VPN Verbindung tut, aber ich erreiche nichts



  • Hallo zusammen,

    ich habe die pfsense installiert, gepatcht und den Mobile-VPN-Access nach Anleitung eingerichtet (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2)
    Ich kann den Tunnel vom Client aus aufbauen, und bekomme eine vIP 192.168.47.xy mit der Subnetmaske 255.255.255.255

    Wie schaffe ich es aber nun, dass ich vom VPN-Client auch interne Ressourcen erreichen kann? Ich kann keinerlei interne Ressourcen erreichen.

    vielen Dank für die Unterstützung!

    Grüße
    Markus



  • Hallo,

    ich bin ja nicht gerade der IPSec Experte und frage mich nun, warum das einer freiwillig macht, aber dass du mit dieser Interface-Konfiguration nicht weiter kommst, liegt auch der Hand.

    Was hast du denn für einen IP-Pool bei "Virtual Address Pool" in den Mobile Clients Settings eingegeben?



  • Hallo viragomann,

    was meinst du damit, "warum das einer freiwillig macht" - das verstehe ich nicht.

    in den Mobile Client Settings habe ich 192.168.47.0/24 als IP-Pool angegeben.

    Grüße,
    Markus



  • IPSec meinte ich, OpenVPN ist der Standard auf pfSense und einfacher zu konfigurieren.

    Der Pool ist also ein /24, dann verstehe ich nicht, warum du 255.255.255.255 als Subnetzmaske bekommst. So bleibt ja keine IP für den Server im Netz.
    Vielleicht gibt es hier auch IPSec Experten. Bin da wohl der falsche, sorry.

    Grüße



  • openvpn ist zwar hübsch, das sehe ich ein, aber den Usern geht es vor allem darum, die Windows-integrierten VPN-Clientverbindungsmöglichkeiten nutzen zu können. OpenVPN ist viel gefrickel bis es funktioniert - nicht wirklich Endanwenderkompatibel. Das sind keine IT-Spezialisten, sondern Leute bei denen ich froh bin, wenn sie den Unterschied zwischen Internet Explorer und Windows Explorer kapieren…
    da kann ich nicht mit irgendwelchen Configfiles oder Profilen kommen, die irgendwo importiert werden müssen. das übersteigt leider deren Horizont...


  • Moderator

    OpenVPN ist viel gefrickel bis es funktioniert - nicht wirklich Endanwenderkompatibel

    Wenn ich da mal einhaken darf: Das ist ein unbegründetes Vorurteil! Und zwar völlig. Die OpenVPN Verbindungen der pfSense für RoadWarrior können bspw auch problemlos mit dem Export Package als fertiges Installationspaket für Endanwender heruntergeladen werden (MSI oder EXE, DMG, etc.) und lassen sich ohne Problem auf den Clients installieren und gut.

    Und OpenVPN zu installieren (weil Windows erwähnt wurde) auf WinX ist ein 3 Klick Installer. Dann das Konfig-Paket ggf. manuell zu importieren ist auch keine Hexerei (wenn man nicht obiges Kombipaket nutzen mag). Und auch auf Endgeräten wie Mobile Android/iOS läuft das. Kann also kein Gefrickel oder große Bastelei bestätigen. Und wir haben das an einige Endkunden ausgerollt, die nicht wirklich tech-savvy sind.

    Aber ja, der Trend, möglichst integrierte Lösungen zu nutzen, macht sich durchaus bemerkbar und wird auch oftmals angefragt. Kommt aber dann auf den Anwendungsfall an, was mehr Sinn macht.

    Grüße



  • OK, abgesehen davon, dass ich der OpenVPN-Geschichte gerne nochmal eine Chance geben werde, muss ich vorerst noch auf die MS-integrierte Lösung setzen.
    Ich habe nach wie vor das Problem, dass der Tunnel zwar aufgebaut wird, ich aber keinerlei interne Ressourcen erreiche.
    Kann mir hier noch jemand weiterhelfen? Das wäre klasse.

    @JeGr Gibt es für die OpenVPN-Lösung ein Tutorial oder ein HowTo? ICh würde gerne verstehen, was ich da zu tun hab.


  • Moderator

    @kugman: Bei der integrierten Lösung kann ich nur bedingt helfen, da wir das so nicht im Einsatz haben, ich würde aber - wenn keine Resourcen erreicht werden - mal die zugehörigen Routen prüfen, ob die überhaupt auf dem Client ankommen und die Phase 2 Logs prüfen (generell mal Logs checken).

    Was OpenVPN angeht kann man das problemlos mit dem Wizard einrichten, sich dann noch das Client Export Package installieren und hat damit normalerweise innerhalb von Minuten eine funktionierende Lösung. Je nachdem wie man das aufbauen möchte (mit SSL Zertifikaten oder ohne, User Login/PW, weitergehende Rechte, Radius ja/nein etc.)

