OpenVPN einrichten für bestimmtes VLAN
-
Gibt es eine Anleitung wie man VPN-Tunnel speziell für ein VLAN einrichtet? pfSense soll als Server eingesetzt werden.
-
Moin,
Du richtest erst, ganz normal, dein VLan Interface ein, dann OpenVPN und gibst dort die passende Netzmaske unter IPv4 Local Network/s an.
-teddy
-
Man kann kein VPN für ein VLAN einrichten. Der Router arbeitet auf Layer 3, ein VLAN auf Layer 2 ;D
Du kannst freilich gewünschte IP Adressbereiche, die meinetwegen in einem VLAN liegen, durch ein VPN tunneln.
Wenn das dein Ziel ist.
-
Mon Feb 15 17:32:22 2016 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015 Mon Feb 15 17:32:22 2016 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08 Mon Feb 15 17:32:37 2016 Control Channel Authentication: using 'pfSense-udp-1194-vpn-tls.key' as a OpenVPN static key file Mon Feb 15 17:32:37 2016 UDPv4 link local (bound): [undef] Mon Feb 15 17:32:37 2016 UDPv4 link remote: [AF_INET]192.168.178.5:1194 Mon Feb 15 17:33:37 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mon Feb 15 17:33:37 2016 TLS Error: TLS handshake failed Mon Feb 15 17:33:37 2016 SIGUSR1[soft,tls-error] received, process restarting Mon Feb 15 17:33:39 2016 UDPv4 link local (bound): [undef] Mon Feb 15 17:33:39 2016 UDPv4 link remote: [AF_INET]192.168.178.5:1194
Leider kommt immer diese Fehlermeldung :(
192.168.178.1 ip von der Fritzbox
192.168.178.5 ip von pfSense
192.168.178.59 ip von dem Client (direkt an Fritzbox angeschlossen) -
Vermutlich erreicht dein Client die pfSense auf 192.168.178.5:1194 gar nicht.
Wird der Port auf der FB durchgereicht und ist er auf der pfSense geöffnet?
-
Moin,
zeig mal bitte Deine Firewall Rules WAN.
-teddy
-
So sieht das jetzt in der Firewall aus. Ich habe aber eine Verständnisfrage, muss als IP für die VPN-Verbidung nicht meine öffentliche IP stehen (die ich von meinem ISP bekomme? ::))
-
Moin,
wie ist Dein Netzaufbau?
-teddy
-
So sieht das jetzt aus (extra eine Testumgebung). Ich möchte jetzt von 192.168.178.65 in VLAN 90 kommen. Später natürlich von Zuhause auch in VLANXX
-
Ich vermute mal die PfSense hängt hinter der FritzBox und hat damit eine private Adresse.
Es gibt da eine default Regel die sagt Block RFC 1918. Damit blockst du alle privaten IP Adressen weg.
Also wird die OpenVPN Anfrage immer geblockt.Wenn dein Setup so ist musst du ins WAN Interface gehen und den Hacken bei Block private networks raus nehemen.
Damit verschwindet die Regel Block RFC 1918 und deine Regel die den Zurgriff auf OpenVPN erlaubt greift auch.
Als IP musst du die angeben wie sich ein Client verbinden kann.
Ist er im FritzBox Netz geht die 192.168.178.5 ist er extern dann musst der Port 1194 von der FritzBox auf die 192.168.178.5 weitergeleitet werden.
Im Client gibst du dann die Öffentliche IP der FritzBox an.
Bei OpenVPN mit NAT habe ich schon festgestellt das es mit UDP Probleme geben kann hier besser TCP nutzen. -
Ich vermute mal die PfSense hängt hinter der FritzBox und hat damit eine private Adresse.
Es gibt da eine default Regel die sagt Block RFC 1918. Damit blockst du alle privaten IP Adressen weg.
Also wird die OpenVPN Anfrage immer geblockt.genau das war auch das Problem! Danke.
Um jetzt eine IP aus dem VLAN90 zu bekommen muss ich bei den Einstellungen
"Tunnel Settings" unter IPv4 Local Network die ip 192.168.90.0/254 eintragen oder? oder wird die IP unter IPv4 Tunnel Network eingetragen?
-
Möglich wäre es zwar per OpenVPN eine Layer 2 Verbindung zu bekommen aber davon wird immer abgeraten.
Normal macht man bei VPN ein neues VPN Netzwerk welches dann eine Route in das Zielnetz hat was in deinem Fall das VLAN 90 wäre.
