VPN Verbindung tut, aber ich erreiche nichts

kugman

OK, abgesehen davon, dass ich der OpenVPN-Geschichte gerne nochmal eine Chance geben werde, muss ich vorerst noch auf die MS-integrierte Lösung setzen.
Ich habe nach wie vor das Problem, dass der Tunnel zwar aufgebaut wird, ich aber keinerlei interne Ressourcen erreiche.
Kann mir hier noch jemand weiterhelfen? Das wäre klasse.

@JeGr Gibt es für die OpenVPN-Lösung ein Tutorial oder ein HowTo? ICh würde gerne verstehen, was ich da zu tun hab.

JeGr

@kugman: Bei der integrierten Lösung kann ich nur bedingt helfen, da wir das so nicht im Einsatz haben, ich würde aber - wenn keine Resourcen erreicht werden - mal die zugehörigen Routen prüfen, ob die überhaupt auf dem Client ankommen und die Phase 2 Logs prüfen (generell mal Logs checken).

Was OpenVPN angeht kann man das problemlos mit dem Wizard einrichten, sich dann noch das Client Export Package installieren und hat damit normalerweise innerhalb von Minuten eine funktionierende Lösung. Je nachdem wie man das aufbauen möchte (mit SSL Zertifikaten oder ohne, User Login/PW, weitergehende Rechte, Radius ja/nein etc.)

Ansonsten sollten dir:
https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
oder
https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS

weiterhelfen können :)

kugman

Hallo zusammen,

sieht bis jetzt ganz gut aus, ich habe das OpenVPN nun am laufen. Das einzige was noch nicht funktioniert ist folgendes.
Bis jetzt liegen an der LAN-Seite zwei Subnetze an.
10.47.211.0/24 und 192.168.47.0/24

Das 10.47.211.0-Netz kommt von der Fritz!Box, an deren gebridgten Interface die PFSense hängt. Die Fritzbox macht auch DHCP und DNS für dieses Netz.
Das 192.168.47.0-Netz hat keinen DHCP
Ich habe keine VLANs und würde das gerne nun mit VLANs lösen. Wie kann ich das machen? Gibt es dafür auch ein HowTo?

Am besten wär es, wenn ich insgesamt 3 Gruppen hätte, jeweils eine Gruppe, die in jeweils eines der beiden Subnetze darf und eine, die in beide Subnetze zugreifen darf.

Gruß
Markus

kugman

kann mir bitte jemand weiterhelfen?
Ich kann keine VLANs machen, weil das mein Switch nicht unterstützt. Deshalb muss ich die beiden LANs direkt am Switch anlegen.

dazu habe ich auf dem LAN-interface der PFsense das normale LAN angelegt und das zweite IP-Segment ebenfalls als VLAN1 an das LAN-interface angehängt.
Ich bekomme aber immernoch keinen Zugriff in das VLAN, wenn ich mich von meinem iPhone per OpenVPN anmelde.

JeGr

Deine Aussagen

dazu habe ich auf dem LAN-interface der PFsense das normale LAN angelegt und das zweite IP-Segment ebenfalls als VLAN1 an das LAN-interface angehängt.

und

Ich kann keine VLANs machen, weil das mein Switch nicht unterstützt. Deshalb muss ich die beiden LANs direkt am Switch anlegen.

beißen sich da für mich gerade. Entweder dein Switch kann keine VLANs, dann definiere auch bitte auf der pfSense keine, denn das wird sonst chaotisch. Oder er kann VLANs, dann muss es auch komplett durchkonfiguriert werden.
Wenn dein Switch etc kein VLAN kann, kannst du nicht in der pfSense einfach ein VLAN anmelden (schon gar nicht 1!, das gibt Probleme, denn oft ist VLAN1 das Default VLAN und kollidiert dann in manchen Situationen mit untagged Paketen). Wenn du trotzdem zwei interne IP Ranges fahren willst, dann solltest du ein IP Alias auf dem LAN anlegen und zusehen dass deine Clients dann funktionieren (ggf. auch die outbound NAT Regeln erweitern). Erst wenn das alles sauber geht, nach VPN schauen. Da muss dann wahrscheinlich das zweite Netz einfach als Route mit gepusht werden.

Gruß

kugman

sorry, ich habe mich vielleicht missverständlich ausgedrückt.

die beiden Aussagen beissen sich nicht wirklich.
Ich habe auf dem LAN-Interface mein "Hauptsubnetz" konfiguriert 10.47.211.0/24
Dann bin ich auf VLANs gegangen und hab ein VLAN mit der ID 1 gebaut 192.168.47.0/24 und dies habe ich auf den physischen Adapter des LAN gelegt. Das meinte ich damit.

Mit "ich kann keine VLANs machen, weil mein Switch das nicht unterstützt" meinte ich, dass ich nicht das 10er Netz in VLAN10 und das 192 in das VLAN 47 packen kann. Dazu müsste ich meinen Switch ja mit PVIDs betanken bzw. definieren, welcher Port welches VLAN "darf". Das kann aber mein Switch nicht, weil es ein alter dusseliger Netgear-Switch ohne Management ist.

