@swk said in Über OpenVPN sind Clients ohne Standard Gateway nicht erreichbar:

Der springende Punkt ist jetzt nur, dass man solch eine Kundenmaschine (zB 192.168.0.251) im internen Netzwerk erreichen kann und über das VPN nicht. (unsere Firewall==VPN Server) Sobald die Kundenmaschine aber dann mal zum Test temp. einen 2. Gateway (zB 192.168.0.1) auf der 2. Karte eigentragen bekommen, dann kann ich diese Maschinen auch aus dem VPN erreichen.

Soweit ich das gerade ohne groben Netzplan vom Flow verstanden habe und @viragomann auch schon schrieb ist das alles lediglich eine etwas verkorkste Design/Architekturfrage und ein Routingproblem Wie schon gesagt ist das VPN Subnetz von der Einwahl den Maschinen nicht bekannt, sie schickens über das Default GW raus und das wars dann.

Wenn ihr dann nochmal davor eine (andere) Firewall habt, könnt ihr das entweder ausgleichen, indem ihr dort direkt eine Route nach innen macht (wenn die externe FW mit euren internen Netzen irgendwie verbastelt ist), oder ihr müsstet - was unschön ist - die ganzen Kundenkisten mit ner zusätzlichen Route ausstatten.

Alternative: Ihr NATtet die OpenVPN ausgehend zu den Kundenmaschinen auf eine andere IP der pfSense, die von den Kundenkisten aus gesehen/erreicht werden kann (ohne extra Route). Dann seht ihr zwar auf den IIS Mühlen nicht mehr direkt welche VPN IP ankommt, sondern nur noch die NAT IP, aber dann sollte es auch ohne zusätzliche Route klappen.
Wie gesagt das ist nur "der Normalfall", wie das in eurem spezifischen Netzaufbau aussieht kann ich nicht 100% sagen, da ich die Architektur nicht ganz durchschaue.

Es klingt aber auch so, als ob eure IIS Kisten dann via 2. Interface eure Firewall unterlaufen indem sie "hinten raus" zu euch direkte Verbindungen aufbauen. Das kann man machen, aber aus einem Security Sichtpunkt ist das nicht sehr schön, da ihr hier ein Breakout baut der nicht durch die Firewall davor geschützt ist und dem explizit vertraut wird. Zudem sehen sich je nach Setup die Kisten dann über dieses Interface auch oder können Verbindungen aufbauen die sie nicht sollten.

Da würde ich ggf. nochmal eine Runde mit einem Netzplan drehen und mit den Kollegen oder ggf. auch mit "Sicht von außen" das einfach mal durchgehen, ob man das nicht optimieren könnte oder ggf. sinnvoller aufbauen. :)
Machen wir/ich z.B. relativ häufig für Kunden.

Cheers
\jens

@pixel24 Mal ganz ohne doofe Antwort zu

Hat das irgend eine Bewandtnis?

Das eine ist die Ausgabe mit erfolgter Reverse DNS Auflösung, bei der anderen fehlt das. Das kann jetzt 2 Möglichkeiten haben, entweder hat der zweite Host keine rDNS Einträge oder sie konnten ggf. nicht geladen werden (oder es gab dabei Probleme). Zumindest wurden Sie dann eben nicht dargestellt.

@pixel24 said in Ping "von" manchmal IP, machmal Host:

Wenn ich von meinem Clinet (Linux-Mint 20)

Gerade bei einem Linux wird inzwischen ja gerne nicht mehr nur DNS gemacht, sondern lokal noch ein DNS Agent entweder mitinstalliert, oder man hat eh schon systemd und den ganzen Geraffelbaum an Spaß mit dabei. Dann läuft meist auf der Kiste noch ein eigener Resolver/Forwarder/Cache, der die Einträge cached und/oder auflöst. Das kann dann in diesem Szenario auch mit reinspielen.
Ohne ein wenig tiefer da reinzugehen würde ich jetzt erstmal sagen ist kein großes Problem, ping macht man beim Debugging eh gerne mit -n für unterdrückte Namensauflösung damit man ggf. keine Wartezeiten auf DNS hat - oder ne Ausgabe bekommt wenn der DNS down ist.

Wenn du mehr Phänomene hast, dass dein DNS vllt. nicht so will wie du möchtest, dann müsste man das ggf. auf der Sense - wenn sie dein DNS ist - näher beleuchten und schauen was läuft und ob es Probleme, Aussetzer, Neustarts o.ä. gibt.

Cheers

Keine Ahnung wo da der Bug ist. Vielleicht hat ja
jemand noch nen schlauen Tipp.

|=Also es verhält sich meiner Meinung nach so, dass zwischen der Sophos Firewall und der pfSense sich die DMZ befindet.

Und dort sollten dann die Server stehen die die einen permanenten Kontakt zum Internet haben und hinter
der pfSense sollte dann eigentlich das sichere LAN sein.=|

Dobby

So Teil 1 abgeschlossen :)
Internet geht ohne Fritze. Teil 2 mit Portierung der Rufnummern in 3 Wochen (ob das aus so einfach wird.....)

