*Gelöst* OpenVPN Probleme mit LAN



  • Liebe Forumsgemeinde,

    ich habe auf meine pfsense einen OpenVPN Server aufgesetzt. Einwahl klappt und auf Web Interface komme ich auch ohne Probleme. Leider nur erreiche ich keinen anderen Rechner im Netz und ich kann auch nicht über die VPN Verbindung im Netz surfen. Ich habe mich schon wund gesucht nach möglichen Firewall Einstellungen komme aber irgendwie nicht mehr weiter. Meine Einstellungen anbei. Kann mir da noch jemand weiter helfen? Vielen Dank und viele Grüße Tom
    ![Bildschirmfoto vom 2016-08-04 16:45:10.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:45:10.png)
    ![Bildschirmfoto vom 2016-08-04 16:45:10.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:45:10.png_thumb)
    ![Bildschirmfoto vom 2016-08-04 16:46:01.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:46:01.png)
    ![Bildschirmfoto vom 2016-08-04 16:46:01.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:46:01.png_thumb)
    ![Bildschirmfoto vom 2016-08-04 16:46:28.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:46:28.png)
    ![Bildschirmfoto vom 2016-08-04 16:46:28.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 16:46:28.png_thumb)



  • Hallo,

    viel interessanter als die Firewall-Regeln wären in dem Fall die VPN Einstellungen gewesen. Vielleicht kannst du diese posten und gleich ein paar Fragen beantworten:

    • Wenn die Verbindung steht, kannst du überhaupt das Internet erreichen?

    • Ist die pfSense das Standard-Gateway im Netz?

    • In den Firewall-Regeln findet sich ein VPN Gateway, wenn auch tlw. unkenntlich gemacht (wofür, weiß frag ich micht auch, ist ja nur ein Name). Das wirft die Frage auf: Hast du mehr als eine VPN Instanz (Client od. Server) laufen? Nur so macht das Gateway Sinn.



  • Hallihallo,

    Wenn die Verbindung steht, kannst du überhaupt das Internet erreichen?
    NEIN

    Ist die pfSense das Standard-Gateway im Netz?
    JA, die wiederum hängt an einer FritzBox als Exposed Host freigegeben

    In den Firewall-Regeln findet sich ein VPN Gateway, wenn auch tlw. unkenntlich gemacht (wofür, weiß frag ich micht auch, ist ja nur ein Name). Das wirft die Frage auf: Hast du mehr als eine VPN Instanz (Client od. Server) laufen? Nur so macht das Gateway Sinn.

    Ich habe einen Server laufen an der pfsense sowie einen Client für einen anderen Server ausserhalb

    ![Bildschirmfoto vom 2016-08-04 18:09:22.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:09:22.png)
    ![Bildschirmfoto vom 2016-08-04 18:07:47.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:07:47.png)
    ![Bildschirmfoto vom 2016-08-04 18:07:47.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:07:47.png_thumb)
    ![Bildschirmfoto vom 2016-08-04 18:09:22.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:09:22.png_thumb)
    ![Bildschirmfoto vom 2016-08-04 18:09:46.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:09:46.png)
    ![Bildschirmfoto vom 2016-08-04 18:09:46.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:09:46.png_thumb)
    ![Bildschirmfoto vom 2016-08-04 18:10:08.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:10:08.png)
    ![Bildschirmfoto vom 2016-08-04 18:10:08.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-08-04 18:10:08.png_thumb)



  • Da fehlt das Wesentlichste: der Bereich Tunnel Settings.

    Die Beantwortung meiner Fragen hätte vielleicht auch etwas Licht in das Dunkel gebracht. Oder kommt das noch?


  • LAYER 8 Moderator

    Die Beantwortung meiner Fragen hätte vielleicht auch etwas Licht in das Dunkel gebracht. Oder kommt das noch?

    Sind das nicht seine Kommentare im Quote Bereich?

    Ich vermute dass für das was der OP möchte, er den Redirect Gateway Haken setzen müsste, denn wenn er allen Traffic (auch surfen) durch die pfSense schicken will, muss er die auch als Gateway nutzen. Ansonsten sollte TomNick vielleicht erklären, was genau er mit dem Einwahl VPN erreichen möchte :)



  • @JeGr:

    Die Beantwortung meiner Fragen hätte vielleicht auch etwas Licht in das Dunkel gebracht. Oder kommt das noch?

