servusli1
Goto Top

Opnsense Firewall-Rules OpenVPN

Hallo allerseits

Bitte seit etwas nachsichtig und teert und federt nicht gleich. face-smile

Ich habe zu Hause folgenden Konfiguration:

1. Zyxel XMG3927-B50A (VDSL, g.fast) >
2. Sophos XG105 Rev.2 (opnsense 23.1.4) >
3. Ubiquiti Netzwerklandschaft, Cloud Key G2+ als UniFi-Controller
Es sind noch zwei PiHole im Betrieb, aber diese tanghieren meine Fragestellung in keinsterweise...

Zu der opnsense habe ich eine funktionierende VPN-Verbindung als redirect Gateway eingerichtet. Einziges Manko an der ganzen Geschichte ist die eine Firewall-Rules welche auf any, any, any ist. Mit dieser Einstellung bin ich nicht glücklich und suche seither vergebens nach einer sicheren Lösung. Wenn ich diese Regel deaktiviere, funktioniert zwar der komplette Zugang auf mein internes Netzwerk, aber ich komme nicht mehr ins Internet.

Für OpenVPN habe ich das Interface "OpenVPNSRV" erstellt und auf enable gestellt.
Unter Firewall > Rules > WAN habe ich folgende Regel erstellt:
Protocol: IPv4 UDP
Source: any
Port: any
Destination: This Firewall
Port: 61195
Gateway: default

Unter Firewall > Rules > OpenVPNSRV habe ich folgende Regel erstellt damit ich ins Internet komme:
Protocol: IPv4 any
Source: any
Port: any
Destination: any
Port: any
Gateway: default

Mit dieser Regel ist die Firewall auf Interface OpenVPNSRV offen wie ein Scheunentor.
Eine passende Lösung zu meinem Problem habe ich bisher bei meiner Recherche nicht gefunden.
Welche Ports muss ich auf dem OpenVPNSRV-Interface freigeben damit die Internetverbindung auch über VPN funktioniert und die Firewall nicht komplett offen ist?

Content-ID: 6474425299

Url: https://administrator.de/contentid/6474425299

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

aqui
aqui 23.03.2023 aktualisiert um 10:39:05 Uhr
Goto Top
die eine Firewall-Rules welche auf any, any, any ist.
Du meinst aber nur die Regel auf dem internen Tunnelinterface, oder ?
Eine passende Lösung zu meinem Problem habe ich bisher bei meiner Recherche nicht gefunden.
Warum nicht? Du könntest doch ganz einfach über das Diagnostics Menü und "Paket Capture" dir einmal den Traffic am internen Tunnelinterface ansehen. Dann wüsstest du doch sehr genau was darüber geht an Ports und IP Adressen und kannst dein Regelwerk am internen Tunnelinterface entsprechend sicherer customizen.
Es ist eigentlich ganz einfach, denn es dreht sich ja rein nur um deinen internen Tunneltraffic. Leider machst du in deinem Thread keinerlei hilfreiche Angaben welche interne VPN Adressierung du nutzt und welchen internen Traffic du am Tunnelinterface strikter reglemetieren möchtest. (Ports etc.)
In sofern ist es jetzt schwer bis unmöglich dir eine zielführende Hilfe zu geben ohne weitere Infos zu der Thematik.

Mal eine ganz andere Frage nebenbei:
Warum hast du dir gerade mit OpenVPN das aus Performance Sicht mieseste und wenig skalierende VPN Protokoll für eine VPN Anbindung ausgesucht? Es erzwingt zudem immer die überflüssige Nutzung einer externen VPN Client Software die das VPN Management unnötig erschwert und kompliziert macht.
Die OPNsense supportet VPNs die mit allen onboard VPN Clients nutzbar ist die jedes Betriebssystem und Smartphone immer mit dabei haben ohne überflüssige Zusatzsoftware und Frickelei. Gerade im Hinblick auf den Fakt das du es mit IKEv2 ja auch erfolgreich zum Fliegen gebracht hast?!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Und wenn du dennoch meinst es müsste unbedingt überflüssige VPN Clientsoftware sein dann wäre doch das moderne Wireguard die deutlich bessere Wahl gewesen?!
servusli1
servusli1 23.03.2023 um 10:57:30 Uhr
Goto Top
@aqui
Ich habe es mit IPsec nicht auf die Reihe gebracht, den VPN als redirect Gateway zu konfigurieren. Das einzige was bei funktionierte, war ein Split-Tunnel.

