Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SOLVED] Erläuterung OpenVPN

    Deutsch
    3
    12
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by A Former User

      Hallo,

      ich habe irgendwie einen Knoten im Kopf. Ich habe auf der pfsense eine OPENVPN-Verbindung (client) eingerichtet. Diese steht auch (https://forum.netgate.com/topic/130639).

      Jetzt verstehe ich nicht, wofür ich das dann angelegte Interface OPENVPN benötige? Weise ich dem eine IP-Adresse zu? Auch bekomme ich eine virtuelle IP-Adresse zugewiesen (10.144.0.18). So wie ich das verstehe, geht der gesamte ausgehende (WAN) Traffic nicht über die OpenVPN, sondern weiterhin über WAN. Das bedeutet, dass die OpenVPN ja auch ein eigenes Interface benötigt, damit man das mit Regeln belegen kann. Aber ls lokale Adresse wird mir meine statische IP-Adresse angezeigt. Und hier wird mir dann schwindelig.

      Daher weiß ich auch nicht wie ich der Firewall jetzt sage, wie Traffic darüber gehen soll (ich will auf smb.hidrive.strato.com und habe aktiviert, dass dies nur über eine bestehende OpenVPN Verbindung möglich ist.) zugreifen (SMB/CIFS).

      Versteht jemand was ich meine und hilft mir mal den Knoten zu entknoten?

      Bin auch gerne bereit zu lesen, wenn das irgendwo gut beschrieben ist :)

      Danke :)

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by viragomann

        Hallo!

        @blubb1992 said in Erläuterung OpenVPN:

        Jetzt verstehe ich nicht, wofür ich das dann angelegte Interface OPENVPN benötige?

        Die virtuelle IP des OpenVPN-Servers ist das Gateway über das du die Zugriffe zum HiDrive schickst. Ein Gateway muss immer einem Interface zugeordnet sein.
        Es wird also für das Routing benötigt.

        @blubb1992 said in Erläuterung OpenVPN:

        Weise ich dem eine IP-Adresse zu?

        Nein. Das macht der Server, wie schon geschehen.

        @blubb1992 said in Erläuterung OpenVPN:

        Das bedeutet, dass die OpenVPN ja auch ein eigenes Interface benötigt, damit man das mit Regeln belegen kann.

        Ein Interface hast du dem VPN Client ja schon zugewiesen, wie zuvor geschrieben, oder?
        Aber Regeln musst du auf diesem nicht definieren. Firewall-Regeln werden auf dem Interface angelegt, auf dem die Verbindung in die pfSense reinkommt. Doch vom OpenVPN-Server her möchtest du doch nichts reinlassen, oder?

        Regeln, die Zugriffe zum HiDrive erlauben, musst du an den jeweiligen Interfaces anlegen, an denen die Clients angeschlossen sind, die Zugriff erhalten sollen, z.B. LAN.

        @blubb1992 said in Erläuterung OpenVPN:

        Daher weiß ich auch nicht wie ich der Firewall jetzt sage, wie Traffic darüber gehen soll (ich will auf smb.hidrive.strato.com und habe aktiviert, dass dies nur über eine bestehende OpenVPN Verbindung möglich ist.) zugreifen (SMB/CIFS)

        Packe smb.hidrive.strato.com und eventuell weitere FQDNs / IPs, die über die VPN geroutet werden sollen, in einen Alias vom Typ IP und verwende diesen als Ziel in der Firewall-Regel, die den Zugriff erlaubt.
        In dieser Regel musst du die Advanced Options öffnen und bei Gateway dein OPENVPN gateway angeben (dieses wird automatisch erstellt, wenn du der VPN ein Interface zugewiesen hast).
        Diese Sache wird "Policy routing" genannt, routen aufgrund von Bedingungen.
        Diese Firewall-Regel ist so zu positionieren, dass sie auch greift, also möglichst ganz oben.

        Grüße

        ? 1 Reply Last reply Reply Quote 0
        • ?
          A Former User @viragomann
          last edited by

          @viragomann

          Dank schon Mal für Deine Antwort.

