OpenVPN Erreichbarkeit Client Seite (gelöst)



  • Hallo,
    ich benötige mal eure Hilfe. Ich habe eine funktionierende Side to Side OpenVPN Verbindung zwischen zwei Pfsense. Einer ist der Client, der andere der Server. Das Netzwerk (die Maschinen) hinter dem Server kann ich ohne weiteres anpingen. Das Netzwerk (die Maschinen) hinter dem Client kann ich nicht anpingen. Anpingen kann ich nur die LAN IP des Client Pfsense.
    Wo liegt mein Fehler ?

    Auf beiden Pfsense läuft die Version 2.3



  • Moin,

    Da kommen mir spontan mehrere Ideen.

    Dazu ein paar Fragen zum eingrenzen:

    1. Ist der openvpn Client in dem Netzwerk bei den PCs das default Gateway? -> wenn nein musst du auf dem defaut Gateway eine Route setzen die sagt das openvpn Server Netz ist via der IP des openvpn Client pfsense zu erreichen.  (Achtung: so handelst du dir die Probleme eines asynchronen routings ein).
    2. Hast du auf der pfsense die Client ist mal in das Firewall log geschaut?  Es gibt das Interface openvpn mit eigenen Firewall regeln.
    3. Wenn es Windows Clients sind kann dort die Windows Firewall aktiv sein. Die verbietet per default pings.  -> mal eine. Ping von der pfsense (Client) unter Diagnose direkt an den Client in dem Netz verschicken.

    Ich würde dich bitten das alles mal zu testen und hier ein Update zu Posten. Sollte es damit noch nicht gehen bitte auch etwas genauer den Aufbau beschrieben.  (ips von allem)

    Gruß blex



  • Moin,

    danke schon mal für Deine Antwort.

    Zu 1.
    Ich weiss nicht ganz genau was mit Deiner Frage gemeint ist. Falls Du meinst, wie die z.B. PC hinter dem Client angebunden sind, dann bekommen sie per DHCP von der Pfsense (Client) eine IP zugewiesen. diese aber vom LAN Interface.

    Zu 2.
    ich habe kein eigenes OpenVPN Interface. Die Verbindung habe ich nach diesem Video erstellt https://www.youtube.com/watch?v=seScJty_VL8&t=557s&index=8&list=PLHodxBqu3TYjx1n59fBT2lSLo4GQ3bnSl

    Zu 3.
    Wenn ich die Firewall bei einem Windowsrechner abschalte, kann ich diesen Rechner auch anpingen. Aber das kann ich von der Clientseite zu den Rechnern auf der Serverseite ohne das ich die Firewall der Windowsrecher abschalte. So möchte ich das auf der Clientseite, also von der Serverseite zur Clientseite pingen. Zudem habe ich auf der Clientseite auch Geräte, in denen ein Linux läuft und bei denen muss ich bislang keine Firewall abstellen bzw. das diese ein MiniLinux haben was diese Option gar nicht bietet.

    Der Aufbau sieht so aus:

    Server:
    Pfsense feste WAN IP
    LAN 10.6.60.0/24 Netz
    OpenVPN Virtuelles Netz 10.0.1.0/24

    Client:
    Pfsense dynamische WAN IP
    LAN 192.168.110.0/24 Netz
    OpenVPN Virtuelles Netz 10.0.1.0/24

    Und installiert wie in dem Video. Sorry bin diesbezüglich halt noch nen Anfänger.

    Gruß
    Andreas



  • Hallo,

    die Windows Firewall, aber normalerweise auch die auf Linux System, ist so konfiguriert, dass sie Pings und einige andere Zugriffe aus dem eigenen Netz (für welches ein Gateway in den Netzwerkeinstellungen gesetzt ist) zulässt.
    Nachdem der Ping aber aus dem Remote-Netz kommt, wird er per default geblockt.

    Die Ursache dafür solltest du nicht bei der pfSense suchen, sondern die Firewall am Rechner entsprechend konfigurieren, wenngleich es durch eine NAT-Regel auf der pfSense umgangen werden kann. Das ist aber nicht empfehlenswert.
    Es ist besser, du erlaubst auf den jeweiligen Rechner, auf welchen du Zugriff haben möchtest, diese.

    Grüße



  • OK. Bei den WindowsRechnern kann ich mir das vorstellen und auch einrichten. Nur bei dem Gerät welches ein Minilinux beinhaltet, wird's dann schwieriger. Ich schau mal, vielleicht gibt es da ja eine Möglichkeit (ist eine Mobotix Webcam).

    Nur für mich zur Info, wie sähe denn eine NAT-Regel auf der Pfsense aus?

    Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

    Gruß
    Andreas



  • @ankubo:

    Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

    Du hast ja selbst festgestellt, dass es funktioniert, wenn du die Firewall am Ziel-Rechner abschaltest. Also ist das Problem da zu suchen.

    @ankubo:

    Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

    Du möchtest den bequemen Weg gehen?  ;D

    Dazu musst du ein Source-NAT auf der Client-pfSense einrichten. Diese transferiert die Quell-IP in Paketen vom Remote-Netz auf die LAN-IP der pfSense. Damit sehen die Rechner im LAN als Quelle die pfSense, eine IP aus dem eigenen Netz und vertrauen ihr.
    Das verdeutlicht auch gleich den Nachteil an der Lösung: Am Zielgerät ist nicht feststellbar, woher der Request tatsächlich kommt.

    Firewall > NAT > Outbound
    Hier den Mode auf Hybrid umschalten und speichern.
    Dann eine Regel hinzufügen:
    Interface: LAN
    Protocol: any
    Source: das Remote-Netz
    Destination: LAN net (oder nur eine einzelne IP oder ein Alias für mehrere)
    Dest Port: any
    Translation: Interface Address



  • Super, das war es. Es funktioniert.
    Bin den bequemen Weg gegangen, erst einmal um es auszuprobieren. Die andere Möglichkeit werde ich dann auch einmal ausprobieren. Danke schon mal für die schnelle Hilfe.

    Gruß
    Andreas



  • Bei solchen Kleingeräten wie Webcams kann es schon sein, dass der Remote-Zugriff nicht so ohne Weiteres möglich ist. Die haben ja oft nicht mal ein Gateway zum Einstellen. Wenn das der Fall ist, gibt es natürlich keine Kommunikation mit einem anderen Netzwerk ohne NAT.

    Wenn beide Seiten der VPN in deiner Obhut stehen und du allen Geräten vertraust, ist die NAT-Lösung auch nicht weiter bedenklich.
    Auch wäre es möglich, dass du NAT nur für jene Geräte anwendest, auf welche anders kein Zugriff möglich ist. Dazu packst du all diese IPs in einen Alias (Firewall > Alias > IP) und trägst diesen in der NAT-Regel als Ziel ein.

    Gruß