OpenVPN - Client erreicht LAN nicht.
-
Hallo Leute,
versuche seid mehreren Tagen OpenVPN anständig ans Laufen zu bekommen. Leider erreicht mein VPN Client die anderen Clients im LAN hinter der pfSense nicht.
Mein Setup sieht wie folgt aus.
4 Adapter:
WAN -> öffentliche Adresse
OPT1 -> /29 Subnet (öffentlich)
OPT2 -> /29 Subnet (öffentlich)
LANAlle Maschinen sind mit dem LAN Interface verbunden.
Lokales Netz 10.66.77.0/24
VPN Netz 10.66.88.0/24Mein Windows 8 Client verbindet sich zum VPN-Server und bekommt die Adresse: 10.66.88.2
Es ist mir möglich 10.66.88.1 (ich nehme an das VPN Gateway was temporär erzeugt wird) an zu pingen und auch die 10.66.77.1.Also ist pfSense und auch dessen Webinterface mittels VPN erreichbar.
Leider erreiche ich wie schon beschrieben die LAN Clients nicht ab 10.66.77.20 aufwärts.
Die LAN Clients bekommen ihre Adressen per DHCP.Von den Clients erreiche ich auch die 10.66.88.1 allerdings nicht den VPN Client.
Alle Tests wurden mit abgeschalteter Windows Firewall gemacht.
Selbstverständlich wird OpenVPN auf dem Client per Administrator ausgeführt.Auszug aus der Windows Routing Tabelle:
IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.40 10 0.0.0.0 128.0.0.0 10.66.88.1 10.66.88.2 30 10.66.77.0 255.255.255.0 10.66.88.1 10.66.88.2 30 10.66.88.0 255.255.255.0 Auf Verbindung 10.66.88.2 286 10.66.88.2 255.255.255.255 Auf Verbindung 10.66.88.2 286Wäre toll wenn ihr mir helfen könntet. Steh langsam echt auf dem Schlauch.
Kann es eventuell sein, dass auf der Firewall irgendwelche Routen fehlen?
Gruß
-
Und hier ist noch Auszug aus der pfSense Routingtabelle:
IPv4 Destination Gateway Flags Refs Use Mtu Netif Expire 10.66.77.0/24 link#4 U 0 276 1500 em3 10.66.77.1 link#4 UHS 0 155590 16384 lo0 10.66.88.0/24 10.66.88.1 UGS 0 48614 1500 ovpns1 10.66.88.1 link#9 UH 0 0 1500 ovpns1Gruß
-
Firewall rule(s) für openVPN sind gesetzt? NAT outbound für den openVPN server (für's Tunnelnetzwerk) ist gesetzt?
-
Firewall Rules sind gesetzt und NAT Outbound steht auf Auto.
Habe auch schon die Firewall Rule mitloggen lassen und die Pings gehen auch durch.
Ein MTR endet direkt an der ersten Station (10.66.88.1 VPN Gateway)…
Gruß
-
Auf der pfSense selbst sind dafür keine speziellen Routen nötig, weil alle beteiligten Netze direkt an (virtuelle) Interfaces liegen.
Um genau zu sehen, was vor sich geht, kannst du auf der pfSense das Tool Diagnostics > Packet Capture einsetzen. Möglicherweise werden die Retourpakete auf das Default Gateway geschickt, also aufs WAN Interface.
In diesem Fall musst du das Outbound NAT auf manuell umschalten und die Regeln entsprechend anpassen. -
Danke :)
das hat soweit funktioniert allerdings sollte man vorher den Haken bei "Enable automatic outbound NAT for Reflection" in der Firewall/NAT Konfiguration setzen.Mein VPN Client sieht jetzt auch meine LAN Clients allerdings geht es umgekehrt noch nicht…
Das sind die Rules die ich zusätzlich hinzugefügt habe:
OpenVPN 10.66.77.0/24 * * * OpenVPN address * NO OpenVPN 10.66.77.0/24 * * 500 OpenVPN address * YES LAN 10.66.88.0/24 * * * LAN address * NO LAN 10.66.88.0/24 * * 500 LAN address * YESGruß
-
das hat soweit funktioniert allerdings sollte man vorher den Haken bei "Enable automatic outbound NAT for Reflection" in der Firewall/NAT Konfiguration setzen.
Das geht bei mir auch ohne.
Ich habe für das OpenVPN, DMZ und LAN Interface überhaupt keine Outbound NAT gesetzt, nur für WAN, und hier klappt es.
Ich habe auf einem OVPN Client auch einen Server laufen (XSever) und der funktioniert mit Hosts in der DMZ.Wie erwähnt, Packet Capture ist ein feines Werkzeug und kann dir Probleme verraten.
Grüße