Hilfe bei VPN Einrichtung
-
Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)
Edit: System / Advanced / Misc / Skip rules when gateway is down
-
Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection
Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.
-
Danke euch beiden!
Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)
Edit: System / Advanced / Misc / Skip rules when gateway is down
Das war tatsächlich so einfach ::) Darüber war ich auch schon mal gestolpert, habe aber den Sinn dieser Funktion nicht richtig verstanden.
@Marvho:Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection
Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.
Danke für die schöne Anleitung!
-
Hallo,
ich habe noch eine Frage bzgl. dieser Konfiguration. Ich kann die WebGUI des Modems nicht erreichen, sobald das VPN als Gateway genutzt wird. Wenn alles über WAN läuft, kann ich problemlos über 192.168.100.1 darauf zugreifen. Wenn ich aber über den VPN Tunnel online gehe, funktioniert das auf einmal nicht mehr. Muss ich da noch eine Regel beim entsprechenden VPN-Interface erstellen? Kann jemand weiterhelfen?
-
Eine Regel über der "VPN-Gateway" Regel erstellen, mit der Destination IP vom Modem und dem default Gateway sollte reichen.
-
Ach ok, das war ja wieder einfach. Danke!
Ich habe versucht die gleiche Regel beim VPN-Interface zu erstellen…Kann mir evtl. noch jemand erklären, warum bei mir das "default Gateway" nicht funktioniert? Also auch bspw. bei der obigen Regel, wenn ich dort das Gateway auf "default" lasse, dann funktioniert die Regel nicht. Wenn ich dort aber explizit das WAN_Gateway auswähle (welches ja als default eingerichtet ist), dann geht es. ???
-
Schau mal oben unter dem Reiter "System" und dann "Routing" welches Gateway dort als default markiert ist. Falls das VPN-Gateway dies ist, einfach das WAN Gateway bearbeiten und bei```
Default Gateway
This will select the above gateway as the default gateway. -
Ja, das kenne ich und wie gesagt - WAN ist als default Gateway definiert! Das ist ja auch irgendwie das Problem.
Als default wird WAN angezeigt, aber wenn ich z.B. bei wieistmeineIP nachschaue, dann taucht dort die IP des VPN Tunnels auf.
Nur hilft es auch nicht den default-Hacken bei einem anderen Gateway zu setzen und dann wieder auf WAN zurück… Auch wenn ich jetzt das VPN Gateway deaktiviere, dann habe ich trotzdem die VPN IP nach außen (mit default Gateway). Wo könnte der Fehler liegen? :o -
Mal alle states zurückgesetzt? Wenn du den VPN-Client deaktivierst (anstatt das GW zu deaktivieren) ist es dann immer noch so?
-
States zurückgesetzt: alles beim alten. Wenn ich den VPN-Client deaktiviere, dann habe ich die WAN IP nach außen.
-
Magst du mal deine Regeln und Outbound NAT per Screenshot zeigen?
-
So sieht's aus:
(Heimnetz [DHCP an] ist ein Bridge aus LAN+WLAN [DHCP bei beiden aus]) -
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Mit bridges kenne ich mich leider nicht aus und kann daher nicht viel zu den bridges sagen.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Hast du Regeln bei der Floating Sektion?
-
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Ganz genau.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Unter dem jeweiligen Alias sind bestimmte Geräte festgelegt, welche über den einen oder anderen VPN Tunnel sollen. So kann ich auch immer wieder weitere Geräte unter Aliases hinzufügen oder entfernen, ohne dabei etwas an den Regeln zu verändern.
Hast du Regeln bei der Floating Sektion?
Nein, dort sind keine Regeln eingerichtet.
-
Hast du beim VPN Client den Haken "Don't pull Routes" drin? Das könnte es eventuell sein.
-
Sorry für die längere Abwesenheit, hatte aber keine Zeit zum Testen.
Tatsache, mit deiner Vermutung hattest du Recht, vielen Dank!
Ich hätte da mal noch eine Frage zu VPN, diesmal aber zum IPSec Protokoll. Wenn ich es richtig verstehe, bietet pfSense an dieser Stelle keine wirkliche Trennung zwischen Client und Server wie bei OpenVPN? Folglich kann man die pfSense als Client auch nicht so einfach mit einem Server verbinden (wie man es bspw. vom Smartphone kennt), aber es soll ja nicht unmöglich sein. Was genau braucht man also dafür? Habe irgendwie keine brauchbaren Anleitungen gefunden…
-
Da ich mich mit dem Thema IPSec in Bezug auf PfSense noch nicht befasst habe, kann ich leider nicht helfen.
Falls sich hier niemand melden sollte, würde ich im Englischen IPSec Bereich mal nachfragen. -
Ok, danke für den Tipp, werde ich dann machen, wenn meine wichtigsten To-Do's abgearbeitet sind.
Jetzt habe ich aber noch eine wichtige Frage zu den eingerichteten OpenVPN Tunneln: wie schützt man sich vor DNS Leaks bzw. macht der pfSense deutlich welche DNS Server von welchen Interfaces verwendet werden sollen? Ich dachte, man stellt es unter System => General Setup ein (dort eben den DNS Server und das entsprechende Gateway)? Aber das scheint nicht zu funktionieren, denn ein DNS Leaktest zeigt meine reale IP Adresse. Kann sein, dass noch irgendwo in den Einstellungen ein Haken gesetzt werden muss oder es evtl. in Kollision mit den zuvor getätigten Einstellungen geraten ist?
*edit: ok, hat sich erledigt.
-
Ich mache das mit unbound, einfach als outgoing Interface das VPN nutzen. Hat natürlich den Nachteil, dass wenn der tunnel down ist, kann kein PC mehr DNS auflösen. Das kann man aber mit dem Service Watchdog am besten verhindern.
-
Ich habe die DNS Server im DHCP Server Bereich festgelegt und es scheint alles problemlos zu funktionieren.
Ich bin gerade wieder einmal auf ein Problem gestoßen. Auf einem Mac brauche ich ab und zu für eine Anwendung eine IP aus dem Ausland. Daher dachte ich mir, ich richte mir mal einen OpenVPN Tunnel direkt auf dem Mac ein. Die Verbindung wird zwar aufgebaut, jedoch habe ich keinen Internetzugriff, muss ich dafür noch etwas in der Firewall freigeben?
Ich habe 3 unterschiedliche Fälle, die mich noch mehr verwirren…
1. Bei einem Tunnel wird der normale OpenVPN Port 1194 verwendet. Wenn ich diesen in der pfSense auf die private IP meines Mac's weiterleite, dann kann ich eine Internetverbindung aufbauen; sonst geht's nicht.
2. Bei einem anderen Tunnel wird ein anderer Port verwendet. Wenn ich diesen freigebe, dann habe ich trotzdem keine Internetverbindung.
3. Zum Ausprobieren habe ich auf dem iPhone die App OpenVPN installiert und dort genau die .ovpn Config aus Fall 2 eingerichtet => es funktioniert auf Anhieb, ohne irgendwelche Portfreigaben in der pfSense. Warum geht es also beim Mac nicht so einfach?