WebGUI von Aussenstelle (über OpenVPN Site-to-Site) nicht aufrufbar…



  • Hallo zusammen,

    wir haben vor kurzem eine Aussenstelle (mit einer scope7-1020) per OpenVPN Site-to-Site angebunden.
    Soweit funktioniert alles auch.

    Ich kann allerdings von unserer Zentrale aus nicht per WebGUI/Webinterface auf die pfSense der Aussenstelle zugreifen (Shell geht auch nicht).
    Pingen lässt sich die Aussenstelle problemlos, der Tunnel steht soweit.

    Komisch ist, das ich zum gleichen Zeitpunkt von der Aussenstelle auf die pfSense der Zentrale (auf die WebGUI) problemlos zugreifen kann.

    Muss man etwas spezielles an der Aussenstelle (dem OpenVPN Client) beachten bzw. konfigurieren?  :o

    Gruß Sebastian



  • Hallo,

    die Firewall-Regeln am Interface der OpenVPN-Instanz erlauben den Zugriff?

    Sonst fällt mir dazu nichts ein. Die Routen müssen ja gesetzt sein, sonst würde auch anderes nicht funktionieren.


  • LAYER 8 Moderator

    Pingen lässt sich die Aussenstelle problemlos, der Tunnel steht soweit.

    Ping auf welche IP?

    Muss man etwas spezielles an der Aussenstelle (dem OpenVPN Client) beachten bzw. konfigurieren?  :o

    Sofern die Routen dort stimmen und auch auf der Server Seite Routings etc. passen gibts nur noch das OpenVPN Regel Interface, was natürlich Zugriff erlauben muss auf die WebUI wie Viragomann schon schreibt. Ansonsten sollte da keine Überraschung passieren.



  • Hallo und Danke euch beiden für die Antworten.

    Pingen lässt sich die Aussenstelle problemlos, der Tunnel steht soweit.
    Ping auf welche IP?

    Beispiel:

    • pfSense in der Zentrale hat die IP 192.168.20.254
    • pfSense in der Aussenstelle hat die IP 192.168.26.254
    • OpenVPN hat hierzu das Tunnelnetz 10.0.26.0/24

    Aussenstelle:

    • Von einem Rechner wie auch von der Firewall selbst in der Aussenstelle lässt sich die pfSense der Zentrale anpingen.
    • Von dort aus klappt auch der Zugriff auf das Webinterface der pfSense der Zentrale.

    Zentrale:

    • Von der Zentrale aus kann ich die Firewall der Aussenstelle auch von einem Server und/oder PC aus anpingen.
    • Allerdings komme ich auf das Webinterface der pfSense der Aussenstelle nicht

    In der Zentrale wurde der OpenVPN Server angelegt und auch die Firewalleinstellungen gemacht.
    In der Aussenstelle habe ich ja nur den OpenVPN Client, d.h. bringen doch die Firewalleinstellungen auf die "OpenVPN" Instanz nichts, oder?
    Dennoch habe ich auch hierbei die Regeln gesetzt, jedoch ohne Erfolg.

    Gruß Sebastian


  • LAYER 8 Moderator

    In der Aussenstelle habe ich ja nur den OpenVPN Client, d.h. bringen doch die Firewalleinstellungen auf die "OpenVPN" Instanz nichts, oder?

    Natürlich. Wenn da nichts gesetzt ist, lässt das OpenVPN Interface keinen Traffic auf dem Interface eingehend zu. Bei einem transparenten Tunnel müssen beide Seiten logischerweise Regeln haben, die den Traffic zulassen, sonst wird nur einseitig Zugriff möglich sein.



  • Das Interface der OpenVPN Client Instanz ist ja auch ein (virtuelles) Interface der pfSense. Wenn da keine Regeln definiert sind, die eingehende Verbindungen erlauben, lässt die pfSense da auch nichts rein.

    Im Übrigen ist es ratsam, einer OpenVPN site-to-site Instanz ein eigenes Interface zuzuweisen, und ist vor allem dann notwendig, wenn mehrere OpenVPN Instanzen betrieben werden. Das gilt für Server wie für Client.
    Die Firewall-Regeln sollten dann auch diesem Interface definiert werden.

    Auch reicht für eine site-to-site VPN ein /30 Tunnel. Da haben Client und Server Platz, mehr braucht es nicht.

    Vielleicht hilft ein leeren des Browser-Cashes?

    Falls nicht, würde ich den Paketfluss einmal mit einem Netzwerk-Sniffer überprüfen. Hier kannst du einfach Diagnostic > Packet Capture auf der pfSense verwenden.
    Wenn du versuchst von einem Rechner in der Zentrale aus auf die WebGUI der Außenstelle zuzugreifen, sollten die entsprechenden Pakete am Client am OpenVPN Interface und am Server am LAN und OpenVPN Interface sichtbar sein. Jeweils Requests und Responses.

    Vielmehr können wir dazu nicht beitragen, wenn du uns nicht mehr Details über das Setup verrätst, wie Firewall-Regeln, Routen.



  • OK, ich werde mir morgen mal die Interfaces nochmals ansehen, vll. habe ich dort etwas übersehen.

    Danke und Gruß, Sebastian


Log in to reply