(Gelöst) OpenVPN nicht alle Geräte im subnet errerichbar
-
Guten Tag zusammen,
ich hab folgendes Problem.
Ich will über OpenVPN auf mein Firmennetzwerk zugreifen. Das klappt auch soweit, verbinden tut er sich, pfsense kann ich auch erreichen.
Ganz unten befindet sich meine Infrastruktur.Nun zu meinem Problem.
Erreichen kann ich über den VPN Tunnel nur folgende Geräte:
192.168.145.1 (Pfsense)
192.168.145.9 (Windows VM)
192.168.145.10 (Windows VM)Erreichen kann ich nicht über VPN Tunnel:
192.168.145.19 (Windows Client)
192.168.145.7 (Windows VM)
192.168.145.8 (Windows VM)
192.168.145.11 (Windows VM)Über Diagnostik-> Ping Mit Lan als Source erreiche ich alles. Mit OPEN VPN Server als Source die selben Probleme wie oben schon beschrieben.
Dieses Symptom habe ich noch an zwei anderen Standorten mit ähnlicher Konsultation.Vielleicht habt ihr ein paar Ideen dazu.
+---------------+ |ESXI 6.5 | +---------------+ +--------------+ |Dell R530 | |Fritz.box | |Windows Client| |5 Windows VMs | |192.168.178.1 | <-----+OpenVPN Client| |192.168.145.7 | |Exposed Host | +--------------+ |192.168.145.8 | +------+--------+ |192.168.145.9 | | |192.168.145.10 | |WAN 192.168.178.0/24 |192.168.145.11 | | +----------+----+ +-------+---------------+ | |pfsense 192.168.145.1 | | |Version 2.3.4 | +---------+----+ |WAN 192.168.178.23 | LAN 192.168.145.0/24 |HP 2530 48Port| |LAN 192.168.145.0/24 +-----------------------+Switch | |OpenVPN 10.1.1.0/24 | +---------+----+ +-----------------------+ | | +---------+----+ |Windows Client| |192.168.145.19| +--------------+
-
Mein erster Verdacht würde hier auf die Windows Firewall fallen. Ist die aktiviert?
Per Default erlaubt diese nicht den Zugriff aus einem anderen Subnetz. -
Ah das klingt plausibel. Funktioniert jetzt. Die Windows Clients sind nun erreichbar. :D
Aber gibts da noch vielleicht ne Möglichkeit die Routen zu NATen oder so?
Weil ich noch nicht auf alle Geräte komme, wie Drucker, Switche, AccessPoints usw.VG Sepp
-
Firewall > NAT > Outbound ist dafür gedacht.
Standardmäßig steht die Regel-Generierung auf Automatisch. Setze es erst auf Hybrid und speichere das.
Dann füge eine Regel hinzu:
Interface: LAN
Source: 10.1.1.0/24 (das VPN Tunnel Subnetz)
Alle anderen Optionen können Standard bleiben.Nachteil der Sache, der Zugriff kommt für die Zielgeräte immer von der Firewall selbst und es ist der tatsächliche Client nicht zu erkennen. Wenn das eine private Sache ist und nur du selbst die VPN verwendest, wird das nicht relevant sein.
Du kannst die NAT-Regel aber auch auf bestimmte Zielgeräte beschränken, wenn diese eine fixe IP haben: Alle gewünschten Zielgeräte zu einem IP Alias hinzufügen und diesen als Destination in der NAT-Regel verwenden, zuvor "Network" auswählen. -
Klappt super danke :D
Der VPN ist nur für mich und als Administrationszweck gedacht. ;)
Vg Sepp