Open VPN - internes Netz nicht erreichbar
-
Hallo zusammen
Ich habe als Modem Router eine Fritzbox, die als IP Adresse 192.168.2.254 hat. Ich habe dann einen exposed Host (Fritzbox nennt das so, ist ein DMZ Port) eingerichtet, also auf der IP 192.168.2.224 ist meine pfSense angeschlossen. Das ist gleichzeitig auch der WAN Port bei der pfSense. Internes LAN habe ich auf 192.168.1.0/24 eingerichtet, dort läuft auch der DHCP Server. Den Gateway von diesem LAN ist dann 192.168.1.254. Nun habe ich OpenVPN eingerichtet. Soweit habe ich alles mit dem Wizard eingerichtet. VPN Tunnel wird auch aufgebaut, aber ich komme nicht zum internen LAN. Ich kann nur die WAN Adressen - also Fritzbox mit 192.168.2.254 kann ich anpingen, und die WLAN Devices die auch im 192.168.2.0/24 Netz hängen, die kann ich auch anpingen. Aber z.b den Gateway vom internen LAN also 192.168.1.254 kann ich nicht anpingen, oder einen Server der in diesem Netz hängt ( nein, keine Windows Firewall aktiviert). Irgendwas fehlt hier noch. Ich weiss aber nicht ob es eine Route im OpenVPN Teil ist, oder eine Firewall Rule für das WAN Interface. Habt ihr mir hier evtl. eine Lösung, da ich echt am verzweifeln bin.
Gruss
Frank -
Da der VPN Tunnel steht nehme ich an das erfolgreich ein Regel auf der WAN Schnittstelle eingerichtet wurde.
Gibt es auch eine Regel auf dem "neuen VPN" Reiter?
-
hallo, hmm meinst du ob in den Firewall Rules unter VPN eine Regel erstellt wurde? ja ist eine rule erstellt worden! lustig ist, wenn der Tunnel aufgebaut ist, und ich ein ipconfig mache, dann ist der Gateway leer, ist das normal?
gruss
frank -
Hallo,
ob ein Gateway aufgelistet wird, hängt von der Konfiguration ab. Wenn du da mit dem Wizard gemacht hast und nur auf das interne Netz möchtest, gibt es kein Gateway, da werden Routen gesetzt.
Das LAN-Gateway 192.168.1.254 ist das LAN-Interface der pfSense?
Wenn ja, versucht mal diese vom VPN Client zu pingen. Wenn das funktioniert, überprüfe ob nicht die Firewall am LAN-Gerät den Zugriff blockiert.
-
das LAN Gateway 192.168.1.254 ja das ist das LAN Interface der pfSense. Und ein PING auf diese IP vom Client mit aufgebauten Tunnel geht eben nicht. das ist leider genau das Problem. wo fehlt mir da jetzt was? muss da was beim openVPN Wizard noch mitgegeben werden (push route oder sowas) oder fehlt eine statische Route oder eine Firewall Regel? danke euch auf jeden fall das ihr mich nicht im regen stehen lässt
-
Wenn da Regel gesetzt ist, muss es an der Route liegen.
In den Server Settings gibt es das Feld "IPv4 Local network(s)". Da muss das LAN-Subnetz eingetragen werden, also 192.168.1.0/24.
Das macht der Wizard allerdings normalerweise automatisch.Kann auch sein, dass der Client die Route mangels Rechten nicht setzt.
-
hmm ich starte die open vpn gui beim client als administrator, also an dem kann es nicht liegen. müsste nicht eine statische route auch erstellt werden manuell? oder an was kann das noch liegen? doch firewall rule?
-
Dann post bitte mal, was "route print" in der CMD ausgibt. Dann wissen wir es besser.