          @viragomann said in Erläuterung OpenVPN:

          Die virtuelle IP des OpenVPN-Servers ist das Gateway über das du die Zugriffe zum HiDrive schickst. Ein Gateway muss immer einem Interface zugeordnet sein.
          Es wird also für das Routing benötigt.
          Okay, ich habe gerade mal nachgesehen und ja, dem Gateway ist das entsprechende Interface zugeordnet. Was ich nicht verstehe, warum das Interface auf IPv6 angelegt wurde. Ich habe mal versucht das zu ändern, geht leider nicht.

          @viragomann said in Erläuterung OpenVPN:

          Nein. Das macht der Server, wie schon geschehen.
          Okay, dann muss das so.

          @viragomann said in Erläuterung OpenVPN:

          Ein Interface hast du dem VPN Client ja schon zugewiesen, wie zuvor geschrieben, oder?
          Aber Regeln musst du auf diesem nicht definieren. Firewall-Regeln werden auf dem Interface angelegt, auf dem die Verbindung in die pfSense reinkommt. Doch vom OpenVPN-Server her möchtest du doch nichts reinlassen, oder?

          Nein, wenn ich auf einen SMB-Share zugreifen will, muss ich ja wie du schon sagst nur auf dem Interface ne Regel anlegen, über das ich zugreifen möchte. Den Rückweg muss man ja nicht freigeben.

          @viragomann said in Erläuterung OpenVPN:

          Packe smb.hidrive.strato.com und eventuell weitere FQDNs / IPs, die über die VPN geroutet werden sollen, in einen Alias vom Typ IP und verwende diesen als Ziel in der Firewall-Regel, die den Zugriff erlaubt.

          Da wirft er leider einen Fehler. Ich habe ihn in den Typ Hosts gepackt. Geht ja nur darum, dass ich die URL verwendet werden kann oder?

          @viragomann said in Erläuterung OpenVPN:

          In dieser Regel musst du die Advanced Options öffnen und bei Gateway dein OPENVPN gateway angeben (dieses wird automatisch erstellt, wenn du der VPN ein Interface zugewiesen hast).
          Diese Sache wird "Policy routing" genannt, routen aufgrund von Bedingungen.
          Diese Firewall-Regel ist so zu positionieren, dass sie auch greift, also möglichst ganz oben.

          Ich kann das Gateway gar nicht erst auswählen.

          Danke
          Blubb1992

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @A Former User
            last edited by

            @blubb1992 said in Erläuterung OpenVPN:

            Nein, wenn ich auf einen SMB-Share zugreifen will, muss ich ja wie du schon sagst nur auf dem Interface ne Regel anlegen, über das ich zugreifen möchte. Den Rückweg muss man ja nicht freigeben.

            Hätte ich so verstanden.

            Das Gateway wird für das Routing benötigt, habe ich ja eigentlich schon erwähnt, hier das Policy Routing mithilfe der Firewall-Regel.

            Okay, dann mach das mal. Gehe auf Interfaces > Assign, unter "available network ports" wähle unten die OpenVPN Client Instanz aus (ovpncX) und klick rechts auf Add. Dann klicke auf den Interface-Namen (OPTX), um die Einstellungen zu öffnen, Haken bei Enable, einen hübschen Namen vergeben und sichern.
            Es ist keine Konfiguration nötig, das macht der Server, wie erwähnt.

            @blubb1992 said in Erläuterung OpenVPN:

            @viragomann said in Erläuterung OpenVPN:

            Packe smb.hidrive.strato.com und eventuell weitere FQDNs / IPs, die über die VPN geroutet werden sollen, in einen Alias vom Typ IP und verwende diesen als Ziel in der Firewall-Regel, die den Zugriff erlaubt.

            Da wirft er leider einen Fehler.

            Welchen Fehler?
            Habe das eben gemacht. Firewall > Aliases > IP > Add, Name eingeben, Typ: Hosts und unten smb.hidrive.strato.com einfügen > speichern.

            Aber ja, wenn es nur dieser Host ist, kannst du natjürlich auch IP dafür direkt in der Firewall-Regel anstatt des Aliases eingeben, wird sich ja nicht so bald ändern.

            @blubb1992 said in Erläuterung OpenVPN:

            Ich kann das Gateway gar nicht erst auswählen.

            Nachdem du das Interface, wie oben beschrieben, eingerichtet hast, sollte hier auch das zugehörige Gateway auswählbar sein.

