Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Extra gateway für VPN

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 5 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      s0me0ne
      last edited by

      Hallo,
      Folgendes ist gegeben. Unser Default gateway hat die IP 10.30.40.254, und alle Clients/Server verweisen auf ihm. Nun haben wir noch pfSense mit der ip 10.30.40.253 ins rennen geworfen. Darüber soll ausschließlich VPN betrieben werden. Verbindung von außerhalb wird aufgebaut, leider ist kein Client/Server erreichbar.

      Testweise haben wir einen client das GW auf 10.30.40.253 verwiesen und siehe da, der Client war über ovpn erreichbar.

      Was ist am pfSense einzurichten damit vpn-clients in das LAN kommunizieren können.

      Vielen Dank in voraus.
      Grüße

      1 Reply Last reply Reply Quote 0
      • H
        hec
        last edited by

        Dein Problem ist dass die Clients den "falschen" defaultgw bzw die nicht die richtigen Routen eingetragen haben.

        Dein VPN Client schickt ein Paket zu einem Client im LAN. Dieses Paket kommt auf beim LAN Client an. Dein LAN Client will eine Antwort schicken. Dazu sucht er in seiner Routing Table ob er einen Eintrag für dieses Netz hat. Hat er das nicht schickt er das an den Default GW. Der weiß aber auch nicht was er mit dem Paket machen soll.

        Auf der PfSense kannst du konfigurieren was du willst das wird dir nichts bringen. Warum hast du einen Router und eine PfSense? Lass doch die PfSense beides machen. Nur für VPN ist pfSense sowieso oversized.
        Eine Idee wäre VPN im bridged mode zu betreiben. Eine andere Lösung sehe ich nicht. Reden wir von openVPN?

        1 Reply Last reply Reply Quote 0
        • L
          Livinlight
          last edited by

          Hallo,

          wie hec schon schrieb, ist eine clientseitge Konfiguration notwendig. Du kannst\musst mindestens eine statische Route hinterlegen die auf das\die Zielnetze verweist und ein additionales GW bekannt gibt. Man könnte jetzt auf die Idee kommen den Hosts ein weiteres Netz mit eigenem GW zuzuordnen, das ist aber meistens eine ziemlich schlechte Idee.

          mfg.
          Livinlight

          1 Reply Last reply Reply Quote 0
          • GruensFroeschliG
            GruensFroeschli
            last edited by

            Das stimmt so nicht ganz.

            Du hast die Möglichkeit auf der pfSense sogenanntes "source-NAT" einzurichten
            Dabei wird sämtlicher Traffic der vom VPN her kommt ins lokale subnet geNATed, so dass es für die lokalen clients aussieht wie wenn der Traffic von der pfSense her kommt.

            Firewall–>NAT-->Outbound
            (AON - Advanced Outbound NAT) aktivieren.

            Nun eine neue Regel erzeugen mit:
            Interface: LAN (oder wie auch immer dein interface heisst wo du HIN NATen willst)
            source: VPN_subnet
            destination: lokales_subnet
            translation: Interface-IP

            Alternativ kannst du auch auf dem default Gateway deines lokalen Subnetzes eine statische Route auf den VPN-Gateway setzen.
            Ist jedoch etwas umständlich, da Traffic dann immer zuerst an den default Gateway geschickt wird und der dann lokal an den richtigen Gateway weiterleitet. (Das Frame geht zweimal über das gleiche Kabel). Kann unter Umständen auch zu Problemen führen wenn dein default Gateway Mühe hat mit Traffic auf dem gleichen Interface zu verschicken auf dem er ihn erhalten hat.

            We do what we must, because we can.

            Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

            1 Reply Last reply Reply Quote 0
            • L
              Livinlight
              last edited by

              Das wird aus Netzerksicht so funktionieren, da hier aber von Client\Server die Rede ist, sollte man mit NAT vorsichtig sein. Es ist halt die Frage welche Dienste angesprochen werden sollen, ein Active Directory z. B. ist ausdrücklich unsupportet über NAT.

              VG.
              Livinlight

              1 Reply Last reply Reply Quote 0
              • P
                peterpf
                last edited by

                Hallo

                Wenn du deinem Default Gateway mit IP 10.30.40.254 mitteilst das das VPN Zielnetz über die pfsense Lanadresse IP 10.30.40.253 zu erreichen ist musst du nichts weitrer tun. Der Default gateway bekommt Pakeanfragen für das VPN Netz und weiss nicht wohin er das schicken soll. Sag es mit Route ADD oder ADD Route je nach OS.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.