-
IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 172.26.140.1 172.26.143.49 50 0.0.0.0 128.0.0.0 10.0.0.1 10.0.0.2 35 10.0.0.0 255.255.255.0 Auf Verbindung 10.0.0.2 291 10.0.0.2 255.255.255.255 Auf Verbindung 10.0.0.2 291 10.0.0.255 255.255.255.255 Auf Verbindung 10.0.0.2 291 10.0.2.0 255.255.255.0 10.0.0.1 10.0.0.2 35 31.10.22.7 255.255.255.255 172.26.140.1 172.26.143.49 50 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331 128.0.0.0 128.0.0.0 10.0.0.1 10.0.0.2 35 172.26.140.0 255.255.252.0 Auf Verbindung 172.26.143.49 306 172.26.143.49 255.255.255.255 Auf Verbindung 172.26.143.49 306 172.26.143.255 255.255.255.255 Auf Verbindung 172.26.143.49 306 192.168.1.0 255.255.255.0 10.0.0.1 10.0.0.2 35 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331 224.0.0.0 240.0.0.0 Auf Verbindung 172.26.143.49 306 224.0.0.0 240.0.0.0 Auf Verbindung 10.0.0.2 291 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331 255.255.255.255 255.255.255.255 Auf Verbindung 172.26.143.49 306 255.255.255.255 255.255.255.255 Auf Verbindung 10.0.0.2 291 =========================================================================== -
Also die Route ist gesetzt. Sollte von da her funktionieren.
Drei Dinge sind mir aber aufgefallen:
Du hast offenbar auch "Redirect gateway" angehakt. Es sollte nicht beides gemacht werden, entweder das oder die Einträge der lokalen Netzwerke.
Du hast auch eine Route für 10.0.2.0/24, die auf den VPN-Server zeigt.
Für das WAN-Netz, bzw. die interne FB-IP 192.168.2.254, gibt es keine Route über VPN. Folglich könntest du diese nur über das Default-Gateway vom Client erreichen.
Wie ist denn der Client angeschlossen? Hängt der auf einem anderen Netz an der FritzBox? -
ja habe redirect gw angehakt, also besser nicht?
ja ich habe bei openVPN zum testen 2 routen mit push route dazu getan, einmal eben das interne LAN mit 192.168.1.0/24 und dann noch mein IPSEC Tunnel der von Azure aufgebaut ist, da habe ich 10.0.0.0/16. und dort stehen die server im 10.0.2.0/24 Netz, deswegen habe ich diese Route auch noch dazugetan, aber klar, keine ahnung ob das gut war. ich teste mit dem laptop von einem öffentlichen hotspot, also ganz wo anders, und verbinde mich mit VPN. also ganz ein anderes Netz :) -
Es sollte nicht beides gesetzt sein, "Redirect Gateway" und "Local Networks". "Redirect Gateway" setzt ja schon die Default-Route, d.h. es gehen alle Verbindungen zu anderen Netzen über die VPN, da braucht es nichts weiteres. Ich denke aber nicht, dass du das so haben möchtest. Also Haken bei "Redirect Gateway" wegnehmen.
In den "Custom options" gehört überhaupt keine "push route" mehr rein. Alle benötigten Netze sollten "Local Networks" durch "," getrennt reingeschrieben werden. Bsp. "192.168.1.0/24,10.0.2.0/24".
Wenn das richtig gestellt ist und du erreichst 192.168.1.254 immer noch nicht, mach mal ein Packet Capture auf der pfSense (Diagnostics-Menü). Als Interface wähle "OpenVPN" und als Protocol ICMP und prüfe, ob die Pings da ankommen.
-
ok dann werde ich das noch testen, du meinst local network dann beim open vpn wizard nehme ich an, ich werde es testen. cool, gebe dir bescheid. gruss
-
so ich habe nun den redirect gateway rausgenommen und im local network folgendes gesetzt:
192.168.2.0/24,192.168.1.0/24,10.0.0.0/16Wow, nun funktioniert der ping auch auf das interne LAN auf den 192.168.1.254. Auch auf das HP ILO MGMT mit 192.168.1.252 komm ich nun rauf, das geht also in meinen augen. nur der Zugriff auf die Azure IPSec 10.0.0.0/16 geht nicht. Also ich schalte in Azure den AD Server ein, der die 10.0.2.101 hat, aber ich kann ihn nicht pingen. Kann ich mit dem open VPN dann überhaupt auf den IPSEC Tunnel zugreifen?
