Hilfe bei VPN Einrichtung
-
Wie genau sieht deine Freigabe (Firewall-Rule) aus? Standardmäßig musst du für OpenVPN nichts an der PfSense ändern. Hast du eventuell einen Windows Client, wo du das ganze testen kannst? Am besten auch am gleichen Interface der PfSense (wahrscheinlich WLAN?) testen.
-
Ähm, ich wollte pfSense jetzt mal komplett ausschließen und habe meinen Mac über den Hotspot des iPhones mit dem Internet verbunden. Die VPN Verbindung klappte sofort und ich konnte problemlos über den aufgebauten Tunnel surfen. Dann muss es doch irgendwo in der pfSense einen Hacken geben?
Ob's mit Windows klappt, weiß ich noch nicht, aber evtl. kann ich es am Wochenende ja mal ausprobieren.
So sieht die Rule aus (befindet sich entsprechend beim VPN Interface, welches als Gateway des Mac's definiert ist):
-
Falls ich dich nun richtig verstanden habe, hast du diese Regel auf dem VPN Interface angelegt?
Eigentlich musst du keine Regeln auf dem VPN Interface anlegen, außer du möchtest vom VPN Tunnel aus auf dein LAN zugreifen. Ich habe auch keine angelegt.
Da das VPN Interface ein internes Interface der PfSense ist (OVPNC1 wahrscheinlich), musst du deine Regel eher auf dem entsprechendem Interface wo dein Mac dran hängt (LAN/WLAN, wo du auch das VPN als Gateway bestimmt hast) anlegen. -
Hmm, das ist schon lange her als ich die Regel erstellt habe (bzw. eine Portweiterleitung angelegt, die automatisch diese Regel erzeugt hat). Ich weiß nicht mehr aus welchem Grund ich darauf gekommen bin… wahrscheinlich bin ich davon ausgegangen, dass mein Mac ja die öffentliche IP des VPN Servers hat, nicht mehr die WAN IP und deswegen die Portweiterleitung auch entsprechend auf das VPN-Interface erfolgen soll, statt auf WAN.
Jedenfalls habe ich am WE einige allgemeine Änderungen vorgenommen und nun funktioniert alles ohne irgendwelche Portweiterleitungen, so wie es soll. Keine Ahnung was die Ursache für das Scheitern war, aber zum Glück habe ich das erreicht, was ich wollte. Danke für die Beteiligung!
-
Würde mal gerne meinen alten Thread rauskramen und noch eine Frage zur VPN Geschichte stellen.
Ich habe einen OpenVPN Server auf der pfSense laufen, womit sich die mobilen Geräte verbinden und es läuft auch nahezu alles, so wie ich es mir vorstelle.
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz. Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Also es sieht so aus, als würden alle Geräte denken, es wird nicht aus dem Heimnetz auf sie zugegriffen, sondern aus dem Internet (vermutlich wegen dem anderen Subnetz?).Hat jemand eine Idee, wie ich das lösen kann?
-
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz.
Was auch kein Wunder ist, denn sie sind es auch nicht.
Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Bei der FritzFon App bin ich nicht wirklich sicher, aber die AirPrint Geschichte bzw. der meiste AutoMagisch-Käse von Apple und Co. ist Bonjour/Avahi/Zeroconf. Und das basiert auf Broadcast etc. und wird IMHO nicht über OpenVPN geroutet. Deshalb haben die meisten solcher Geräte auch die Möglichkeit via IP o.ä. zu kommunizieren, weil man nicht weiß ob man direkt im gleichen Netz steht wie das Gerät. Wenn das Gerät mit der internen IP konfiguriert wird, sollte auch auch via VPN sauber funktionieren.
Gruß
-
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz.
Was auch kein Wunder ist, denn sie sind es auch nicht.
Ja, das stimmt schon. Aber der Sinn des VPN Tunnels ist ja u.a. den Heimnetzgeräten vorzutäuschen als wäre das per VPN angebundene Gerät eben bei mir zu Hause. Ist es nicht nur eine Sache der konkreten Einstellungen?
Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Bei der FritzFon App bin ich nicht wirklich sicher, aber die AirPrint Geschichte bzw. der meiste AutoMagisch-Käse von Apple und Co. ist Bonjour/Avahi/Zeroconf. Und das basiert auf Broadcast etc. und wird IMHO nicht über OpenVPN geroutet. Deshalb haben die meisten solcher Geräte auch die Möglichkeit via IP o.ä. zu kommunizieren, weil man nicht weiß ob man direkt im gleichen Netz steht wie das Gerät. Wenn das Gerät mit der internen IP konfiguriert wird, sollte auch auch via VPN sauber funktionieren.
Gruß
Zu Apple:
Stimmt, ich erinnere mich jetzt auch irgendwo gelesen zu haben, dass deren hauseigene Dienste nicht über den VPN Tunnel laufen - wenn also AirPrint dazugehört (wird ja wohl nicht anders sein), dann kann man das wohl komplett vergessen… schade eigentlich.Ok, habe den Drucker auf dem MacBook als IP Gerät eingerichtet und konnte einen Druckvorgang per VPN starten - das geht schon mal gut. Für iOS bräuchte ich ja wohl eine App, die das umsetzen kann (Druckvorgang an einen IP Drucker weiterleiten)? Nicht zufällig jemand einen Tipp für mich?
