Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Hilfe bei VPN Einrichtung

    Scheduled Pinned Locked Moved Deutsch
    40 Posts 5 Posters 6.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      un1que
      last edited by

      Hallo,

      ich möchte meine pfSense u.a. als einen VPN Client nutzen. Nun komme ich bei meinem Vorhaben gerade leider nicht weiter und hoffe auf eure Hilfe…

      Unter Rules => LAN habe ich eine Regel angelegt, wo bestimmt wird, welche Geräte über das eingerichtete OpenVPN Gateway geleitet werden sollen (alle anderen verbinden sich über das Standard WAN-Gateway mit dem Internet). Unter Source habe ich einen Alias angelegt und nun kann ich unter Aliases IP Adressen hinzufügen, welche über den VPN Tunnel surfen sollen. Soweit so gut.

      Nun würde ich gerne für einige Geräte die folgende Regel festlegen: das Gerät soll nur über das OpenVPN Interface ins Internet gehen können. Sprich, wenn die OpenVPN Verbindung meinerseits deaktiviert wird oder es eine serverseitige Störung gibt und generell keine OpenVPN Verbindung aufgebaut werden kann, dann soll das Gerät auch nicht über das WAN-Gateway (oder überhaupt ein anderes) ins Internet können - quasi entweder über VPN Tunnel oder gar nicht.

      Wie richte ich das nun am besten ein?

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Das sollte recht einfach zu machen sein. Unter die Allow Regel, die den Verkehr vom LAN via OpenVPN Gateway erlaubt, setzt du einfach eine Kopie der Regel mit Gateway auf default aber als BLOCK (oder REJECT) Regel, statt als Pass. Das verhindert dann, dass die im Alias definierten Geräte einen anderen Weg nehmen als das OpenVPN Gateway und statt dessen dann einfach geblockt werden. Das sollte IMHO den gewünschten Effekt bringen.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • U
          un1que
          last edited by

          Ich muss zugeben, genau diese Idee habe ich gehabt, als ich dabei war diesen Thread zu erstellen. Leider funktioniert das bei mir so nicht. Auch habe ich versucht, statt "default" explizit das WAN Gateway zu definieren. Sobald ich die VPN Verbindung trenne, so kann ich sofort danach ganz normal über das WAN ins Internet, was ja eigentlich verhindert werden sollte…

          Kann ich evtl. etwas falsch gemacht haben, als ich den VPN Tunnel samt Firewall und NAT eingerichtet habe?

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Kann man so pauschal schlecht sagen. Du könntest aber explizit bei den Regeln das Logging Flag setzen und in den Filter Logs schauen, laut welcher Regel der Zugriff erlaubt wird (oder eben nicht). Dann wäre ggf. auch ein Block leichter möglich.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • U
              un1que
              last edited by

              Ähm, mit dem Logging bin ich irgendwie nicht so wirklich klargekommen, aber ich habe durch probieren trotzdem etwas herausgefunden.

              Durch verändern der Regeln Reihenfolge konnte ich feststellen, dass die Block-Regel zuverlässig funktioniert. Denn schiebt man diese vor die Gateway-Regel, so habe ich keinen Internetzugang.
              Wenn diese sich diese aber hinter der Gateway-Regel befindet, dann kann ich VPN ein- und ausschalten wie ich will, so habe ich immer eine Internetverbindung (eben über den VPN Tunnel oder normal).

              Muss ja heißen, dass etwas damit nicht stimmt oder nicht "korrekt genug" eingestellt ist?

              1 Reply Last reply Reply Quote 0
              • P
                pfadmin
                last edited by

                Mach doch mal Screenshots! Vielleicht sieht man da den "Denkfehler".

                Gruß
                Matthias

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)

                  Edit: System / Advanced / Misc / Skip rules when gateway is down

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • M
                    Marvho
                    last edited by

                    Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection

                    Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.

                    1 Reply Last reply Reply Quote 0
                    • U
                      un1que
                      last edited by

                      Danke euch beiden!

                      @JeGr:

                      Es gibt auch in den Advances Options noch die Einstellung Kill States on Gateway Failure etc. - das sind alles Dinge, die wir momentan nicht wissen, wie du sie eingestellt hast :)

                      Edit: System / Advanced / Misc / Skip rules when gateway is down

                      Das war tatsächlich so einfach ::) Darüber war ich auch schon mal gestolpert, habe aber den Sinn dieser Funktion nicht richtig verstanden.
                      @Marvho:

                      Da solch ein Vorgehen hier schon oft besprochen wurde, verlinke ich mal https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection

                      Das ist eine komplette Anleitung mit dem Zusatz, dass keine Verbindung über das WAN heraus geht. Geschrieben ist es von Derelict.