    Ansonsten sollten dir:
    https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
    oder
    https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS

    weiterhelfen können :)



  • Hallo zusammen,

    sieht bis jetzt ganz gut aus, ich habe das OpenVPN nun am laufen. Das einzige was noch nicht funktioniert ist folgendes.
    Bis jetzt liegen an der LAN-Seite zwei Subnetze an.
    10.47.211.0/24 und 192.168.47.0/24

    Das 10.47.211.0-Netz kommt von der Fritz!Box, an deren gebridgten Interface die PFSense hängt. Die Fritzbox macht auch DHCP und DNS für dieses Netz.
    Das 192.168.47.0-Netz hat keinen DHCP
    Ich habe keine VLANs und würde das gerne nun mit VLANs lösen. Wie kann ich das machen? Gibt es dafür auch ein HowTo?

    Am besten wär es, wenn ich insgesamt 3 Gruppen hätte, jeweils eine Gruppe, die in jeweils eines der beiden Subnetze darf und eine, die in beide Subnetze zugreifen darf.

    Gruß
    Markus



  • kann mir bitte jemand weiterhelfen?
    Ich kann keine VLANs machen, weil das mein Switch nicht unterstützt. Deshalb muss ich die beiden LANs direkt am Switch anlegen.

    dazu habe ich auf dem LAN-interface der PFsense das normale LAN angelegt und das zweite IP-Segment ebenfalls als VLAN1 an das LAN-interface angehängt.
    Ich bekomme aber immernoch keinen Zugriff in das VLAN, wenn ich mich von meinem iPhone per OpenVPN anmelde.


  • Moderator

    Deine Aussagen

    dazu habe ich auf dem LAN-interface der PFsense das normale LAN angelegt und das zweite IP-Segment ebenfalls als VLAN1 an das LAN-interface angehängt.

    und

    Ich kann keine VLANs machen, weil das mein Switch nicht unterstützt. Deshalb muss ich die beiden LANs direkt am Switch anlegen.

    beißen sich da für mich gerade. Entweder dein Switch kann keine VLANs, dann definiere auch bitte auf der pfSense keine, denn das wird sonst chaotisch. Oder er kann VLANs, dann muss es auch komplett durchkonfiguriert werden.
    Wenn dein Switch etc kein VLAN kann, kannst du nicht in der pfSense einfach ein VLAN anmelden (schon gar nicht 1!, das gibt Probleme, denn oft ist VLAN1 das Default VLAN und kollidiert dann in manchen Situationen mit untagged Paketen). Wenn du trotzdem zwei interne IP Ranges fahren willst, dann solltest du ein IP Alias auf dem LAN anlegen und zusehen dass deine Clients dann funktionieren (ggf. auch die outbound NAT Regeln erweitern). Erst wenn das alles sauber geht, nach VPN schauen. Da muss dann wahrscheinlich das zweite Netz einfach als Route mit gepusht werden.

    Gruß



  • sorry, ich habe mich vielleicht missverständlich ausgedrückt.

    die beiden Aussagen beissen sich nicht wirklich.
    Ich habe auf dem LAN-Interface mein "Hauptsubnetz" konfiguriert 10.47.211.0/24
    Dann bin ich auf VLANs gegangen und hab ein VLAN mit der ID 1 gebaut 192.168.47.0/24 und dies habe ich auf den physischen Adapter des LAN gelegt. Das meinte ich damit.

    Mit "ich kann keine VLANs machen, weil mein Switch das nicht unterstützt" meinte ich, dass ich nicht das 10er Netz in VLAN10 und das 192 in das VLAN 47 packen kann. Dazu müsste ich meinen Switch ja mit PVIDs betanken bzw. definieren, welcher Port welches VLAN "darf". Das kann aber mein Switch nicht, weil es ein alter dusseliger Netgear-Switch ohne Management ist.

    Jetz werde ich das mit den IP ALIASen testen! Vielen Dank :-)


  • Moderator

    Dann bin ich auf VLANs gegangen und hab ein VLAN mit der ID 1 gebaut 192.168.47.0/24 und dies habe ich auf den physischen Adapter des LAN gelegt. Das meinte ich damit.

