*Gelöst*VPN auf Abruf für Clients



  • Liebe Foumsgemeinde, ich habe die pfsense als VPN Client eingerichtet. Ebenso das entsprechende Interface (OPT2). Ich möchte nun, das die entsprechenden Clients an der pfsense in der Lage sind, die VPN Benutzung selbständig bei Bedarf abzurufen. Beispiel: Client A ist regulär im Internet. Nun möchte er gern auf eine Seite, die eine US IP benötigt, um  Daten abrufen. Hierzu soll er dann in der Lage sein, sich in den bestehenden VPN Zugang auf der pfsense einzuloggen. Hat jemand eine Idee, wie ich das realisieren kann? Ein dauerhafter Zugang ist mir klar aber ein Zugang auf Abruf seitens der Clients? Vielen Dank für ein wenig Hilfe…Tom


  • Moderator

    Schwierig. Da das Ganze mittels policy based routing umgesetzt wird, müsste sich der Client selbst manuell mit in eine Alias Liste eintragen, in welcher IPs stehen, die über das OPT2 GW geroutet werden. Das würde aber heißen er muss sich jedes Mal in ein Alias ein- und austragen - oder es gibt schon Regeln dafür die nur abgeschaltet sind und man muss sie aktivieren/deaktieren. Trotzdem muss dieser Client aber Zugriff auf die pfSense und die Regeln haben was schon ein ziemliches Vertrauensvotum darstellt. Eine andere Möglichkeit die universell ist, würde mir gerade nicht einfallen. Alles andere funktioniert entweder nur für Webports oder über andere Software.

    Gruß



  • Muss denn der Client selbst in der Lage sein, die Verbindung zu wählen? Darin sehe ich im Augenblick keinen Sinn.

    Wenn die Zieladressen, die über die VPN geroutet werden sollen, fest eingestellt sein können und von einer überschaubaren Anzahl sind, kannst du natürlich schon dafür einen Alias in der pfSense anlegen und diesen in der Filterregel als Ziel verwenden, um Verbindungen dahin über die VPN zu routen.
    Im allgemeinen reicht das.



  • Der Sinn ist eigentlich ein recht simpler, habe mich da vielleicht ein wenig blöd ausgedrückt. Client A, B, C usw. sollen über den VPN auschliesslich nur auf den entfernten Firmenrechner via rdesktop zugreifen. Will der Client surfen, Email etc soll dafür nicht VPN sondern WAN benutzt werden.



  • Das sollte ja problemlos mit der Filterregel möglich sein.

    Falls du vom VPN-Server die Standardroute gepusht bekommst, musst du in der Client-Konfig den Haken bei "Don't pull routes" setzen. Dann geht alles wieder über das WAN-GW.
    Falls du den VPN-Server selbst verwaltest, kannst du da auch den Haken bei "Redirect Gateway" entfernen und stattdessen unter "Local Networks" die über die VPN zu erreichenden serverseitigen Netze eintragen.

    Damit der RDP-Traffic über die VPN geht, eine Firewall-Regel auf dem Interface anlegen, auf dem die Clients reinkommen, als Destination den RDP-Server angeben, ggf. auch noch den Ziel-Port einschränken, unten die Advanced Options anzeigen und bei Gateway das OpenVPN-GW auswählen.
    Diese Regel muss dann noch so positioniert werden, dass sie für dieses Ziel als erste zutrifft, also standardmäßig oberhalb der Default-any-to-any Regel, falls du diese noch hast.

    Diese Sache nennt sich "Policy Routing" und ist hier in der Doc beschrieben: https://doc.pfsense.org/index.php/What_is_policy_routing



  • Vielen Dank an alle, konnte das Problem mit Filterregeln lösen….