen
7.VPN sollte konfiguriert sein
Telefon = Smartphone?
Telefon = IP Telefonie?
Dann hast du zugriff mit dem VPN Client.
Ich verstehe es noch nicht ganz.
"Meine OPNsense ist hinter einer Fritzbox, diese ist dabei Router für ein 192er Netz das als WAN in die OPNsense geht"
Meinst du jetzt, dass die Opnsense ein WAN Interface hat mit dem FritzBox 192er Netz?
Anders würde es auch nicht gehen.....
underclocker2k4
Mr. Alzheimer
Und genau darum geht es. Du hast Grundsätze des OSI-Modells und dessen Handhabung nicht verstanden.
Du kannst mit einer FB nur TCP und UDP Pakete weiterleiten und damit alle darauf aufbauenden Protokolle. Hast du ein aufbauendes Protokoll, was kein TCP und/oder UDP benutzt, war es dass mit der Weiterleitung, weil das andere Protokolle nicht weitergeleitet werden kann.
Von daher brauchst du die Protokolle sehr wohl, aber vor allem das Verständnis darüber und deren Einordnung im OSI-Modell.
EDIT: Von daher kann man eben nicht jedes beliebige VPN-Protokoll durch ein (FB)-NAT schieben. Man kann auch nicht jedes beliebige TCP/UDP-VPN-Protokoll durch ein NAT schicken, denn es gibt auch noch sowas wie dynamische Ports, viel Spaß dabei.
Man kann daher jedes beliebige TCP/UDP-VPN-Protokoll mit statischen (inbound) Ports durch ein NAT schieben. Das ist aber ein kleiner aber feiner Unterschied zu dem, was du glaubst, was alles so einfach mit einem NAT gehen müsste.
Eine aktuelle Fritzbox kann IPSec (und PPTP) sehr wohl weiterleiten. Dann fehlt dir für einen funktionierenden Tunnel nur noch 500/udp fürs IKE. OpenVPN und WG gehen ja ohnehin über tcp/udp. Im Normalfall ist dafür also nix notwendig, musst dann halt in der OPNSense dahinter aber weiterleiten oder den Tunnel dorthin terminieren.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ääää okay, verrat mir doch noch mehr was ich nicht verstanden habe.... und versuch mir noch mehr DynDNS "beizubringen". Aber weißt du was? Ich werds nicht mehr lesen, danke.
Hipiman, ich antworte dir nachher nochmal ausführlich, aber an lle schonmal Dankööö
Ich betreibe auch ein Roadwarrior Setup und eine feste Aussenstelle über wireguard von auf der Opnsense hinter einer FB.
Aber die Diskussion scheint mir hier zu heiss 🥵
Aber die Diskussion scheint mir hier zu heiss 🥵
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 850
@Shihatsu
Ich konnte dir jetzt leider noch nicht ganz folgen, wo genau die mit VPN hinwillst?
WAN - FB - FB_LAN - OPNsense - LAN
Willst du im FB_LAN rauskommen? Wenn ja warum? Ggfs dann den internen VPN der Fritzbox nutzen?
Oder willst du im LAN ankommen? Dann machst du einen OpenVPN oder Wireguard VPN Server auf der OPNsense und gibst die entsprechenden Ports auf der FB frei in Richtung IP der OPNsense.
Ich konnte dir jetzt leider noch nicht ganz folgen, wo genau die mit VPN hinwillst?
WAN - FB - FB_LAN - OPNsense - LAN
Willst du im FB_LAN rauskommen? Wenn ja warum? Ggfs dann den internen VPN der Fritzbox nutzen?
Oder willst du im LAN ankommen? Dann machst du einen OpenVPN oder Wireguard VPN Server auf der OPNsense und gibst die entsprechenden Ports auf der FB frei in Richtung IP der OPNsense.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Wenn du mal heiße Diskussionen erleben willst, diskutier mal über den Nutzen der Arti im WoT-Forum.
Hier gings doch bisher recht sachlich zu, Problem hier waren wohl zwei verschiedene Poster und ein zusammengewürfeltes Problem. =)
Hat sich doch zum Glück aufgeklärt und ihnen wurde geholfen.
Ich hab ja schon so manche Diskussion geführt und auch abgebrochen. Aber mir fällt halt regelmäßig auf, das das Netze-Diskutieren ohne Grafische Hilfsmittel oft in Foren eskaliert. Und ehrlich gesagt hatte ich gestern Abend nach der Arbeit auch keine Bock mich sachlich einzuklinken.
