OpenVPN, manche LAN-IP-Adressen nicht erreichbar.
-
Ich bin gerade etwas ratlos. Sitze hier vor einem OpenVPN-Server (pfsense 2.7.2).
OpenVPN mit Zweifaktorauthentifizierung (radius server).
Funktioniert auch einwandfrei. Ich gebe die Pin ein, dann lese ich den Code von OTP Auth aufm Smartphone ab und tippe ihn ein. Verbindet sich problemlos.Nun kann ich z.B. die LAN-Adresse 172.21.195.202 pingen, die 201 jedoch nicht.
Sie muss aber pingbar sein, da Telefonanlage (202 ist Telefon). Im LAN selber lässt sie sich ganz normal anpingen.
Über Openvpn kann ich sie weder pingen noch auf Ihre Website zugreifen.Es ist wie wenn eine Firewallregel existierte, die den Zugriff sperrte. Tut es aber nicht.
Vorhanden ist: Eine Plusbox von Vodafone, Weiterleitung der Plusbox (1194 TCP und UDP auf die pfsense). Die pfsense hat lan-seitig eine Adresse des LANs. Zugriff von Außen per OpenVPN-Client, klappt alles problemlos.
Warum nur kann ich nur einen Teil der Geräte pingen? Einen anderen Teil schon. Internes Netz ist 172.21.195.0/24 . Auch 205 lässt sich pingen.
Ich kapiers grad nicht....Weiß Jemand mehr?
Danke. Arti.
-
Ahoi,
@Artefakt said in OpenVPN, manche LAN-IP-Adressen nicht erreichbar.:
Nun kann ich z.B. die LAN-Adresse 172.21.195.202 pingen, die 201 jedoch nicht.
Sie muss aber pingbar sein, da Telefonanlage (202 ist Telefon). Im LAN selber lässt sie sich ganz normal anpingen.
Über Openvpn kann ich sie weder pingen noch auf Ihre Website zugreifen.klingt nach entweder Regeln auf OpenVPN Interface oder Routing, welches nicht passt.
@Artefakt said in OpenVPN, manche LAN-IP-Adressen nicht erreichbar.:
Warum nur kann ich nur einen Teil der Geräte pingen? Einen anderen Teil schon. Internes Netz ist 172.21.195.0/24 . Auch 205 lässt sich pingen.
Ich kapiers grad nicht....Wie gesagt, könnte Routing sein. Haben alle Geräte im LAN sauber die pfSense als GW? Auch die .201 der Telefonanlage?
@Artefakt said in OpenVPN, manche LAN-IP-Adressen nicht erreichbar.:
Weiß Jemand mehr?
Für mehr fehlen uns leider Screenshots und Details zu Regeln auf OpenVPN Interface oder dem ovpn Interface, das zugewiesen wurde wenn der Fall, sowie Details zum Routing (was steht im OVPN Server, was kommt am Client an, geht der Call überhaupt übers VPN, etc.) sowie ob die TK Anlage überhaupt die Sense als GW hat. Alles Details ohne die man nichts sagen kann :)
Cheers
-
@JeGr Hi,
nein, die Geräte haben ein anderes Gateway. Die gehen über einen Lancom-Router ins Internet (zu dem ich keine Zugang habe).
Ich gehe quasi über die Plusbox, die nur als Mediengateway (ISDN) dient in das Netz rein. Die pfsense ist lan-seitig nur ein Client wie jeder andere.
Aber ich bin ja dann per VPN angebunden und kann einen Teil der Geräte pingen. Nur andere eben nicht...Gruß.
-
@Artefakt said in OpenVPN, manche LAN-IP-Adressen nicht erreichbar.:
nein, die Geräte haben ein anderes Gateway.
Ja dann hast du da deine Antwort!
@Artefakt said in OpenVPN, manche LAN-IP-Adressen nicht erreichbar.:
Die pfsense ist lan-seitig nur ein Client wie jeder andere.
Damit hast du asymmetrical routing. Die Geräte können mit deiner VPN IP nichts anfangen und schicken alles an ihr Default GW - den Lancom. Darum kommt nix zu dir zurück. Warum die anderen Geräte dir Antwort geben - keine Ahnung. Route gesetzt, NAT konfiguriert, anderes GW konfiguriert - du schreibst ja leider keine Details zu den Geräten also geht da nur Glaskugel-Lesen. Wenn aber die Geräte NICHT die pfSense als GW haben kanns nicht sauber funktionieren, bei asym. Routing gibt es IMMER irgendwelche Seiteneinstrahlungen oder Probleme bis hin zu "geht / geht nicht" wie in dem Fall.
Einzige Möglichkeit: alles was per VPN reinkommt auf der Sense abgehend ins LAN NATten mit der IP der Sense. Da die im LAN steht können die anderen Geräte sie direkt erreichen ohne GW und wenn der Traffic "angeblich" von da kommt, können sie logischerweise antworten. Also outbound NAT für Interface "LAN" konfigurieren, Source = dein VPN Einwahl/Tunnelnetz, Destionation = LAN network, NAT IP "Interface address" (also die Sense LAN IP), speichern, fertig. Sollte gehen.
Darum reden wir hier oft und viel von sauberem Routing, damit solche Dinge nach Möglichkeit nicht passieren :) In dem Fall kannst du dich aber mit outbound NAT noch aus der Affäre ziehen ;)
Cheers
-
@JeGr ok, danke.
Ich habe diese Situation eigentlich nie, aber in dem Fall gings nicht anders.Wie ist das eigentlich, wenn der Internetrouter kein VPN kann. Wenn ich direkt dahinter einen VPN-Router setze und den Port 1194 durchleite, müsste das doch funktionieren?
Oder müssten da auch alle Geräte den VPN-Router als Gateway haben?
Ich habe nämlich das Problem, dass ich dort wenig verändern kann.
Wir machen die IT dort nicht und die, die die IT machen, sind kompliziert...Die Mitarbeiter arbeiten dort auf Terminalservern und haben die CTI-Software von Agfeo im Terminalserver, der sich aber außerhalb in einem Rechenzentrum befindet. Die Telefonanlage ist im Terminalserver erreichbar. Der Anbieter dimensioniert die Server aber so schwach, dass ich die Softphone-Einheit von Agfeo auf dem lokalen PC installieren möchte. So belastet man den Terminalserver nicht.
Die greifen also vom Home-Office per mstsc auf den Terminalserver zu und per OpenVPN auf das lokale Netz der Firma.Gruß.
-
@Artefakt ich habe lange nichts gemacht auf Lancom. Warum lasst ihr nicht von dem Anderen Dienstleister eine Route zum OpenVPN Server einrichten?
Habe ich es richtig verstanden das ihr der Dienstleister für die Telefonanlage? -
@micneu ja richtig, wir machen bei dem Kunden nur die TK-Anlae.
D.h. ich lasse auf dem Lancom ein PortForwarding von 1194 auf meinen VPN-Server setzen und ebenfalls auf dem Lancom eine Route zurück zum VPN-Netz?!
Gruß.
-
@Artefakt
Wenn der einzige Zweck der VPN ist, dass du über diese von der Ferne auf die dortigen Geräte verbinden kannst, da aber nichts von dort über die VPN zurück muss, setze einfach eine Outbound NAT Regel am LAN (Masquerading) auf die Interface-Adresse.