Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    OpenVPN Erreichbarkeit Client Seite (gelöst)

    Deutsch
    3
    8
    705
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ankubo last edited by

      Hallo,
      ich benötige mal eure Hilfe. Ich habe eine funktionierende Side to Side OpenVPN Verbindung zwischen zwei Pfsense. Einer ist der Client, der andere der Server. Das Netzwerk (die Maschinen) hinter dem Server kann ich ohne weiteres anpingen. Das Netzwerk (die Maschinen) hinter dem Client kann ich nicht anpingen. Anpingen kann ich nur die LAN IP des Client Pfsense.
      Wo liegt mein Fehler ?

      Auf beiden Pfsense läuft die Version 2.3

      1 Reply Last reply Reply Quote 0
      • B
        blex last edited by

        Moin,

        Da kommen mir spontan mehrere Ideen.

        Dazu ein paar Fragen zum eingrenzen:

        1. Ist der openvpn Client in dem Netzwerk bei den PCs das default Gateway? -> wenn nein musst du auf dem defaut Gateway eine Route setzen die sagt das openvpn Server Netz ist via der IP des openvpn Client pfsense zu erreichen.  (Achtung: so handelst du dir die Probleme eines asynchronen routings ein).
        2. Hast du auf der pfsense die Client ist mal in das Firewall log geschaut?  Es gibt das Interface openvpn mit eigenen Firewall regeln.
        3. Wenn es Windows Clients sind kann dort die Windows Firewall aktiv sein. Die verbietet per default pings.  -> mal eine. Ping von der pfsense (Client) unter Diagnose direkt an den Client in dem Netz verschicken.

        Ich würde dich bitten das alles mal zu testen und hier ein Update zu Posten. Sollte es damit noch nicht gehen bitte auch etwas genauer den Aufbau beschrieben.  (ips von allem)

        Gruß blex

        1 Reply Last reply Reply Quote 0
        • A
          ankubo last edited by

          Moin,

          danke schon mal für Deine Antwort.

          Zu 1.
          Ich weiss nicht ganz genau was mit Deiner Frage gemeint ist. Falls Du meinst, wie die z.B. PC hinter dem Client angebunden sind, dann bekommen sie per DHCP von der Pfsense (Client) eine IP zugewiesen. diese aber vom LAN Interface.

          Zu 2.
          ich habe kein eigenes OpenVPN Interface. Die Verbindung habe ich nach diesem Video erstellt https://www.youtube.com/watch?v=seScJty_VL8&t=557s&index=8&list=PLHodxBqu3TYjx1n59fBT2lSLo4GQ3bnSl

          Zu 3.
          Wenn ich die Firewall bei einem Windowsrechner abschalte, kann ich diesen Rechner auch anpingen. Aber das kann ich von der Clientseite zu den Rechnern auf der Serverseite ohne das ich die Firewall der Windowsrecher abschalte. So möchte ich das auf der Clientseite, also von der Serverseite zur Clientseite pingen. Zudem habe ich auf der Clientseite auch Geräte, in denen ein Linux läuft und bei denen muss ich bislang keine Firewall abstellen bzw. das diese ein MiniLinux haben was diese Option gar nicht bietet.

          Der Aufbau sieht so aus:

          Server:
          Pfsense feste WAN IP
          LAN 10.6.60.0/24 Netz
          OpenVPN Virtuelles Netz 10.0.1.0/24

          Client:
          Pfsense dynamische WAN IP
          LAN 192.168.110.0/24 Netz
          OpenVPN Virtuelles Netz 10.0.1.0/24

          Und installiert wie in dem Video. Sorry bin diesbezüglich halt noch nen Anfänger.

          Gruß
          Andreas

          1 Reply Last reply Reply Quote 0
          • V
            viragomann last edited by

            Hallo,

            die Windows Firewall, aber normalerweise auch die auf Linux System, ist so konfiguriert, dass sie Pings und einige andere Zugriffe aus dem eigenen Netz (für welches ein Gateway in den Netzwerkeinstellungen gesetzt ist) zulässt.
            Nachdem der Ping aber aus dem Remote-Netz kommt, wird er per default geblockt.

            Die Ursache dafür solltest du nicht bei der pfSense suchen, sondern die Firewall am Rechner entsprechend konfigurieren, wenngleich es durch eine NAT-Regel auf der pfSense umgangen werden kann. Das ist aber nicht empfehlenswert.
            Es ist besser, du erlaubst auf den jeweiligen Rechner, auf welchen du Zugriff haben möchtest, diese.

            Grüße

            1 Reply Last reply Reply Quote 0
            • A
              ankubo last edited by

              OK. Bei den WindowsRechnern kann ich mir das vorstellen und auch einrichten. Nur bei dem Gerät welches ein Minilinux beinhaltet, wird's dann schwieriger. Ich schau mal, vielleicht gibt es da ja eine Möglichkeit (ist eine Mobotix Webcam).

              Nur für mich zur Info, wie sähe denn eine NAT-Regel auf der Pfsense aus?

              Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

              Gruß
              Andreas

              1 Reply Last reply Reply Quote 0
              • V
                viragomann last edited by

                @ankubo:

                Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

                Du hast ja selbst festgestellt, dass es funktioniert, wenn du die Firewall am Ziel-Rechner abschaltest. Also ist das Problem da zu suchen.

                @ankubo:

                Eine weitere Frage die ich habe, warum klappt das Pingen denn vom Client zum Server und umgekehrt nicht?

                Du möchtest den bequemen Weg gehen?  ;D

                Dazu musst du ein Source-NAT auf der Client-pfSense einrichten. Diese transferiert die Quell-IP in Paketen vom Remote-Netz auf die LAN-IP der pfSense. Damit sehen die Rechner im LAN als Quelle die pfSense, eine IP aus dem eigenen Netz und vertrauen ihr.
                Das verdeutlicht auch gleich den Nachteil an der Lösung: Am Zielgerät ist nicht feststellbar, woher der Request tatsächlich kommt.

                Firewall > NAT > Outbound
                Hier den Mode auf Hybrid umschalten und speichern.
                Dann eine Regel hinzufügen:
                Interface: LAN
                Protocol: any
                Source: das Remote-Netz
                Destination: LAN net (oder nur eine einzelne IP oder ein Alias für mehrere)
                Dest Port: any
                Translation: Interface Address

                1 Reply Last reply Reply Quote 0
                • A
                  ankubo last edited by

                  Super, das war es. Es funktioniert.
                  Bin den bequemen Weg gegangen, erst einmal um es auszuprobieren. Die andere Möglichkeit werde ich dann auch einmal ausprobieren. Danke schon mal für die schnelle Hilfe.

                  Gruß
                  Andreas

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann last edited by

                    Bei solchen Kleingeräten wie Webcams kann es schon sein, dass der Remote-Zugriff nicht so ohne Weiteres möglich ist. Die haben ja oft nicht mal ein Gateway zum Einstellen. Wenn das der Fall ist, gibt es natürlich keine Kommunikation mit einem anderen Netzwerk ohne NAT.

                    Wenn beide Seiten der VPN in deiner Obhut stehen und du allen Geräten vertraust, ist die NAT-Lösung auch nicht weiter bedenklich.
                    Auch wäre es möglich, dass du NAT nur für jene Geräte anwendest, auf welche anders kein Zugriff möglich ist. Dazu packst du all diese IPs in einen Alias (Firewall > Alias > IP) und trägst diesen in der NAT-Regel als Ziel ein.

                    Gruß

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post