2 x Pfsene Problem



  • Hallo zusammen

    ich habe da folgendes Problem :-(

    1 x PFsense mit OpenVPN und 1 Gbits Leitung –> funktioniert alles tadellos

    nun habe ich eine weitere 1 GBits Leitung erhalten und eine weitere
    PFsense Firewall installiert auf eigener HW

    Soweit so gut auch diese funktioniert und macht was es soll.

    Nun aber das Problem:

    Wenn ich mit openVPN verbunden bin auf Firewall 1 kann ich alle meine Geräte erreichen

    nicht aber die Firewall 2

    Ich habe der Firewall 1 im Lan die IP 10.1.111.1

    und die Firewall 2 hat die IP 10.1.111.254

    sind also im gleichen Netz haben nur jeweils eigener und getrennter WAN mit eigenem Provider.

    Warum kann ich wenn ich mit OpenVPN verbunden bin nicht auf das Webinterface

    https://10.1.111.254 verbinden ?

    Das gleiche Problem habe ich dann auch wenn ein PC als Gateway den Firewall 2 gesetzt hat also 10.1.111.254

    das ich dann nicht mehr von der Firewall 1 wenn mit OpenVPN verbunden drauf komme.

    Wie kann ich diese beiden Firewalls und Gateways miteinander zum sprechen bringen ?

    Vielen Dank für die Mithilfe

    cu

    Trillenium


  • LAYER 8 Moderator

    Warum kann ich wenn ich mit OpenVPN verbunden bin nicht auf das Webinterface
    das ich dann nicht mehr von der Firewall 1 wenn mit OpenVPN verbunden drauf komme.

    Genau deshalb. Deine Geräte haben nur EIN Default Gateway und dein VPN Netz mit dem du ankommst ist den Geräten nicht bekannt. Ergo senden sie die Antwort ans Default Gateway. Wenn das die 1 ist, bekommst du auf 254 keine Antwort und umgekehrt.

    Da stellen sich eh mehrere Fragen:

    1. Warum 2x Hardware an 2x unterschiedlicher Leitung? Gibt genau solche Probleme - es gibt nur ein default Gateway
    2. Warum nicht beide Leitungen als MultiWAN auf einer Hardware einrichten? Dann wäre auch dein OpenVPN gar kein Problem
    3. Wenn Ausfallsicherheit - warum nicht als CARP Cluster konfigurieren und JEDEM Gerät beide Leitungen (per Switch) zuteilen?

    Ansonsten könntest du darum herum arbeiten, aber zuerst wollte ich klären, warum/ob das Setup so überhaupt Sinn macht?!



  • Hi JeGr

    danke für die Antwort …

    Nun da ich ein produktives System habe kann ich an der Firewall 1 nicht all zu viel riskieren zudem ich auf dieses System nur mit OpenVPN verbunden bin
    und wenn ich dort raus fliege dann muss ich erstmals 2 Std. Auto fahren und vor Ort das Prob dann lösen.

    Daher habe ich da mal eigene HW für den zweiten Firewall gestellt damit bin ich auf der sicheren Seite.

    Intern vor Ort komme ich natürlich auf beide Webif panels

    auf das https://10.1.111.1 + .254

    Das Problem habe ich nur wenn ich über OpenVPN rein komme.

    Dual Wan ja das wäre sicher was aber eben das muss ich dann mal erst in Ruhe angehen können und auch entsprechend testen.

    Bis dahin suche ich eine Lösung damit ich über OpenVPN wenn ich mit Firewall 1 verbunden bin (10.1.111.1)

    auf das Webpanel Firewall 2 10.1.111.254 verbinden kann und auch auf die Linux Rechner welche Firewall 2 als default gw haben.

    cu

    Trillenium


  • LAYER 8 Moderator

    Dann bitte die OpenVPN Verbindungen unterschiedlich konfigurieren. Bei beiden muss ein Transfernetz angegeben werden aus dem du eine IP bekommst (10.0.8.0/24 bspw.).

    Konfiguriere beide pfSensen auf .1 und .254 auf unterschiedliche Transfernetze, damit dein Client bei VPN zu .1 bspw. 10.1.8.0/24 und bei .254 dann 10.254.8.0/24 als Netz hat. Dann trage diese Netze umgekehrt als Route in die pfSense ein:

    System/Routing/Static Routes

    Hier dann auf der .1er Sense 10.254.8.0/24 auf 10.1.111.254 routen und umgekehrt auf der .254er das 10.1.8.0/24er Transfernetz auf 10.1.111.1 routen. Dann müsste egal über welches VPN du verbunden bist und egal welche der beiden als GW auf einem Client eingetragen ist, deine Pakete zurückkommen zu dir.

    Eine ansonsten unschönere Version wäre den VPN Zugriff in dein LAN einfach zu NATten dass du mit der IP der Sense sprichst, auf der du eingewählt bist. Dazu müsstest du einen entsprechenden Outbound NAT Eintrag anlegen mit Source <transfernetz von="" openvpn="">zu Destination <lan netzwerk="">und auf LAN Interface die LAN IP mappen. Ist aber wie gesagt unschöner als einfach die Netze zu trennen und zu routen.

    Grüße</lan></transfernetz>


Log in to reply