Ich habe deine super Turtorials rauf und runter abgearbeitet und kam nicht auf einen grünen Zweig 🙈

Im Endeffekt benötige VPN nur um aus der Ferne zu schauen wenn meine Frau irgendwelche Netzwerkprobleme meldet. I.d.R. kann ich solche Problemchen aus der Ferne beheben.

Aber ich werde mich wohl noch einmal mit IPsec auseinander setzen.

Aktuell habe ich eine any, any, any Regel auf den OpenVPNSRV-Interface.
aqui
aqui 23.03.2023, aktualisiert am 26.03.2023 um 13:19:28 Uhr
Goto Top
Ich habe es mit IPsec nicht auf die Reihe gebracht, den VPN als redirect Gateway zu konfigurieren.
999 Tutorial Leser schaffen das... face-wink
Zu beachten ist dafür natürlich der wichtige Tutorial Hinweis im P2 Setup:
⚠️ Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf network, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein!

Der Rest ist kinderleicht erledigt mit einem simplen Klick im Windows onboard VPN Client indem man dort das Default Gateway auf den VPN Tunnel legt! Rechtsklick auf den VPN Adapter, Protokoll, Eigenschaften, Remote Standardgateway...Fertisch.
winvpnredir
Warum man an so einem banalen Mausklick scheitert weisst wohl nur du selber?!
Die Apple und Android IKEv2 onboard VPN Clients machen das im Default.
Aber ich werde mich wohl noch einmal mit IPsec auseinander setzen.
Besser ist das! face-wink
servusli1
servusli1 23.03.2023 um 12:22:46 Uhr
Goto Top
Warum man an so einem banalen Mausklick scheitert weisst wohl nur du selber?!
Die Apple und Android IKEv2 onboard VPN Clients machen das im Default.

Bei funktionierte es mit dem iPhone bzw. iPad oder MacBook nicht, dass alle Daten durch den Tunnel gehen.
Wenn ich nach "meine IP" googlete wurde immer eine öffentliche IP angezeigt, nicht aber diese vom Internetanbieter zu Hause.

Wenn ich jetzt mit OpenVPN meine IP anzeigen lasse, erscheint die IP von zu Hause.
aqui
aqui 23.03.2023, aktualisiert am 26.03.2023 um 13:15:03 Uhr
Goto Top
Lässt sich hier auf einem aktuellen MacOS und iOS nicht nachvollziehen und funktioniert out of the Box bei Apple. (Siehe u.a. auch hier)

Wie oben bereits gesagt ist natürlich wichtig das P2 Setting im Tutorial für diesen Fall zu beachten:
⚠️ Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf network, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein!

Zumal du in den aktuellen Versionen (Ventura usw.) auch gar keinen Redirect Button im IKEv2 VPN Client Setup des Apple Endgerätes mehr hast wie unter Windows oben. Es geht ja per Default alles in den Tunnel.
MacOS Versionen davor hatten unter Systemeinstellungen -> Netzwerk -> VPN Verbindung -> Advanced -> Options dort noch einen Haken zum Setzen Allen Traffic über VPN Verbindung senden. Hier konnte man wie bei Winblows einstellen ob Redirect oder Split Tunneling.
Ein netstart -rn im Terminal zeigt dir das dann auch immer das bei aktivem VPN das Default Gateway bei Apple sofort auf den VPN Tunnel wechselt!!

Wenn du das unbedingt customizen willst nimmst du halt L2TP. Ist ja auch bei allen onboard und der Apple Client hat dafür auch immer noch einen Schalter auf allen Plattformen!! face-wink
l2tpgw
Da du aber ja so oder so alles in den Tunnel senden willst ist das Default Verhalten. Es sei denn deine MacOS Version ist so alst das du den Schalter in den Optionen noch hast bei IKEv2?!
servusli1
servusli1 25.03.2023 um 09:23:59 Uhr
Goto Top
@aqui
Ich habe da noch eine kleine Frage.
Unabhängig zum verwendeten VPN (egal ob IPsec, OpenVPN oder WireGuard) stellte ich fest, dass ich nur aus dem Mobilfunknetz Zugriff auf gewisse Netzwerkgeräte habe.

Bin ich zB mit dem Netzwerk bei meinem Kollegen verbunden und möchte per VPN auf meine opnsense (192.168.1.1) zugreifen, gelange ich auf die opnsense welche bei meinem Kollegen werkelt. Auch wenn ich auf mein NAS zugreifen will, gelange ich auf ein anderes Netzwerkgerät im Netz vom Kollegen.