Vielen Dank für euren Input!

Scheint ja jetzt wirklich eher ein kosmetisches Thema und kein Problem zu sein.
Ich werde das bei Gelegenheit einfach mal über die GUI über zusätzliche DNS Server Einträge versuchen, bzw. wenn das nichts bringt dann aus dem xml-File rauslöschen und dann so zu importieren...

Es eilt ja nicht.. 😃

@bob-dig said in Wireguard Newbee Fragen:

@toddehb said in Wireguard Newbee Fragen:

Yo, das ist mir durchgerutscht. Mist. So klappt es jetzt auch :-)

Na supi, dann waren ja die Mühen auf allen Seiten nicht umsonst.

:-) Dir besten Dank für die Unterstützung 👍

@bingo600 Removing is not an option - Nein, ist natürlich nicht ideal, aber warum nicht? Die Regeln gehen nicht verloren sondern bleiben vorhanden auch wenn das Interface temporär weg ist. Ist ja bei 2.4.x auch so dass das Ruleset nicht gelöscht wird. :)

Aber ja, scheint so, dass das schon gefixt wurde, ich kanns zumindest nicht konkret nachvollziehen.

@megalukas Aah jetzt :) Ich dachte jetzt du meinst Ports in der pfSense selbst (was bei bspw. der 2100 möglich gewesen wäre) aber klar, dann war das wohl ein Layer2 Problem :)

@unbekannt3 said in LWLcom DSL IPv6 über DHCP kein renewal:

Die Sense bekommt eine Adresse aus einem /64er Subnetz am WAN Interface zugewiesen und darauf dann mein /60er Subnetz geroutet, beides mit einer lifetime von 300.

Warum? 300er Lifetime hört sich für mich nach Quatsch an und viel zu kurz. Wenn ich da auf bspw. einer Fritzbox nachsehe, was da das Default Verhalten ist bei DHCP6 dann sehe ich da Zeiten in der Größenordnung 48h als Lease Time runtertickern. Zumindest wesentlich mehr als 300s. Das hört sich da schon entweder nach einer seltsamen/falschen Konfiguration an oder dass der ISP da Murks macht.

Da würde ich nochmal beim ISP selbst versuchen jemand technischeren an die Strippe zu bekommen, denn das klingt nicht gerade sinnvoll.

Cheers
\jens

@bob-dig das hat schon mal geholfen :) Die OpenVPN Server laufen wieder. Clients verbinden sich auch. Komm bloss noch nicht drauf. (Komm wieder drauf)

@gtrdriver said in Pfsense mit mehreren WAN´s /öffentlichen Ip´s - wie ausgehende "route" definieren:

Aber was ist mit Traffic der "nur raus geht" - also der Client im LAN möchte ohne dass er angerufen werde raus telefonieren - dann weiß er doch aber (sofern er in einem LAN hängt an dem mehrere externe IP´s hängen) nicht über welches er raus gehen soll

Telefonie ist zusätzlich nochmal ein ganz anderes Thema weil hier sehr oft andere Punkte noch mit reinspielen:

VoIP ist sehr oft Line-gebunden weil bspw. Telekom keine VoIP Anfragen via anderer Leitung annimmt, sondern nur aus dem gleichen Netz VoIP nicht einfach "so raustelefoniert", sondern es eine SIP Anmeldung gibt und dann logisch auch der Anruf über die gleiche Line wie der Login laufen muss

etc .etc.

Das ist ein extrem unpraktisches Beispiel, denn gerade bei SIP/VoIP gibt es oft kein Möglichkeit da ein Failover zu bauen aus den Restriktionen und Eigenheiten des Protokolls.

Wenns um Surfen o.ä. geht also die Verbindung von innen aufgebaut wird und es keine policy-based rules gibt, die irgendetwas anderes sagen, wird die Verbindung immer über das Default GW aufgebaut. Man kann aber als Default GW auch ein Failover GW (KEIN! Loadbalancing GW) hinterlegen, dann wird ein Fall wie "Line 1 down" eben problemlos abgefangen ohne dass man PBR rulesets bauen muss.

Wenn man ein (V)LAN spezifisch auf ein LAN mappen will, dann packt man hier beim entsprechenden LAN die Regeln mit definiertem Gateway rein und schon läuft auch ausgehend alles über bspw. WAN2. Wenn man das wirklich hart trennen möchte, passt man entsprechend die outbound NAT auf manuell an, damit dann gar keine Verbindung über WAN1 läuft.

Das ist aber alles eine Definitionsfrage, was genau wie laufen soll.

Cheers

@francoblanco
meinst du das ernst?
so wi ich es verstanden habe:

nutzt du die fritzbox als modem willst die webgui der fritzbox trotzdem aufrufen? macht ein vpn auf die fritzbox (geht das wenn die fritzbox ein modem ist)? hier im forum haben wir schon unzählige male das thema behandelt das man auf die webgui eines modems will, einfach mal die forum suche nutzen aber bitte erkläre mir das noch mal warum und wieso du die ports der fritzbox weiterleitest oder hast du einen expose-client eingetragen?