    Richtig und damit hast du

    1.) ein VLAN auf ein LAN gelegt auf dem du untagged arbeitest (also ohne VLAN Tag). Das macht man schon aus Debugging Gründen nicht und gibt mitunter ganz unschöne Fälle. Wenn man sowas vermeiden kann, tut man es nicht.
    2.) ein VLAN - also ein neues LAN - definiert und taggst Pakete für das 192er Netz, obwohl du keinerlei Hardware hintendran hast, die das unterstützt. Ergo -> wofür? Wer soll die Pakete weiterleiten? Dein Switch wird - wenn er keine VLANs kann - im dümmsten Fall die Pakete entweder verwerfen oder den Tag weghauen. Je nachdem. Deshalb braucht man ja auch nen Switch der das unterstützt, andernfalls bringt es auch nichts einfach nur ein VLAN zu definieren. Das soll ja ein Netz wirklich isoliert trennen. Wenn die Geräte das aber nicht können, macht es wenig Sinn :)

    Wenn du dann eh beide Netze auf dem gleichen L2 Layer rumfliegen hast, dann ist IP Alias eigentlich das was du suchst - oder ein paar Euro für einen kleinen VLAN fähigen Switch, so teuer sind die heut nicht mehr :D



  • hab ich kapiert - danke.

    Würde es mir auch was bringen, das über die Interfaces der PFSense zu machen? also quasi so:

    NIC1 = WAN (klar)
    NIC2 = LAN (10.47.211.0/24)
    NIC3 = OPT (192.168.47.0/24)

    wobei ich NIC2 und NIC3 an ein-und-dem-selben Switch quasi nebeneinander einstecken würde

    Wie würde ich dann da das Routing zwischen den 3 Netzen hinbekommen. Das Ziel wäre: NIC 3 darf ins Internet aber nicht ins LAN von NIC2, NIC 2 darf ins Internet aber nicht in LAN von NIC3, außer über VPN, und von außen müsste ich Zugriff per VPN haben, am besten geteilt: z.B. User 1 darf ins LAN von NIC2, User 2 darf ins LAN von NIC3, User 3 darf in beide LANS


  • Moderator

    wobei ich NIC2 und NIC3 an ein-und-dem-selben Switch quasi nebeneinander einstecken würde

    Wuah, nein! Da der Switch KEIN VLAN kennt, würdest du eine Schleife bauen. GANZ BÖSE! Nope, Nada, Nyet :D

    Solang du das nicht auf Layer 2 mit dem Switch trennen kannst, tu es nicht :) Das klappt nicht. Dann lieber für 20-40€ nen kleinen VLAN Switch kaufen und gut. Du kannst ja nen kleinen 5er nehmen und dort an jeden VLAN Port dann nen dummen Switch. Aber niemals ungetrennt 2 NICs an den gleichen "dummen" Switch ohne extra VLAN anschließen.



  • ach deshalb wurde aus meinem LAN plötzlich ein LAHM :-) Okee…



  • Sodele - Statusupdate:

    ich hab nun auf der pfsense auf dem lokalen LAN-Interface das eine Subnetz und als Virtuelle IP das zweite Subnetz konfiguriert. Das hatte ich zwar davor auch schon gemacht, da hat es aber nicht funktioniert - wahrscheinlich hatte ich das System völlig verdaddelt.
    Nach einem "reset to factory Defaults" hab ich das dann erfolgreich durchführen können.
    Dann also die OpenVPN-Konfiguration. CA und Serverzertifikat gebaut. Dann 2 Benutzergruppen gebaut und in beide jeweils einen User gepackt und ein Zertifikat für den User erstellt.
    Anschließend den OpenVPN-Wizard durchlaufen lassen und das VPN für das 192-er Subnetz konfiguriert, dann den OpenVPN-Wizard nochmal gestartet und auf einem anderen Port ein VPN für das 10-er Netz konfiguriert.
    Danach mit dem Client-Export-Addon jeweils ein Paket je RemoteAccessServer erstellt, getestet, wunderbärchen!

    Was ich jetzt noch nicht ganz verstehe, bzw, was noch nicht klappt:

    ich suche vergeblich irgendwo eine Möglichkeit eine user- oder usergruppenbasierte Firewallregel zu erstellen. Bin ich nur blind, oder ist das irgendwo versteckt.

    Weil eigentlich will ich nich 2 RemoteAccessServer konfigurieren, sondern nur einen, und in den dann beide Subnetze packen. Wenn ich dann im Regelwerk sagen könnte, dass der eine User nur links und der andere User nur rechts abbiegen darf wäre das schon ne feine Sache, und einem dritten User könnte ich dann sagen, du darfst in beide Netze.



  • Nein, du siehst schon richtig. User-basierte Regeln unterstützt pfSense nicht.

    Abhelfen musst du dir mit VPN > OpenVPN > Client Specific Overrides.
    Hier kannst du ein schmales Subnetz aus dem VPN-Tunnel für bestimmte Clients reservieren und dieses dann in den Firewall-Regeln als Quelle verwenden.
    Achte auch darauf, dass "Strict User-CN Matching" in den Servereinstellungen gesetzt ist.