Portforward über OpenVPN von Seite A zu Seite B
-
Hallo zusammen
Diesmal was privates.
Ausgangslage:
SeiteA: Öffentliche IP an WAN <> PFsense1 <> 192.168.0.0/24
SeiteB: Öffentliche IP an WAN <> Pfsense2 <> 192.168.1.0/24Seite A und B sind mit einem OpenVPN S2S Tunnel verbunden
Ich möchte nun ein Port Forwarding Von WAN SeiteA über das OpenVPN einen einen Client auf Seite B machen.
Beispiel: Port 22 an Wan auf Seite A soll auf Client 192.168.1.80 Port 22 geforwardet werden.
ganz so einfach scheint das nicht zu funktionieren - darum habe ich schon ein wenig im Netz gesucht und bin auf 2 Foren Einträge gestoßen welche leider relativ alt sind:
https://forum.netgate.com/topic/80529/nat-port-forward-over-vpn/2
https://forum.netgate.com/topic/74534/a-definitive-example-driven-openvpn-reference-thread/4Ich habe hier mal mit 2 Cloud Servern experimentiert damit ich das laufende System nicht abschieße - habe versucht das ganze nach Post3 im 2. Link nachzubauen komme aber nicht weiter....
Sehe auf in den States leider keinerlei "bewegung" was Port22 angeht. Habe wie angegeben auch alle Rules auf OpenVPN auf SeiteB gelöscht und auf dem OpenvPN Interface auf Seite B einen entsprechenden Eintrag in die Firewall gesetzt (alles analog zu den Screenshots)
Der VPN Tunnel an sich steht - die PFSensen können sich gegenseitig Pingen und auch die Pfsense auf SEite A kann alle clients auf Seite B anpingen
Wie gesagt - das Posting ist relativ alt - und evtl gibt es einen anderen - eleganteren - besseren - Weg - einen Weg den ich evtl auch "verstehe" und ich nicht nur "nachbaue".
CU
GTR -
@gtrdriver said in Portforward über OpenVPN von Seite A zu Seite B:
Habe wie angegeben auch alle Rules auf OpenVPN auf SeiteB gelöscht und auf dem OpenvPN Interface auf Seite B einen entsprechenden Eintrag in die Firewall gesetzt (alles analog zu den Screenshots)
Dann ist die neue Regel also wieder am OpenVPN Tab? Genau da sollte sie nicht sein.
-
Hallo - wenn ich den Post richtig verstanden habe muss auf Seite A (also von wo aus das naut in das Openvpn rein laufen soll) i testweise eine "ALL/ALL" Regel in der Firewall im OpenvPN Tab
Und
Auf SeiteB (da wo der Client sitzt) ist in der Firewall im OpenVPN TAB keine Regel dafür eine ALL/ALL im Interface Tab des Openvpn interfaces
Richtig oder falsch ?
-
@gtrdriver
Ich möchte mir nicht den ganzen Thread durchlesen. Im Grunde muss auf der Seite, auf der die Pakete hingeleitet werden, eine Regel diese auf einem Interface-Tab erlauben.
Dazu musst du wissen, dass "OpenVPN" eine Interface-Gruppe ist, die sämtliche OpenVPN Instanzen umfasst, auch wenn aktuell nur eine eingerichtet ist. Die Regel darf weder auf einer Interface-Gruppe noch am Floating Tab definiert werden.D.h. also, du muss der OpenVPN Instanz der Site-to-Site Verbindung auf B erst ein Interface zuweisen, falls das noch nicht gemacht wurde. Interfaces > Assignments.
Da unter "available network ports" die Instanz (bspw.ovpnc1, ovpns2) auswählen, Add klicken, das neue Interface öffnen und aktivieren. Nach Belieben einen Namen vergeben, aber keine IP Settings!Damit erhältst einen neuen Tab dafür in den Firewall Regeln, wo dann die Regel zu erstellen ist.
Am OpenVPN Tab dürfen zwar Regeln verbleiben, allerdings darf keine Pass-Regel hier auf die weitergeleiteten Pakete zutreffen.
Falls du mehrere OpenVPN Instanzen auf B hast und mit den Regeln nicht so geübt bist, ist es ratsam, den anderen Instanzen ebenfalls ein eigenes Interface zuzuweisen und die nötigen Regeln da definieren. -
Hallo - ich habe das ganze jetzt nochmals mit 3 Cloud Servern nachgebaut - ohne irgendwelche bisherige Infrastuktur - hier klappt es auf anhieb ....
Da muss irgendwas an der vorhanden Installation nicht gepasst haben ...Ich werde das morgen mal schritt für Schritt versuchen zu reproduzieren und melde mich dann nochmals.
Das einzige was in der aktuellen Variante anders ist - Seite A/B haben den OpenVPN Server/Client getauscht - aber das dürfte doch eigentlich kein Problem sein oder sehe ich das falsch ?
-
@gtrdriver
Nein, was ich oben beschrieben habe, betrifft die Zielseite der Weiterleitung. Bei dir B, wie ich es verstanden habe. Ob das der Server oder der Client der VPN ist, ist nicht relevant.Es gab allerdings eine pfSense Version, bei der das nicht funktioniert hatte. Die CE 2.5.1, wenn ich das richtig im Kopf habe.
Auf der A Seite ist nur eine Regel am WAN nötig, die den Zugriff auf die Ziel IP und Port erlaubt, falls nicht eine verbundene Regel im NAT verwendet wird.