                      Danke für die schöne Anleitung!

                      1 Reply Last reply Reply Quote 0
                      • U
                        un1que
                        last edited by

                        Hallo,

                        ich habe noch eine Frage bzgl. dieser Konfiguration. Ich kann die WebGUI des Modems nicht erreichen, sobald das VPN als Gateway genutzt wird. Wenn alles über WAN läuft, kann ich problemlos über 192.168.100.1 darauf zugreifen. Wenn ich aber über den VPN Tunnel online gehe, funktioniert das auf einmal nicht mehr. Muss ich da noch eine Regel beim entsprechenden VPN-Interface erstellen? Kann jemand weiterhelfen?

                        1 Reply Last reply Reply Quote 0
                        • M
                          Marvho
                          last edited by

                          Eine Regel über der "VPN-Gateway" Regel erstellen, mit der Destination IP vom Modem und dem default Gateway sollte reichen.

                          1 Reply Last reply Reply Quote 0
                          • U
                            un1que
                            last edited by

                            Ach ok, das war ja wieder einfach. Danke!
                            Ich habe versucht die gleiche Regel beim VPN-Interface zu erstellen…

                            Kann mir evtl. noch jemand erklären, warum bei mir das "default Gateway" nicht funktioniert? Also auch bspw. bei der obigen Regel, wenn ich dort das Gateway auf "default" lasse, dann funktioniert die Regel nicht. Wenn ich dort aber explizit das WAN_Gateway auswähle (welches ja als default eingerichtet ist), dann geht es. ???

                            1 Reply Last reply Reply Quote 0
                            • M
                              Marvho
                              last edited by

                              Schau mal oben unter dem Reiter "System" und dann "Routing" welches Gateway dort als default markiert ist. Falls das VPN-Gateway dies ist, einfach das WAN Gateway bearbeiten und bei```
                              Default Gateway
                              This will select the above gateway as the default gateway.

                              1 Reply Last reply Reply Quote 0
                              • U
                                un1que
                                last edited by

                                Ja, das kenne ich und wie gesagt - WAN ist als default Gateway definiert! Das ist ja auch irgendwie das Problem.

                                Als default wird WAN angezeigt, aber wenn ich z.B. bei wieistmeineIP nachschaue, dann taucht dort die IP des VPN Tunnels auf.
                                Nur hilft es auch nicht den default-Hacken bei einem anderen Gateway zu setzen und dann wieder auf WAN zurück… Auch wenn ich jetzt das VPN Gateway deaktiviere, dann habe ich trotzdem die VPN IP nach außen (mit default Gateway). Wo könnte der Fehler liegen? :o

                                1 Reply Last reply Reply Quote 0
                                • M
                                  Marvho
                                  last edited by

                                  Mal alle states zurückgesetzt? Wenn du den VPN-Client deaktivierst (anstatt das GW zu deaktivieren) ist es dann immer noch so?

                                  1 Reply Last reply Reply Quote 0
                                  • U
                                    un1que
                                    last edited by

                                    States zurückgesetzt: alles beim alten. Wenn ich den VPN-Client deaktiviere, dann habe ich die WAN IP nach außen.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      Marvho
                                      last edited by

                                      Magst du mal deine Regeln und Outbound NAT per Screenshot zeigen?

                                      1 Reply Last reply Reply Quote 0
                                      • U
                                        un1que
                                        last edited by

                                        So sieht's aus:
                                        (Heimnetz [DHCP an] ist ein Bridge aus LAN+WLAN [DHCP bei beiden aus])

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          Marvho
                                          last edited by

                                          Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?

                                          Mit bridges kenne ich mich leider nicht aus und kann daher nicht viel zu den bridges sagen.

                                          Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?

                                          Hast du Regeln bei der Floating Sektion?

                                          1 Reply Last reply Reply Quote 0
                                          • U
                                            un1que
                                            last edited by

                                            @Marvho:

                                            Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?

                                            Ganz genau.

                                            @Marvho:

                                            Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?

                                            Unter dem jeweiligen Alias sind bestimmte Geräte festgelegt, welche über den einen oder anderen VPN Tunnel sollen. So kann ich auch immer wieder weitere Geräte unter Aliases hinzufügen oder entfernen, ohne dabei etwas an den Regeln zu verändern.

                                            @Marvho:

                                            Hast du Regeln bei der Floating Sektion?

                                            Nein, dort sind keine Regeln eingerichtet.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.