Jetz werde ich das mit den IP ALIASen testen! Vielen Dank :-)

JeGr

Dann bin ich auf VLANs gegangen und hab ein VLAN mit der ID 1 gebaut 192.168.47.0/24 und dies habe ich auf den physischen Adapter des LAN gelegt. Das meinte ich damit.

Richtig und damit hast du

1.) ein VLAN auf ein LAN gelegt auf dem du untagged arbeitest (also ohne VLAN Tag). Das macht man schon aus Debugging Gründen nicht und gibt mitunter ganz unschöne Fälle. Wenn man sowas vermeiden kann, tut man es nicht.
2.) ein VLAN - also ein neues LAN - definiert und taggst Pakete für das 192er Netz, obwohl du keinerlei Hardware hintendran hast, die das unterstützt. Ergo -> wofür? Wer soll die Pakete weiterleiten? Dein Switch wird - wenn er keine VLANs kann - im dümmsten Fall die Pakete entweder verwerfen oder den Tag weghauen. Je nachdem. Deshalb braucht man ja auch nen Switch der das unterstützt, andernfalls bringt es auch nichts einfach nur ein VLAN zu definieren. Das soll ja ein Netz wirklich isoliert trennen. Wenn die Geräte das aber nicht können, macht es wenig Sinn :)

Wenn du dann eh beide Netze auf dem gleichen L2 Layer rumfliegen hast, dann ist IP Alias eigentlich das was du suchst - oder ein paar Euro für einen kleinen VLAN fähigen Switch, so teuer sind die heut nicht mehr :D

kugman

hab ich kapiert - danke.

Würde es mir auch was bringen, das über die Interfaces der PFSense zu machen? also quasi so:

NIC1 = WAN (klar)
NIC2 = LAN (10.47.211.0/24)
NIC3 = OPT (192.168.47.0/24)

wobei ich NIC2 und NIC3 an ein-und-dem-selben Switch quasi nebeneinander einstecken würde

Wie würde ich dann da das Routing zwischen den 3 Netzen hinbekommen. Das Ziel wäre: NIC 3 darf ins Internet aber nicht ins LAN von NIC2, NIC 2 darf ins Internet aber nicht in LAN von NIC3, außer über VPN, und von außen müsste ich Zugriff per VPN haben, am besten geteilt: z.B. User 1 darf ins LAN von NIC2, User 2 darf ins LAN von NIC3, User 3 darf in beide LANS

JeGr

wobei ich NIC2 und NIC3 an ein-und-dem-selben Switch quasi nebeneinander einstecken würde

Wuah, nein! Da der Switch KEIN VLAN kennt, würdest du eine Schleife bauen. GANZ BÖSE! Nope, Nada, Nyet :D

Solang du das nicht auf Layer 2 mit dem Switch trennen kannst, tu es nicht :) Das klappt nicht. Dann lieber für 20-40€ nen kleinen VLAN Switch kaufen und gut. Du kannst ja nen kleinen 5er nehmen und dort an jeden VLAN Port dann nen dummen Switch. Aber niemals ungetrennt 2 NICs an den gleichen "dummen" Switch ohne extra VLAN anschließen.

kugman

ach deshalb wurde aus meinem LAN plötzlich ein LAHM :-) Okee…

kugman

Sodele - Statusupdate:

ich hab nun auf der pfsense auf dem lokalen LAN-Interface das eine Subnetz und als Virtuelle IP das zweite Subnetz konfiguriert. Das hatte ich zwar davor auch schon gemacht, da hat es aber nicht funktioniert - wahrscheinlich hatte ich das System völlig verdaddelt.
Nach einem "reset to factory Defaults" hab ich das dann erfolgreich durchführen können.
Dann also die OpenVPN-Konfiguration. CA und Serverzertifikat gebaut. Dann 2 Benutzergruppen gebaut und in beide jeweils einen User gepackt und ein Zertifikat für den User erstellt.
Anschließend den OpenVPN-Wizard durchlaufen lassen und das VPN für das 192-er Subnetz konfiguriert, dann den OpenVPN-Wizard nochmal gestartet und auf einem anderen Port ein VPN für das 10-er Netz konfiguriert.
Danach mit dem Client-Export-Addon jeweils ein Paket je RemoteAccessServer erstellt, getestet, wunderbärchen!

Was ich jetzt noch nicht ganz verstehe, bzw, was noch nicht klappt:

ich suche vergeblich irgendwo eine Möglichkeit eine user- oder usergruppenbasierte Firewallregel zu erstellen. Bin ich nur blind, oder ist das irgendwo versteckt.

Weil eigentlich will ich nich 2 RemoteAccessServer konfigurieren, sondern nur einen, und in den dann beide Subnetze packen. Wenn ich dann im Regelwerk sagen könnte, dass der eine User nur links und der andere User nur rechts abbiegen darf wäre das schon ne feine Sache, und einem dritten User könnte ich dann sagen, du darfst in beide Netze.

viragomann

Nein, du siehst schon richtig. User-basierte Regeln unterstützt pfSense nicht.

Abhelfen musst du dir mit VPN > OpenVPN > Client Specific Overrides.
Hier kannst du ein schmales Subnetz aus dem VPN-Tunnel für bestimmte Clients reservieren und dieses dann in den Firewall-Regeln als Quelle verwenden.
Achte auch darauf, dass "Strict User-CN Matching" in den Servereinstellungen gesetzt ist.