Ob es sich aufgeklärt hat bleibt übrigens noch zu erwarten. Ich glaube das noch nicht (zumindest bleibt mein Palantír dunkel). Der Fragesteller hat angegeben Ahnung von IPSec, Wireguard, Protokollen u.s.w. zu haben und letztendlich soll es dann ein NAT+Portforwarding auf der Fritzbox gewesen sein, was er wissen musste um einen VPN Tunnel zu erstellen? Das war bestimmt noch nicht der Kern des Problems.
Ich muss allerdings zugeben - das ich dann die Frage auch immer noch nicht verstanden habe.
Ob es sich aufgeklärt hat bleibt übrigens noch zu erwarten. Ich glaube das noch nicht (zumindest bleibt mein Palantír dunkel). Der Fragesteller hat angegeben Ahnung von IPSec, Wireguard, Protokollen u.s.w. zu haben und letztendlich soll es dann ein NAT+Portforwarding auf der Fritzbox gewesen sein, was er wissen musste um einen VPN Tunnel zu erstellen? Das war bestimmt noch nicht der Kern des Problems.
Ich muss allerdings zugeben - das ich dann die Frage auch immer noch nicht verstanden habe.
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Ich habe was angegeben? Genau wegen sowas find ich die Diskussion hier so... unfreuundlich und enttäuschend. Hier werden ständig irgendwelche dinge angenommen oder gar unterstellt. Und es wird einem zu Fragen geantwortet die man garnicht gestellt hat. Und dannw ird man als dumm dargestellt. ziemlich albern.
Was ich habe: Fritzbox mit einem Netz. "Dahinter", in diesem Netz. hängen 2 WAN Ports 2er OPNsenses. Dahinter habe ich dann restliches Netzgeraffel. Das klappt wunderbar. Setup bis hier hin klar?
So, Anforderung: An diesem Setup will ich so wenig wie möglich ändern, aber ich möchte mein Mobilfunkgerät ("Telefon") in dieses Netzwerk hineinbekommen, damit ich auch von unterwegs auf diese Services zugreifen kann. Wie soetwas theoretisch gehen kann - nicht muss - ist mir klar und ich hatte es weiter oben ja skizziert: Service klopft an externe IP X an, mttels Protokoll Y und port Z, und diese werden von Fritzbox weitergeleitet. Genau was dafür zu tun ist und was das bedeutet wollte ich wissen. In der Hoffnung das es dafür einfache Antworten gäbe - was genau einer auch hingekriegt hat. Diese Lösung werde ich die nächsten Tage austesten, danke nochmals dafür! Mir ist übrigens im ersten Schritt egal auf welchem Server der VPN-Service bereit gestellt wird - auf der OPNsense, auf einem anderen Server, in einem anderen Netz, gar "vor" der OPNsense (quasi DMZ-like) - was würdet ihr da empfehlen?
Ich konnte mir nicht vorstellen das das so kompliziert und ungewöhnlich ist (und ich bei Suche nur auf exposed host Antworten stieß) und dachte ich ich frag mal nach - kann ja keiner ahnen das die Bewohner hier teilweise so daneben liegen. Wie gesagt: Enttäuschend. Danke trotzdem an alle die es versucht haben, inkl. derer deren Antworten mir nicht helfen oder schmecken - nur weil es mich enttäuscht habt ihr ja nichts falsch gemacht. Aber Elitarismus und daran erinnerndes Verhalten ist halt albern. Danke!
Was ich habe: Fritzbox mit einem Netz. "Dahinter", in diesem Netz. hängen 2 WAN Ports 2er OPNsenses. Dahinter habe ich dann restliches Netzgeraffel. Das klappt wunderbar. Setup bis hier hin klar?
So, Anforderung: An diesem Setup will ich so wenig wie möglich ändern, aber ich möchte mein Mobilfunkgerät ("Telefon") in dieses Netzwerk hineinbekommen, damit ich auch von unterwegs auf diese Services zugreifen kann. Wie soetwas theoretisch gehen kann - nicht muss - ist mir klar und ich hatte es weiter oben ja skizziert: Service klopft an externe IP X an, mttels Protokoll Y und port Z, und diese werden von Fritzbox weitergeleitet. Genau was dafür zu tun ist und was das bedeutet wollte ich wissen. In der Hoffnung das es dafür einfache Antworten gäbe - was genau einer auch hingekriegt hat. Diese Lösung werde ich die nächsten Tage austesten, danke nochmals dafür! Mir ist übrigens im ersten Schritt egal auf welchem Server der VPN-Service bereit gestellt wird - auf der OPNsense, auf einem anderen Server, in einem anderen Netz, gar "vor" der OPNsense (quasi DMZ-like) - was würdet ihr da empfehlen?
