Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tunnel über CARP-IP funktioniert nicht

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 3 Posters 748 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      ewuewu
      last edited by

      Wir haben eine redundante pfSense Firewall (Version 2.15)

      Auf der Wan Seite haben wir von unserem Provider ein Netz x.x.x.0/29 zugewiesen bekommen.

      Die x.x.x.1 ist das Gateway bei unserem Provider.

      Die x.x.x.2/29 ist die feste WAN Adresse auf BoxA und die x.x.x.3/29 die feste WAN-Adresse auf BoxB

      Die x.x.x.4 ist die virtuelle WAN- Adresse für den Failoverfall und als CARP-IP angelegt und auf das WAN-IF gemappt.

      Bis hierhin ist alles fein und der Failover wurde getestet und funktioniert. Das Lan Netz kommt rein und raus.

      Nun habe ich auf der Firewall zwei Tunnel (Einmal Ovpn und einmal PPTP) eingerichtet. (Der PPTP kommt später wieder weg –ist aber z.Zt. noch notwendig da sich einige Außendienstler derzeit noch darüber verbinden). Derzeit verbinden sich die Tunnel über die feste IP x.x.x.2 auf BoxA und sind somit nicht Failoverfahig.

      Ich hätte die Tunnel gern über die x.x.x.5/29 erreichbar um Failover Fähigkeit zu erreichen. Hierzu habe ich eine CARP-IP x.x.x5 angelegt, auf das WAN-IF gemappt und auf der WAN Seite folgende Regeln aufgestellt:

      Protokoll IPv4/UDP SOURCE any Port any -> DEST CARP_IP5  Port 1194 ACCEPT

      Protokoll IPv4/GRE SOURCE any Port any -> DEST_IP5  Port any ACCEPT

      Protokoll IPv4/TCP SOURCE any Port any -> DEST CARP_IP5  Port 1723 ACCEPT

      Die Rules für den OVPN-Tunnel und den PPTP Tunnel sind derzeit jeweils:

      Proto IPv4/* SOURCE any PORT any -> DEST any Port any ACCEPT

      Leider bekomme ich über die x.x.x.5 IP weder auf dem PPTP noch auf dem Ovpn Tunnel eine Verbindung zu Stande.

      Was hab ich vergessen? Muss evtl. im NAT noch was ergänzt werden? Hier habe ich derzeit kein Einstellung vorgenommen.

      Danke im Voraus für jeden Tip.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hi,

        Prinzipiell hört sich das nicht so falsch an, da müsste man aber mal kurz die Infos auf den Interface-Reitern und die Konfig vom OVPN Tunnel sehen. Bei OVPN muss ggf. das zu bindende Interface oder die IP richtig definiert werden. Mir schwirrt da noch was im Kopf von OVPN und CARP herum. Ist bei OVPN bspw. die zweite CARP VIP ausgewählt? Ist die 2. genauso wie die 1. konfiguriert? Oder als Alias auf dem ersten VIP?
        Weshalb überhaupt die zweite VIP und nicht OVPN auf die erste VIP (.4) konfigurieren, wenn doch bis jetzt PPTP und OVPN eh nur auf die .2 auf FW-A hören? Dann spricht doch nichts dagegen das direkt auf die erste VIP zu binden?

        Danke BTW dass du PPTP nicht als VPN betitelst sondern als Tunnel ;) Dessen sollten sich alle bewusst sein, dass PPTP lediglich noch als (schlechter) Tunnel genutzt werden kann, aber Verschlüsselung ist es definitiv keine mehr, denn dazu wurde die Verschlüsselung vor Jahren bereits kompromittiert.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • E
          Exilschwaelmer
          last edited by

          Der Thread ist zwar schon ein wenig älter, aber steht ja noch nicht auf Gelöst:

          So eine Konfig betreibe ich auch:

          pfsense 1: xx.xx.xx.2
          pfsense 2: xx.xx.xx.3
          WAN-CARP: xx.xx.xx.4

          die xx.xx.xx.5 brauchst Du nicht.

          Die Regel

          Protokoll IPv4/UDP SOURCE any Port any -> DEST CARP_IP5  Port 1194 ACCEPT

          ist ok, nur eben auf die IP xx.xx.xx.4. Bei mir ist das zwar TCP/443, weil wir auch aus Proxy-Netzen drankommen müssen, aber das spielt in diesem Kontext ja keine Rolle.

          Damit OpenVPN auf die virtuelle IP hört, musst Du bei 'Advanced configuration' den Eintrag

          local xx.xx.xx.4

          machen. Dann läuft das.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.