Openvpn Client
-
Die Frtizbox ist da Modem und fürs Telefon zuständig,
die PFSense hängt mit fixer IP (Wan Port) hinter der FB.
Die PFSense ist auch das Gateway für alle anderen Geräte…Die Route: 192.168.0.0 -> 192.168.100.254
Lan -> Gateway (Wan IP PFSense)lg
-
Möglicherweise stehe ich gerade völlig am Schlauch, aber ich sehe immer noch keinen Grund für eine statische Route.
Eine solche ist doch nur nötig, wenn hinter einem anderen Gerät, das nicht das Default-Gateway ist, hier hinter der FB, ein Netz liegt, das man erreichen möchte.Auch die Route erschließt sich mir nicht, ohne die IPs zu kennen. 192.168.0.0 routest du auf 192.168.100.254. Letztere ist vermutlich die FB, aber was ist die erste und wie ist die Beschreibung zu deuten?
-
Lassen wir die statische Route Mal weg. Vielleicht hat wer für das von Problem einen Vorschlag?
Stiffmeister
-
ich mutmaße mal, die Route ist (/16? /24?) so angelegt, dass die FB einfach alles was nicht ihr eigenes 192.168.178.x ist an die pfSense zurück schickt, damit ggf. auch vorne an der FB was hängen kann, was man aber (teils) wie eine DMZ quasi nach hinten ins LAN lassen kann. Ist jetzt nicht so ungewöhnlich, die Frage aber berechtigt, denn an der Route könne es ja mitunter auch klemmen was schief geht.
Und da dein Remote LAN ja 192.168.3.0 hat, könnte das schon zusammenhängen.Nochmal in Kürze:
Dein Netz hat 192.168.0.0/24?
Nachbar ist 192.168.3.0/24?Von dir aus von der pfSense geht ein Ping nach 192.168.3.1 (WRT gegenüber) sauber durch. Auch auf eine andere IP als nur den Router? also .3.z?
Von dir aus HINTER der pfSense also von .0.xy nach .3.1 geht nicht? Auch nicht auf eine IP .3.z?Gruß Jens
-
Hallo, ja das trifft es eigentlich genau. Nur ist im Moment noch kein Gerät hinter dem Openwert, da Neubau.
Lgedit:
haben nun noch ein Endgerät aktiviert und das kann man auch von der pfSense pingen….
ist vielleicht eine Kleinigkeit, die ich falsch gemacht habe. Nur was?? -
Was für ein Endgerät und wo? Und ein Gerät hinter deiner pfSense kann trotzdem weder den WRT noch das Gerät pingen (wenn es hinter dem WRT sein sollte)?
-
Ich meinte ein Gerät im 192.168.3.0er Netz hinter dem Openwrt.
Das kann ich von der pfsense aus pingen, nicht aber von meinem PC aus.
LgEdit:
Habe nun auf dem Notebook OpenVpn installiert und wenn ich mich da auf den Openwrt Router verbinde,
dann komme ich überall hin.
Muss also irgendwas mi den Routen auf der pfsense sein.
Im Anhang mal ein Screenshot von den Routes auf der pfSense.lg
-
Ist die pfSense das Standard-Gateway am Rechner?
Der Screenshot stellt ja nur einen partiellen Ausschnitt der Routing-Tabelle dar; laufen auf der pfSense weitere OpenVPN Instanzen, Server oder Clients?
-
ja die pfsense ist das Standart Gateway.
kann später die ganze Routing table posten -
Die Beantwortung der Frage nach weiteren OpenVPN Instanzen würde auch reichen.
-
Sorry, hab ich zuerst überlesen :-/
Ja es gibt noch eine serverinstanz auf der pfsense. -
In diesem Fall solltest du jeder Instanz ein eigenes Interface zuweisen. Hast du das gemacht?
Die Rechte kannst du dann auf den jeweiligen Interfaces definieren.Edit:
Noch eine Sache: Die VPN sollte als Site-to-Site eingerichtet werden. Das scheint es bei dir nicht der Fall zu sein.
Das Tunnel-Subnetz sollte dabei ein /30er sein, so dass nur ein Client ins Netz passt. -
Nein hab der 2. instanz noch kein eigenes interface zugewiesen.
Das wäre dann z.b. "OPT1"?
Wenn ich das zugewiesen hab, was muss ich dann noch machen?
Hab mit den zusätzlichen interfaces noch keine erfahrung sammeln können.lg
-
Nut das Interface dem Anschluss zuweisen, dann das neue Interface öffnen, aktivieren und speichern. Nichts weiter.
-
ok,
das hab ich gemacht.
hat auch die IP bekommen.
Aber es hat sich nichts geändert. komme nicht auf das andere Netz. :-( -
Wenn du mit dem Notebook überall hinkommst, sollte es auch von der pfsense funktionieren.
Teste mal direkt auf der pfSense mit dem Diagnostic > Ping ToolEs könnte aber auch sein, dass auf der anderen Seite, am OpenWRT der Zugriff auf das Tunnel-Netz beschränkt ist. Denn wenn du mit dem Client direkt zugreifst, ist die Quell-IP aus dem VPN Tunnel, während sie bei der Site-to-Site die aus deinem LAN ist.
Ist das geklärt, ist der Rest nur mehr das Routing. Ja, auf der anderen Seite muss natürlich auch in OpenVPN die Route zu deinem Netz konfiguriert sein. Keine Ahnung, wie das am OpenWRT üblicherweise gemacht wird, aber in OpenVPN ist das bspw.
push "route 192.168.0.0 255.255.255.0"Das ist nötig, damit der Router die Paket für dein Netz in den Tunnel routet.
-
ja die pfsense kommt ja auch überall hin.
nur die clients hinter der pfsense nicht :-( -
Möglicherweise trügt mich mein Eindruck, dass du auf der anderen Seite nicht eingreifen möchtest oder kannst.
Wenn das so ist, hast du folgende Möglichkeit:Füge in Firewall > NAT > Outbound eine Regel für die VPN Pakete hinzu.
Das Outbound NAT ist standardmäßig im Automatik-Modus, das musst du erst auf Hybrid umstellen und diese Einstellung speichern. Dann eine Regel hinzu:
Interface: <das openvpn="" interface,="" das="" du="" zuvor="" der="" instanz="" zugewiesen="" hast="">Source: <dein lan="" netz="">Alle anderen Werte können auf den Defaults bleiben, eine Beschreibung steht dir noch frei, und die Regel speichern.Mit dieser NAT-Regel kommen deine Anfragen auf der anderen Seite mit der Quell-IP aus dem VPN-Tunnel an, so wird in der Behandlung dieser kein Unterschied zur Verbindung mit dem Laptop gemacht.</dein></das>
-
Danke für die Hilfe. Werd ich gleich mal testen.
Ja auf der anderen Seite läuft Win openwrt gerät, dass eigentlich nicht Supportet wird.
Deshalb kann man nur beschränkt eingreifen. Und da ich in dem Thema auch nicht so fit bin,
Wollte ich das dann vermeiden.Lg