Ich konnte mir nicht vorstellen das das so kompliziert und ungewöhnlich ist (und ich bei Suche nur auf exposed host Antworten stieß) und dachte ich ich frag mal nach - kann ja keiner ahnen das die Bewohner hier teilweise so daneben liegen. Wie gesagt: Enttäuschend. Danke trotzdem an alle die es versucht haben, inkl. derer deren Antworten mir nicht helfen oder schmecken - nur weil es mich enttäuscht habt ihr ja nichts falsch gemacht. Aber Elitarismus und daran erinnerndes Verhalten ist halt albern. Danke!
konfetti
Urgestein
Ich zitier mich mal selber... -> Probieren ist der einzige Weg, wenn Du nicht dem Best Practise folgst.
DU musst doch erst einmal definieren, WO willst Du von Mobil aus zugreifen, also was ist der VPN Endpunkt!
Unsere Empfehlung mit Exposed Host und damit VPN-Endpunkt ist die OPNsense wird ja strickt abgelehnt.
Wenn Dein VPN-client auf dem Mobilen Endgerät (Handy) den VPN-Endpunt in der Fritzbox hat (gelber Pfeil) muss die Fritzbox das auch können - wie und ob man dann hinter die beidern Firewalls kommt, musst Du im Regelwerk der Firewalls klären.
Wenn Als Endpunkt eine der beiden FWs genommen werden soll (rot oder grün) dann muss die entsprechende Konfiguration in der Firewall hinterlegt sein, und die benötigten Ports an der Fritzbox so eingestellt sein, das diese eben zur Endsprechenden Firewall zeigen -> Du kannst aber jeden Port nur einmal und damit auch nur für eine Firewall verwenden!
Alternativ macht man das eben über einen Exposed Host. spart sich die ganze Frickelei mit Ports in der FB freigeben und lässt die Firewall das ganze selbst machen.
Zuletzt bearbeitet:
....
Ich war in meinem Post weder unfreundlich, noch habe ich Dich als dumm dargestellt. Ob wir uns eltitär Verhalten, darüber mag man streiten.
Ich wollte mit meinem Post jedenfalls zum Ausdruck bringen, das ich mir nicht vorstellen konnte, dass sich jemand mit einer OPNSense oder verschiedenen (m.E. nicht trivialen) VPN-Lösungen beschäftigt, aber nicht weiß wie man ein Portforwarding auf einer Fritzbox einrichtet. Egal für welchen Service.
Jetzt kann ich es mir vorstellen. Danke - Diskussion beendet.
Zurück zum Thema:
Wer fährt denn Telegraf (oder anderes) auf seiner opnsense zu Hause und was macht ihr mit den Daten? Grafana?
Gibts denn sonst noch Alternativen, außer das in eine TSDB zu schieben ?
underclocker2k4
Mr. Alzheimer
Es einfach komplett zu ignorieren? Oder verstopft das die Firewall, wenn man die Daten nicht "abholt"?
Gibt dann noch ein paar anderen L3 Redundanzen.
(siehe auch den HA-Modus oben)
Beitrag automatisch zusammengeführt:
Das stimmt so nicht. Nicht umsonst gibt es L3 Redundanz. Die billigste Möglichkeit wäre VRRP. Und damit wird immer die Firewall angesprochen, die gerade primary ist.
Gibt dann noch ein paar anderen L3 Redundanzen.
(siehe auch den HA-Modus oben)
Pumpe ich in InfluxDB und das Graphing mache ich mit Grafana. Das Dashboard ist eigentlich für Linux Hosts ausgelegt, funktioniert aber auch relativ gut mit OPNSense.
konfetti
Urgestein
Klar, im HA-Modus klären aber die FWs wer gerade aktive ist und nicht die Fritzbox.
Abgesehn davon, war das ja auf mein Bild bezogen, in dem eben die 2 FWs unterschiedliche Netze dahinter bedienen (warum auch immer man das @ home machen wollen würde)