    Sind das nicht seine Kommentare im Quote Bereich?

    Das Quote Fenster habe ich nicht gelesen, man schreibt da auch nicht Antworten rein.  :-\

    Okay, nachdem du bei stehender VPN das Internet vom Client nicht erreichst, gehe ich davon aus, dass redirect Gateway gesetzt ist und der Traffic über die VPN geroutet wird.

    Was fehlt ist ein eigenes Gateway für das Server-Subnet, ansonsten gibt es Routing-Probleme. D.h. du musst ein Interface für den Server hinzufügen, das Gateway wird dann meines Wissens automatisch erstellt.
    Damit erhältst du für den Server auch einen Reiter in den Firewall-Regel, wo du für den reinkommenden Traffic gesonderte Regeln definieren musst.

    Für den Zugriff auf Internet ist auch eine outbound NAT Regel nötig, diese sollte pfSense aber automatisch erstellt haben.



  • Okay, nachdem du bei stehender VPN das Internet vom Client nicht erreichst, gehe ich davon aus, dass redirect Gateway gesetzt ist und der Traffic über die VPN geroutet wird.

    Ich habe beides probiert: Ist redirect gesetzt, dann komme ich zwar rein und auch in das interne Netz (192.168.1.0) aber ich komme mit dem Client lokal in keine Internetanwendung. Ist redirect nicht gesetzt, dann komme ich ebenfalls in das interne Netz und kann dann mit dem Client auch in Internetanwendungen, allerdings benutzt der Client dafür seinen eigenen Zugang, also umgeht quasi VPN.

    Was fehlt ist ein eigenes Gateway für das Server-Subnet, ansonsten gibt es Routing-Probleme. D.h. du musst ein Interface für den Server hinzufügen, das Gateway wird dann meines Wissens automatisch erstellt.
    Damit erhältst du für den Server auch einen Reiter in den Firewall-Regel, wo du für den reinkommenden Traffic gesonderte Regeln definieren musst.

    Meinst Du damit die 10er ips die der Server beim VPN Login vergibt?



  • Ja, aber um die Daten brauchst du dich nicht zu kümmern. Einfach auf Interfaces > assign gehen, bei "Available network ports:" den VPN Server auswählen und Add klicken, das Interface öffnen, aktivieren und einen Namen nach Wahl vergeben und speichern.
    Gleiches hast du ja schon beim Client gemacht. Damit bekommst du ein Gateway für den Server und pfSense kann den Traffic von Client und Server dem richtigen GW zuordnen.

    Für den Internet-Zugriff sind die FW Regeln und das Outbound NAT entscheidend. FW Regeln musst du selbst anlegen, NAT sollte automatisch gemacht werden, klappt aber erfahrungsgemäß nicht immer.
    Post deine Outbound NAT Regeln.


  • LAYER 8 Moderator

    Ist redirect nicht gesetzt, dann komme ich ebenfalls in das interne Netz und kann dann mit dem Client auch in Internetanwendungen, allerdings benutzt der Client dafür seinen eigenen Zugang, also umgeht quasi VPN.

    Was genau das ist, was du konfiguriert hast, wenn du Redirect aus hast -> nutze den lokalen Internetzugang und ansonsten nur die gepushten Routen - ergo das remote Netz. Somit genau was du beschreibst.

    Ist redirect gesetzt, dann komme ich zwar rein und auch in das interne Netz (192.168.1.0) aber ich komme mit dem Client lokal in keine Internetanwendung

    Was wahrscheinlich darauf zurück zu führen ist, dass eine NAT Regel für OVPN -> WAN auf der pfSense fehlt und/oder entsprechende Regeln, die das zulassen könnten wie Virago schon sagte? Möglich?



  • So, ich konnte das Problem lösen, es fehlte lediglich eine NAT Regel für den WAN  und VPN für die Tunnel IP (hier 10.7.0.0/24). VPN nochmal kurz neu starten. Zack nun läuft es, ganz lieben Dank an Euch für die Inputs und ein schönes WE …Tom


  • LAYER 8 Moderator

    Super, freut uns!


Log in to reply