Ich habe Printer Pro seit längerer Zeit drauf, aber leider klappt das Drucken per VPN und IP Drucker nicht (obwohl die Testseite erfolgreich ausgedruckt werden konnte), müsste ich wohl noch ein bisschen experimentieren oder eben eine andere App suchen.Zur FritzBox:
Kenne es von früher, wo die FritzBox selbst noch als Router lief und eben einen VPN Server bereitgestellt hat. Dort klappte es ja auch irgendwie, dass man von außerhalb per FritzFon App zugreifen konnte, ohne dass der Zugriff aus dem Internet erlaubt werden musste. Also müsste man das gleiche auch bei pfSense irgendwie einrichten können?
Auch sieht man es anhand des Anmeldevorgangs im WebUI deutlich, dass die FritzBox per VPN angebundene Geräte als "Zugriff aus dem Internet" wertet. Im Heimnetz kann man den Benutzer aus der Liste auswählen, ansonsten muss der Nutzername manuell eingetippt werden. -
Ja, das stimmt schon. Aber der Sinn des VPN Tunnels ist ja u.a. den Heimnetzgeräten vorzutäuschen als wäre das per VPN angebundene Gerät eben bei mir zu Hause. Ist es nicht nur eine Sache der konkreten Einstellungen?
Nein der Sinn eines VPNs ist ein Tunnel um dein aktuelles Netz (oder die einzelne IP vom Mobilgerät) über einen sicheren abgeschirmten Tunnel mit deinem Heimnetz zu verbinden. Nicht dein Gerät so da reinzuhängen als wäre es da. Du kannst soetwas teilweise erreichen, indem man bspw. OpenVPN nicht via Tunnel Interface, sondern via Bridging Device verbindest. Mit Bridging wäre es durchaus denkbar, dass dann auch Multicast oder Broadcast Krams wie Avahi/Zeroconf/Bonjour funktioniert. Aber die funktionieren eben nur innerhalb des gleichen Subnets, nicht außerhalb der Boundaries.
als "Zugriff aus dem Internet" wertet.
Hängt das evtl. damit zusammen, dass er das Gerät aus dem Netz "hinter" der FB erwartet und deshalb das Transfernetz des VPNs als extern wertet? Kann man das ggf. hinzufügen? Andernfalls könnte evtl ein NATting für das VPN Gerät in Richtung Fritzbox helfen (nur eine Mutmaßung) ;)
-
Das mit der Bridge ist tatsächlich sehr interessant, ich schaue es mir mal auf jeden Fall an und melde mich dann, wie es (und ob es so) läuft.
-
Nur stehe ich gerade ein wenig auf dem Schlauch. Bisher war für den OpenVPN Server kein Interface angelegt, wie soll ich da verfahren?
-
Nur stehe ich gerade ein wenig auf dem Schlauch. Bisher war für den OpenVPN Server kein Interface angelegt, wie soll ich da verfahren?
Ein Interface dafür einrichten. Interfaces > (assgin), unter "available network ports" den OpenVPN Server auswählen, daneben auf add klicken, auf das neue Interface klicken, Enable wählen, einen brauchbaren Namen vergeben und speichern.
Aber, soweit ich weiß, findet Airprint die Geräte via Multicast. Könnte mir gut vorstellen, dass auch FritzFon dieses verwendet, weiß ich aber nicht.
Um die Multicasts des (W)LANs ins VPN zu bringen, bietet pfSense allerdings schon ein Lösung: Services > IGMP Proxy.
Wie man das konfiguriert, kann ich dir aber auch nicht sagen, hatte das vor Jahren nur probehalber mal gemacht. Ich glaube, das Interface von dem die Multicasts kommen, also (W)LAN, als Upstream setzen, das in welches sie gesendet werden als Downstream, ohne Garantie. ;)
Das VPN Interface ist dazu jedenfalls auch nötig. -
Ja, wie man ein Interface anlegt und so - das wusste ich schon. Ich war nur irritiert, ob ich nicht evtl. noch sonstige Einstellungen unter Rules oder sonst wo tätigen muss. Aber das ist mittlerweile erledigt. Nun zum Thema mit Multicast…
Danke für den Tipp mit IGMP Proxy. Das hat mich jetzt leider nicht weitergebracht (habe alle möglichen Varianten ausprobiert). Danach bin ich auf die Erweiterung Avahi für die pfSense gestoßen, welche ja wohl genau das tun soll - alle Multicasts auf allen bzw. ausgewählten Interfaces verfügbar machen.
Also habe ich das Package installiert und ausprobiert, aber auch dieses bringt mich keinen Schritt weiter. Leider nach wie vor nichts über das OpenVPN Interface verfügbar.
Generell scheint das Package aber seinen Dienst vorbildlich zu verrichten. Habe heute einen VLAN eingerichtet und von dort konnte ich problemlos solche Dienste wie Airprint oder Airplay erreichen, bis ich das entsprechende VLAN-Interface unter Avahi ausgeschlossen habe (warum läuft es eigentlich nach dem Ausschlussprinzip? :-).Idee, was ich noch versuchen könnte?