            Grüße

            ? 1 Reply Last reply Reply Quote 0
            • ?
              A Former User @viragomann
              last edited by

              Guten Morgen,

              @viragomann said in Erläuterung OpenVPN:

              Hätte ich so verstanden.
              Das Gateway wird für das Routing benötigt, habe ich ja eigentlich schon erwähnt, hier das Policy Routing mithilfe der Firewall-Regel.
              Okay, dann mach das mal. Gehe auf Interfaces > Assign, unter "available network ports" wähle unten die OpenVPN Client Instanz aus (ovpncX) und klick rechts auf Add. Dann klicke auf den Interface-Namen (OPTX), um die Einstellungen zu öffnen, Haken bei Enable, einen hübschen Namen vergeben und sichern.
              Es ist keine Konfiguration nötig, das macht der Server, wie erwähnt.

              Ich hab das Interface mal gelöscht und neu angelegt. Jetzt hat er mir auch 2 Gateways angelegt (IPv4 und v6) und jetzt kann ich das Gateway auch auswählen. Lag wahrscheinlich daran, dass ich am Interface rumgefummelt hatte.

              @viragomann said in Erläuterung OpenVPN:

              Welchen Fehler?
              Habe das eben gemacht. Firewall > Aliases > IP > Add, Name eingeben, Typ: Hosts und unten smb.hidrive.strato.com einfügen > speichern.
              Aber ja, wenn es nur dieser Host ist, kannst du natjürlich auch IP dafür direkt in der Firewall-Regel anstatt des Aliases eingeben, wird sich ja nicht so bald ändern.

              Missverständnis. Alles gut genauso hab ich es gemacht.

              Also jetzt bekomme ich wenigstens eine Abfrage für die Nutzerdaten. D.h. er kann sich verbinden. Zugriff hab ich trotzdem nicht, weil er sagt "benutzername und kennwort falsch" was definitiv nicht der fall ist. Im Log der Firewll sehe ich das er zu diesem Zeitpunkt immer versucht UPD port 137 zur .255 in dem LAN in dem ich versuche zu verbinden zuzugreifen. In der Regel habe ich alles in die Richtung zu OpenVPN freigegeben. Hast du da eine Idee?

              Danke!

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Hallo,

                möglicherweise die falsche Domäne / Host im Benutzernamen? Windows-Clients schicken standardmäßig gerne die gerade aktive Domäne mit. In diesem Fall "anderer Benutzer" klicken und die Daten neu eingeben, eventuell mit Domäne oder Host.

                ? 1 Reply Last reply Reply Quote 0
                • ?
                  A Former User @viragomann
                  last edited by

                  @viragomann said in Erläuterung OpenVPN:

                  Hallo,

                  möglicherweise die falsche Domäne / Host im Benutzernamen? Windows-Clients schicken standardmäßig gerne die gerade aktive Domäne mit. In diesem Fall "anderer Benutzer" klicken und die Daten neu eingeben, eventuell mit Domäne oder Host.

                  Nein, dass ist es nicht. Ich hab mal geschaut. Windows Firewall ist ausgeschaltet. Ping der Domain smb.hidrive.strato.com ist nicht möglich(kann aber auch so gewollt sein, obwohl es von meinem Notebook -einfach WLAN und Internet, nix mit Firewall, funktioniert). Und DNS schon. Im Log wird beim Versuch die Einrichtung einzurichten, nichts als geblockt angezeigt. Wenn ich es versuche als Netzlaufwerk zu verbinden, kommt, keine Verbindung möglich als Fehlermeldung. Der entfernte Host reagiert nicht. Ich habe mal geschaut, ob es eventuell daran liegt, dass er nicht über die VPN geht. Hab bei Strato mal das aus gemacht, dass nur verschlüsselte Verbindungen möglich sind, dann sollte SMB over Internet auch ohne VPN funzen. Das hat auch nichts geändert. Wenn ich am Handy die VPN einrichte und es versuche klappts. Also Strato ist nicht das Problem, der Client auch nicht. DNS auch nicht. Wenn ich einen tracert mache, findet er keinen Hop, was auch komisch ist. Ich hätte angenommen, dass er zumindest am default Gateway des Netzes landen würde, bzw es im tracert zu sehen ist.