Hier der Output vom Packet Capture:
23:58:33.082445 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 828, length 40
23:58:33.082470 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 828, length 40
23:58:34.112197 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 829, length 40
23:58:34.112213 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 829, length 40
23:58:35.137665 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 830, length 40
23:58:35.137680 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 830, length 40
23:58:40.020774 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 831, length 40
23:58:40.020791 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 831, length 40
23:58:41.922452 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 832, length 40
23:58:41.922469 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 832, length 40
23:58:42.932329 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 833, length 40
23:58:42.932344 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 833, length 40
23:58:43.945614 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 834, length 40
23:58:43.945629 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 834, length 40
23:58:44.972436 IP 192.168.100.2 > 192.168.1.254: ICMP echo request, id 1, seq 835, length 40
23:58:44.972451 IP 192.168.1.254 > 192.168.100.2: ICMP echo reply, id 1, seq 835, length 40
23:58:49.235986 IP 192.168.100.2 > 10.0.2.101: ICMP echo request, id 1, seq 836, length 40
23:58:54.002531 IP 192.168.100.2 > 10.0.2.101: ICMP echo request, id 1, seq 837, length 40
23:58:59.010760 IP 192.168.100.2 > 10.0.2.101: ICMP echo request, id 1, seq 838, length 40
23:59:04.002508 IP 192.168.100.2 > 10.0.2.101: ICMP echo request, id 1, seq 839, length 40hey schon mal jetzt coole sache vielen dank, hast mir schon super geholfen, wenn wir das noch mit Azure IPSEC herbringen könnten, wäre coole Sache!
gruss frank
-
Kann ich mit dem open VPN dann überhaupt auf den IPSEC Tunnel zugreifen?
Solange dein OpenVPN-Tunnel ein Subnetz des Azure-Netzes ist, wird das nix!
Wenn du diesen entsprechend geändert hast, musst du noch dem IPSec Tunnel klar machen, an welchem Ende welches Netz zu finden ist.
-
hmm, ich habe ja das OpenVPN Netz umgestellt auf 192.168.100.0/24, das Azure IP Sec Netz ist ja das 10.0.0.0/16. Internes Netz ist 192.168.1.0/24, und WAN ist 192.168.2.0/24. Was müsste ich nun beim IP Sec Tunnel noch einstellen, oder hab ich was falsch verstanden?
-
Moment, möglicherweise hab ich was falsch verstanden.
Zwischen welchen Geräten steht die IPSec Tunnel. Zwischen pfSense und Azure und du möchtest mit dem PC über OpenVPN auf die pfSense und dann über IPSec auf die Azure Server zugreifen? So hab ich es verstanden.
-
ja eigentlich habe ich es mir so gedacht:
zuhause habe ich den IPSec Tunnel zu der Azure, das heisst meine Server von 192.168.1.0/24 können nun auch die Server im Azure Netz erreichen 10.0.2.0/24. Nun versuche ich, das wenn ich mit dem Laptop unterwegs bin, mit OpenVPN auf mein Netzt zuhause zuzugreifen, also auf das 192.168.1.0/24, was nun auch geht, aber schön wäre jetzt noch wenn ich auch nun die Azure Server erreichen könnte, also die Server die im 10.0.2.0/24 oder halt insgesamt ist das Azure Net auf 10.0.0.0/16 eingerichtet, erreichen könnte. Weiss allerdings gar nicht ob das so möglich ist. Geht das überhaupt?gruss
frank -
Ja, geht, wenn die Routen stimmen.
Das Server Netz von Azure 10.0.2.0/24, das du erreichen möchtest, hast du ja schon zu den Local Networks im OpenVPN-Server hinzugefügt. Wenn du das ganze Netz 10.0.0.0/16 erreichen möchtest, setze eben dieses anstatt 10.0.2.0/24 ein.
Dann musst du noch die Routen für den IPSec-Tunnel setzen.
Dazu musst du der IPSec-Konfiguration auf beiden Seite eine zusätzliche Phase 2 hinzufügen.
Auf der pfSense:
Local Network: 192.168.100.0/24 (das OpenVPN Tunnel-Netz)
Remote Network: 10.0.2.0/24 (das Netz, das du auf der anderen Seite erreichen möchtest)Auf Azure-Seite muss das genau umgekehrt aussehen.
Grüße
-
ok, es reicht mir das 10.0.2.0/24 Netz, da sind die backend Server drin, habe mir das auch schon so gedacht. Ich habe bereit im IPSec in der Phase2 Entrie als Local Network die 192.168.100.0/24 und als remote wieder die 10.0.2.0/24 eingetragen, da ich das schon vermutet hatte, trotzdem geht der PING noch nicht, aber du hast ja wahrscheinlich recht, natürlich werde ich genau das gleiche noch beim Azure GW einrichten müssen. Mal schauen, hey echt, cool das du mir hilfst. genial. auch grüsse aber nun mal zuerst gn8, mach morgen am abend weiter!