Wir haben dies stets mit Humor genommen und ich habe es dann per Mobile Hotspot lösen können.

Ist dies ganz normal oder eine Einstellungssache?
aqui
aqui 25.03.2023 aktualisiert um 12:58:40 Uhr
Goto Top
Das liegt dann daran das du vermutlich im Kollegen Netz die gleiche IP verwendest?!
Siehe: Sinnvolles VPN Adressdesign
Mit dem 1.0/24er Netz hast du leider die denkbar unintelligenteste Wahl bei VPN getroffen! face-sad
servusli1
servusli1 25.03.2023 um 21:52:32 Uhr
Goto Top
Danke @aqui. face-smile
Wenn ich das richtig verstanden habe, ist es besser wenn ich für das lokale Netzwerk eher IP-Adressen aus dem 172.x.x.x bereich vergebe und mein VPN-Tunnel mit 10.x.x.x adressiere.

Also könnte ich zu Hause meine opnsense 172.16.1.1 nutzen.
Das IoT VLAN 172.16.107.x
Das Gast VLAN 172.16.99.x etc.

Oder bin ich auf dem Holzweg?

Mein VPN Tunnel-Netz habe ich auf 10.11.0.x geändert. 1.x.x.x gehört zum öffentlichen Adressbereich habe ich mich belehren lassen.

Entschuldige bitte meine (teilweise) Unwissenheit.
aqui
aqui 26.03.2023 aktualisiert um 09:04:07 Uhr
Goto Top
Oder bin ich auf dem Holzweg?
Nein, jetzt auf dem richtigen Weg! face-smile
Sinnvoll ist bei VPN Nutzung immer "krumme" Werte für die Netze zu verwenden, denn das reduziert die Gefahr das sich die IP Netze überschneiden bzw. doppeln.
99% aller FritzBox User verwenden 192.168.178.0, 99% aller China Router bzw. pfSense/OPNsense verwenden 192.168.1.0 oder 192.168.0.0 weil niemand sich bei der IP Adressierung groß Gedanken über eine sinnvolle und intelligente IP Adressierung bei einer späteren VPN Nutzung macht. Du bist ja leider auch so ein Kandidat!
Mit den dümmlichen Allerweltsadressen die die halbe Welt nutzt ist es dann nur eine Frage der Zeit wann man doppelte IPs bei VPN hat wie in deinem Fall oben. Wenn sich 2 FritzBox Nutzer treffen ist das Drama dann da...
Eine etwas mehr "exotischere" IP Adressierung minimiert sowas. Mit welchen der RFC1918 IPs du das dann realisierst ist eher eine kosmetische Geschmacksfrage. Hauptsache die verwendeten IP Adressen haben "Seltenheitswert".
Es gilt immer die dummen Allerwelts Standardnetze zu vermeiden die Hersteller per Default in ihre Firmware coden. Einfache Logik! face-wink
gehört zum öffentlichen Adressbereich habe ich mich belehren lassen.
Sowas weiss man auch als blutiger Laie. IP Grundschule, erste Klasse. Guckst du hier und beachte dabei besonders das Kapitel "Adresskonflikte bei VPN":
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Lesen und verstehen...! face-wink
servusli1
servusli1 26.03.2023 um 09:12:50 Uhr
Goto Top
@aqui
Genau. Lesen bildet. 🙃
Ich mache schon seit eh und je Learning by doing.

Jetzt habe ich in meinem lokalen Netzwerk ein 172.x-Netz erstellt.
Mein VPN läuft auf 10.x.
Jetzt habe ich im Vergleich zu anderen Homeuser ein eher exotisches Netzwerk. 👌🏻
aqui
aqui 26.03.2023 aktualisiert um 13:24:26 Uhr
Goto Top
Das siehst du falsch, du hast nun (außer ggf. dem OpenVPN) ein sauberes und korrekt konfiguriertes Netzwerk!! 😉👍
Denk ans P2 Setup für die IKEv2 VPN Variante:
⚠️ Wer den gesamten VPN Client Traffic in den Tunnel routen will setzt “Local Network” auf network, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein!
Dann klappt es auch mit dem onboard Apple IKEv2 VPN und dem Redirect des gesamten Traffics in den Tunnel ganz ohne OpenVPN Gefrickel...

Wenn's das denn war bitte nicht vergessen deinen Thread dann als erledigt zu schliessen!