                  Ideen, wo ich noch suchen kann oder was ich zum Troubleshooten nutzen sollte?

                  Dankeschööön

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann
                    last edited by

                    Ah ja, eins hab ich noch vergessen, das Outbound NAT. Hatte ich zwar vorhin schon im Kopf, als ich dein Post gelesen hatte, dann aber zu erwähnen vergessen.
                    Das hast du vermutlich noch nicht konfiguriert? Ich habe den anderen Thread nicht so genau verfolgt.

                    Firewall > NAT > Outbound
                    Da benötigst du eine Masquerading-Regel für die VPN-Verbindung:
                    Wenn das Outbound NAT im Automatic-Modus steht, schalte es in den Hybrib-Modus.
                    Interface: das VPN Interface, das du eingerichtet hast
                    Source: any
                    Translation Address: Interface address

                    Alle anderen Einstellungen können auf ihren Standardwerten bleiben.

                    ? 1 Reply Last reply Reply Quote 0
                    • G
                      Gladius
                      last edited by

                      Wie sind denn die Routen nach dem Aufbau des OpenVPN-Tunnels gesetzt? Es muß durch korrektes Routing
                      im lokalen Netz das CIFS-Protokoll über den Tunnel laufen sonst brauche man ja kein VPN.

                      • DNS Auflösung der Stratoserver prüfen
                      • Die relevanten Regeln auf der Firewall mit "logs" einrichten

                      Mit den jetzt vorliegenden Informationen zum Problem kann ich nicht mehr sagen.

                      DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.7.0-RELEASE (amd64)

                      1 Reply Last reply Reply Quote 0
                      • ?
                        A Former User @viragomann
                        last edited by

                        @viragomann said in Erläuterung OpenVPN:

                        Ah ja, eins hab ich noch vergessen, das Outbound NAT. Hatte ich zwar vorhin schon im Kopf, als ich dein Post gelesen hatte, dann aber zu erwähnen vergessen.
                        Das hast du vermutlich noch nicht konfiguriert? Ich habe den anderen Thread nicht so genau verfolgt.
                        Firewall > NAT > Outbound
                        Da benötigst du eine Masquerading-Regel für die VPN-Verbindung:
                        Wenn das Outbound NAT im Automatic-Modus steht, schalte es in den Hybrib-Modus.
                        Interface: das VPN Interface, das du eingerichtet hast
                        Source: any
                        Translation Address: Interface address
                        Alle anderen Einstellungen können auf ihren Standardwerten bleiben.

                        Ah perfekt das war es. Es funktioniert jetzt :)

                        Ich Danke für Deine Hilfe. So und ich versuch jetzt noch mal das technisch zu verstehen.

                        Also ich muss die Regel setzen und das Gateway angeben, damit die Firewall weiß " AHAAA das darf der und ich soll das über das Gateway schicken". Das nennt sich dann Policy Routing, korrekt?

                        So und da die Firewall keine Fritzbox ist, muss ich ihr sagen das sie NAT machen soll, richtig?

                        Das NAT meiner Fritzbox hab ich ja verstanden, nur warum die separate Regel benötigt wird, wenn die automatischen Regeln schon drin sind.

                        Danke unf VG

                        1 Reply Last reply Reply Quote 0
                        • V
                          viragomann
                          last edited by viragomann

                          Freut mich, dass es endlich funkt.

                          Ja, Policy routing ist der Weg, der pfSense zu erklären, dass gewisse Verbindungen anstatt über dem Default Gateway über ein anderes gehen sollen.
                          https://www.netgate.com/docs/pfsense/routing/directing-traffic-with-policy-routing.html

                          Home Router machen das Outbound NAT (bzw. Masquerading) automatisch, das ist aber nicht immer gewünscht, speziell nicht, wenn man nur routen möchte und die Quell-IP am Zielhost benötigt. Bsp. auf einem Webserver.

                          Automatisch werden von der pfSense nur Regeln für Interfaces angelegt, die in der Interface-Konfig. selbst ein Gateway angegeben habe. Nachdem man das VPN Interface aber nicht konfiguriert, ist die Regel hier manuell zu setzen.

                          ? 1 Reply Last reply Reply Quote 0
                          • ?
                            A Former User @viragomann
                            last edited by

                            @viragomann Danke für Deine Hilfe.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.