Bitte beschreibe mal genau was dein ziel ist

Und nochmals guten Abend in die Runde...

Da mir das ganze keine Ruhe mehr gelassen hat warum das mit PFSENSE nicht geht habe ich heute mit 2 Hardware PFSense Firewalls in einem kleinen Testaufbau den versuch widerholt und siehe da - da klappt das layer2 over OpenVPN...

Ich hatte die Config noch in einem Versuchsaufbau auf 2 Servern im RZ gespeichert -also hier exakt die gleiche Situation nachgestellt - geht nicht ...

Wollte fast schon wieder aufgeben und stoße zufälligerweise in einem anderen Zusammenhang (da ging es um OpenWRT auf ESXI) auf Mac Spoofing und das das auf ESXI per Default abgeschaltet ist.

Ok - also Mac Sppfing auf den beiden virtuellen NIC´s eingeschaltet und siehe da - LÄUFT !
Ohne Probleme - sofort auf Anhieb - auch DCHP via Bridge läuft sofort ohne mucken...

Also mal schnell ein paar Performance Tests gemacht und auch hier - Beigeisterung - ca. 30% niedriger als mit einer Layer3 S2S Bridge.

Da sich die Bridge in Pfasense als Interface integriert sind hier exakt die gleichen FW Regeln möglich - man kann also ganz wunderbar definieren wer mit wem und wer nicht ...

Nochmals zur Klarstellung - ich würde niemals auf die idee kommen eine klassische S2S Layer3 Verbindung damit zu ersetzten - darum geht es auch nicht - aber für unser Szenario - 3 Server an einem anderen standort zu betreiben -- mit quasi transparenter Netzwerk Bridge ist das jetzt optimal

Wenn jemand hier mal Bedarf hat - gerne melden.

Ansonsten - allen einen schönen Abend

@chri5 said in pfsense mit OpenVPN funktioniert mit mobilen Daten nicht, jedoch im WLAN:

ich gebe in den "Allgemeinen Einstellungen" die DNS-Server 8.8.8.8 sowie 1.1.1.1 mit und als Gateway die WAN Schnittstelle.

Die Server, die hier eingetragen sind, verwendet pfSense für eigene Zwecke. Zusätzlich stellt sie standardmäßig den DNS Resolver für die internen Clients, die je nach Konfiguration eben auch diese Server verwenden (Forwarding Mode) oder Root-Server.

Wenn der DNS Resolver oder der Forwarder läuft, kannst du in der OpenVPN Konfig auch die IP der pfSense selbst angeben, wenn du diese verwenden möchtest. Aber ja, du kannst da auch direkt externe Server eintragen.

@richie1985 sorry aber wenn eure user damit überfordert sind ihren benutzer namen/passwort einzugeben müsst ihr halt eure user besser schulen, das währe meine wahl. ich habe seit jahren nicht mehr viel mit windoof zu tun (war mal admin in einer windoof dominierenden umgebung ca. 100 Rechner), aber du kannst doch umgebungsvariablen nutzen (ich denke du bist ein windoof admin, dann wirst du ja schon wissen was ich meine)

PS: bei uns in der firma bekommen alle neuen kollegen am ersten tag eine schullung von ca. 1,5 stunden (von den administratoren) so gehen wir sicher das die benutzer optimal in ihren teams starten können (ich bin seit ca. 7 jahren admin in einer apple umgebung)

Ich würde hier anraten die komplette Struktur noch mal zu überdenken.

Statt mehrere P2s zu verwenden, kann man das mit einem gescheiten Netzkonzept erschlagen.

Setzt du z.B. auf Seite A statt 192.168.10.0/24 ein 192.168.0.0/20 ein, packst das in die P2, dann hast du hier 16 Netze mit 24er Maske die du direkt im Tunnel hast und dann auf der jeweiligen Seite sauber einsetzen kannst.
Reicht das nicht, dann halt ein /19 für jede Seite, das sind dann 32 Netze.

Limiter nutzt Trafic Shaping, man kann den manuell anlegen ohne Assistent.
Wichtig Floating out mit match und auf keinen Fall quick, dann läuft es auch.
Und zur Sicherheit noch mal ICMP out regeln davor, sonst klemmt das schon mal mit der einen oder anderen Version und der Dpinger liefert verzerrte Werte und max Last.

QoS ist noch mal eine eigene Sache für sich, kann man auch machen um dann noch mal gewissen Dienste, wenn die denn das Flag mit bringen, per Sonderspur direkt am Limiterstau vorbei zu mogeln.

@sauerländer Statt "Permit Outbound" zum Beispiel "Alias Permit" auswählen.

Das Thema hat sich erledigt. Ich habe den Unifi Switch nochmal resettet, die gleichen Einstellungen eingetippt und nun funktioniert es wieder.

Danke für die Hilfe!