Hilfe bei VPN Einrichtung
-
Hallo,
ich möchte meine pfSense u.a. als einen VPN Client nutzen. Nun komme ich bei meinem Vorhaben gerade leider nicht weiter und hoffe auf eure Hilfe…
Unter Rules => LAN habe ich eine Regel angelegt, wo bestimmt wird, welche Geräte über das eingerichtete OpenVPN Gateway geleitet werden sollen (alle anderen verbinden sich über das Standard WAN-Gateway mit dem Internet). Unter Source habe ich einen Alias angelegt und nun kann ich unter Aliases IP Adressen hinzufügen, welche über den VPN Tunnel surfen sollen. Soweit so gut.
Nun würde ich gerne für einige Geräte die folgende Regel festlegen: das Gerät soll nur über das OpenVPN Interface ins Internet gehen können. Sprich, wenn die OpenVPN Verbindung meinerseits deaktiviert wird oder es eine serverseitige Störung gibt und generell keine OpenVPN Verbindung aufgebaut werden kann, dann soll das Gerät auch nicht über das WAN-Gateway (oder überhaupt ein anderes) ins Internet können - quasi entweder über VPN Tunnel oder gar nicht.
Wie richte ich das nun am besten ein?
-
Das sollte recht einfach zu machen sein. Unter die Allow Regel, die den Verkehr vom LAN via OpenVPN Gateway erlaubt, setzt du einfach eine Kopie der Regel mit Gateway auf default aber als BLOCK (oder REJECT) Regel, statt als Pass. Das verhindert dann, dass die im Alias definierten Geräte einen anderen Weg nehmen als das OpenVPN Gateway und statt dessen dann einfach geblockt werden. Das sollte IMHO den gewünschten Effekt bringen.
-
Ich muss zugeben, genau diese Idee habe ich gehabt, als ich dabei war diesen Thread zu erstellen. Leider funktioniert das bei mir so nicht. Auch habe ich versucht, statt "default" explizit das WAN Gateway zu definieren. Sobald ich die VPN Verbindung trenne, so kann ich sofort danach ganz normal über das WAN ins Internet, was ja eigentlich verhindert werden sollte…
Kann ich evtl. etwas falsch gemacht haben, als ich den VPN Tunnel samt Firewall und NAT eingerichtet habe?
-
Kann man so pauschal schlecht sagen. Du könntest aber explizit bei den Regeln das Logging Flag setzen und in den Filter Logs schauen, laut welcher Regel der Zugriff erlaubt wird (oder eben nicht). Dann wäre ggf. auch ein Block leichter möglich.
-
Ähm, mit dem Logging bin ich irgendwie nicht so wirklich klargekommen, aber ich habe durch probieren trotzdem etwas herausgefunden.
Durch verändern der Regeln Reihenfolge konnte ich feststellen, dass die Block-Regel zuverlässig funktioniert. Denn schiebt man diese vor die Gateway-Regel, so habe ich keinen Internetzugang.
Wenn diese sich diese aber hinter der Gateway-Regel befindet, dann kann ich VPN ein- und ausschalten wie ich will, so habe ich immer eine Internetverbindung (eben über den VPN Tunnel oder normal).Muss ja heißen, dass etwas damit nicht stimmt oder nicht "korrekt genug" eingestellt ist?
-
Mach doch mal Screenshots! Vielleicht sieht man da den "Denkfehler".
Gruß
Matthias -
Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)
Edit: System / Advanced / Misc / Skip rules when gateway is down
-
Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection
Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.
-
Danke euch beiden!
Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)
Edit: System / Advanced / Misc / Skip rules when gateway is down
Das war tatsächlich so einfach ::) Darüber war ich auch schon mal gestolpert, habe aber den Sinn dieser Funktion nicht richtig verstanden.
@Marvho:Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection
Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.
Danke für die schöne Anleitung!
-
Hallo,
ich habe noch eine Frage bzgl. dieser Konfiguration. Ich kann die WebGUI des Modems nicht erreichen, sobald das VPN als Gateway genutzt wird. Wenn alles über WAN läuft, kann ich problemlos über 192.168.100.1 darauf zugreifen. Wenn ich aber über den VPN Tunnel online gehe, funktioniert das auf einmal nicht mehr. Muss ich da noch eine Regel beim entsprechenden VPN-Interface erstellen? Kann jemand weiterhelfen?
-
Eine Regel über der "VPN-Gateway" Regel erstellen, mit der Destination IP vom Modem und dem default Gateway sollte reichen.
-
Ach ok, das war ja wieder einfach. Danke!
Ich habe versucht die gleiche Regel beim VPN-Interface zu erstellen…Kann mir evtl. noch jemand erklären, warum bei mir das "default Gateway" nicht funktioniert? Also auch bspw. bei der obigen Regel, wenn ich dort das Gateway auf "default" lasse, dann funktioniert die Regel nicht. Wenn ich dort aber explizit das WAN_Gateway auswähle (welches ja als default eingerichtet ist), dann geht es. ???
-
Schau mal oben unter dem Reiter "System" und dann "Routing" welches Gateway dort als default markiert ist. Falls das VPN-Gateway dies ist, einfach das WAN Gateway bearbeiten und bei```
Default Gateway
This will select the above gateway as the default gateway. -
Ja, das kenne ich und wie gesagt - WAN ist als default Gateway definiert! Das ist ja auch irgendwie das Problem.
Als default wird WAN angezeigt, aber wenn ich z.B. bei wieistmeineIP nachschaue, dann taucht dort die IP des VPN Tunnels auf.
Nur hilft es auch nicht den default-Hacken bei einem anderen Gateway zu setzen und dann wieder auf WAN zurück… Auch wenn ich jetzt das VPN Gateway deaktiviere, dann habe ich trotzdem die VPN IP nach außen (mit default Gateway). Wo könnte der Fehler liegen? :o -
Mal alle states zurückgesetzt? Wenn du den VPN-Client deaktivierst (anstatt das GW zu deaktivieren) ist es dann immer noch so?
-
States zurückgesetzt: alles beim alten. Wenn ich den VPN-Client deaktiviere, dann habe ich die WAN IP nach außen.
-
Magst du mal deine Regeln und Outbound NAT per Screenshot zeigen?
-
So sieht's aus:
(Heimnetz [DHCP an] ist ein Bridge aus LAN+WLAN [DHCP bei beiden aus]) -
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Mit bridges kenne ich mich leider nicht aus und kann daher nicht viel zu den bridges sagen.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Hast du Regeln bei der Floating Sektion?
-
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Ganz genau.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Unter dem jeweiligen Alias sind bestimmte Geräte festgelegt, welche über den einen oder anderen VPN Tunnel sollen. So kann ich auch immer wieder weitere Geräte unter Aliases hinzufügen oder entfernen, ohne dabei etwas an den Regeln zu verändern.
Hast du Regeln bei der Floating Sektion?
Nein, dort sind keine Regeln eingerichtet.