Hallo,
hier ist einiges "konfus" konfiguriert wie ich finde.
Zum Thema OpenVPN:
Du sagst, du hast einen OpenVPN Server eingerichtet und kannst dich daran anmelden? Kann ich nicht ganz glauben, wenn ich deine Firewall Regeln anschaue. Ich versuche es aber Schrittweise zu erklären.
Jetzt wäre es wichtig zu wissen ob du die Option "Force all client generated traffic through the tunnel." aktiviert ist oder nicht.
Ist diese aktiviert, dann wird sämtlicher Verkehr durch den VPN geroutet und es sind keine weiteren "Routing"-Konfigurationen notwendig um deine LAN1 - LAN3 zu erreichen.
Wenn du diesen haken nicht gesetzt hast, musstest du ein "Local Network" angeben. Hier hast du sicherlich eines deiner 3 LANs angegeben. Das bedeutet für deinen OpenVPN client, er leitet nur den Traffic in den VPN, der an dieses "Local Network" addressiert ist. Sämtlicher anderer Traffic geht den normalen weg ins Internet (VPN Split-Tunneling nennt man das auch). Möchtest du hierbei deine beiden anderen LANs noch routen, musst du das unter "Advanced" eintragen:
push "route 192.168.2.0 255.255.255.0";push "route 192.168.3.0 255.255.255.0";
Unabhängig davon, was du nun eingestellt hast, musst du Firewall Regeln festlegen. Du findest dort einen Reiter "OpenVPN". Dieser Reiter legt Regeln fest für Traffic, der aus dem OpenVPN Netzwerk initiiert wurde. Hier musst du angeben, dass dein OpenVPN client, der sich im "Tunnel Network" befindet, Zugriff hat. Deine Firewall Regel sieht diesbezüglich gut und richtig aus - solange dein "Tunnel Network" am OpenVPN Server so lautet:
10.1.0.0/24
Die Firewall regel auf der WAN Schnittstelle bitte unbedingt entfernen. Diese hat dort nichts zu suchen und ist vollkommen falsch platziert. Der VPN Verkehr wird über den OpenVPN tab geregelt. Auf der WAN Schnittstelle musst du lediglich eine Regel erstellen, die den Zugriff auf dein OpenVPN Server interface gestattet. Es muss ja für deinen OpenVPN client möglich sein, durch deine Firewall hindurch, auf den OpenVPN Server zu connecten. Also hier entsprechend der Konfiguration am OpenVPN server eine regel erstellen, beispielsweise so:
Action: Allow
Protocol: UDP
Source-IP: Any
Source-Port: Any
Destination-IP: WAN-Address
Destination-Port: 1194
Grundsätzliche Hinweise für OpenVPN bzw. Routinggrundlagen:
Die Subnetze von folgenden Bereichen müssen für eine fehlerfreie Funktion immer und unbedingt verschieden sein:
Tunnel Network
Local Network
Das Netzwerk in welchem sich der OpenVPN client befindet
Weiterhin muss man bei Windows Vista/7 den OpenVPN client mit "Als Administrator ausführen…" starten, damit die Routen gesetzt werden können.
Ich vermute, dass du die VPN Verbindung aus LAN1, LAN2 oder LAN3 heraus getestet hast. Das mag vielleicht funktionieren, aber ich weise nochmal daraufhin, dass die Subnetze aus den oben genannten Bereich verschieden sein müssen um fehlerfreie Funktionalität zu gewährleisten.
Grundsätzliches zur Funktionsweise von Firewall Regeln an der pfsense:
Firewall Regeln werden von oben nach unten abgearbeitet. Die Regeln, die zuerst zutrifft, wird angewendet und danach keine Andere mehr
Firewall Regeln gelten immer für den Verkehr der auf dem Interface initiiert wird. Möchtest du als Verkehr aus dem LAN3 in das LAN2 verhindern, dann musst du die Regeln auf LAN3 platzieren und dort "Destination: LAN2 subnet" blockieren.
Keine Konfiguration auf LAN2 kann Verkehr verhindern, der auf LAN1 oder LAN3 initiiert wurde.
Frage:
Was willst du mit der Firewall Regel auf v2.jpg bezwecken? Du befindest dich bereits im LAN2 und möchtest nur Verkehr zulassen, der nicht in LAN2 geht!? Du willst also verhindern, dass Verkehr für das Netzwerk, in dem du dich bereits befindest, nicht zugelassen wird!? Ich sehe darin keinen Sinn.
Also dann, check deine Konfiguration, teste erneut und ansonsten fragst du hier nochmal mit den entsprechenden Infos und Screenshots :)