Bei IPv4 Local Network/s trägst du dann das Zielnetz (oder Netze) ein welches vom OpenVPN Netz erreicht werden soll.
Bei IPv4 Tunnel Network trägst du das neue OpenVPN Netz ein das sollte ein Netz sein was es bei dir auf der PfSense noch nicht gibt.
Als Default wird oft 10.0.8.0/24 genommen.
Dann noch eine Firewall Regel auf dem OpenVPN anlegen und es sollte gehen.Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.
-
Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.
Öhm der Satz macht für mich gerade so gar keinen Sinn. Probleme beim NAT sind Probleme mit NAT und haben implizit ja nichts mit der Verbindung des Tunnels zu tun, ob die nun UDP oder TCP ist. Im Gegenteil, bei TCP hat man zusätzlich durch doppelten TCP Header schlechtere Performance und mutmaßlich noch MTU Probleme (oder muss zumindest ggf. dran rumschrauben). Kannst du mich erhellen? :)
-
Ja kann ich ;)
Ich hab eine PfSense die hat einmal PPPOE WAN direkt und noch ein Interface wo eine FritzBox mit einem zweiten WAN davor hängt.
Da ich per Mobile Client über beide WAN Anschlüsse reinkommen wollte habe ich im OpenVPN Server das Interface auf any und UDP gestellt.
Ein Forwarting von der FritzBox auf die PfSense gemacht.
Dann mit UDP getestet und es ging nicht über das FritzBox WAN. Keine Verbindung.
Per netstat geschaut es lauschte auf allen IP's sollte also gehen.
Dann hab ich alles auf TCP umgestellt und siehe da es geht.
Mag auch sein das es ein Bug ist aber bei mir lief es mit UDP einfach nicht. Daher der Hinweis von mir das es da Probleme geben könnte.
Bei mir war das so.PS:
Selbst auf dem WAN Interface (was ja direkt auf der PfSense ist) geht es nicht mit Interface any und UDP taucht nicht mal was im Log auf. Firewallregeln sind auch angepasst.
Stelle ich es auf TCP um geht es.
Per Wireshark sehe ich aber wie ein paar Pakete hin und her gehen. Aber weder Client so Server spucken so wirklich was aus.
Eben getestet. -
Selbst auf dem WAN Interface (was ja direkt auf der PfSense ist) geht es nicht mit Interface any und UDP taucht nicht mal was im Log auf. Firewallregeln sind auch angepasst.
Stelle ich es auf TCP um geht es.Für das was du möchtest gibts aber auch eine bessere Methode ;) Aber das wäre jetzt hier ziemlich OT. Nur soviel: es gibt da einen Eintrag bei doc.pfsense.org. Stichwort OpenVPN, Multi-WAN etc. Trick ist, OpenVPN nicht auf any zu setzen, sondern auf localhost zu binden und dann auf jedem WAN Port ein Forwarding auf localhost+port zu machen. Haben wir hier zweifach laufen.
Und ich habe im HomeLab OpenVPN auf default udp/1194 problemlos hinter einer Fritzbox mit exposed host setting laufen ;)Aber danke fürs erläutern, jetzt weiß ich auch was/warum da NAT im Zusammenhang kommt.
-
Möglich wäre es zwar per OpenVPN eine Layer 2 Verbindung zu bekommen aber davon wird immer abgeraten.
Normal macht man bei VPN ein neues VPN Netzwerk welches dann eine Route in das Zielnetz hat was in deinem Fall das VLAN 90 wäre.
Bei IPv4 Local Network/s trägst du dann das Zielnetz (oder Netze) ein welches vom OpenVPN Netz erreicht werden soll.
Bei IPv4 Tunnel Network trägst du das neue OpenVPN Netz ein das sollte ein Netz sein was es bei dir auf der PfSense noch nicht gibt.
Als Default wird oft 10.0.8.0/24 genommen.
Dann noch eine Firewall Regel auf dem OpenVPN anlegen und es sollte gehen.Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.
Das hat super funktioniert. Mein VPN-Client verbindet sich mit dem VPN-Server. Bekommt dann auch die IP-Adresse. Ich kann auch Clients aus dem 90-er VLAN anpingen. Ich gehe davon aus, dass für RDP noch die Firewall angepasst werden muss, oder?
-
WAN Port ein Forwarding auf localhost+port
Hatte ich so auch versucht war bei mir das Selbe. UDP ging nicht TCP schon.
Das mit Any ist einfach reine Faulheit ;) gebe ich gerne zu. Aber nach ewig rumprobieren hatte ich dann einfach keine Lust mehr.