OpenVPN Integrierung
-
Genau genommen ist der VPN-Tunnel ein Transit-Netz. In diesem hat der Client-Rechner eine IP (am virtuellen Interface) und auch der Server.
Verbindungen zu Zielen jenseits der VPN werden auf die IP des Servers geroutet, dieser leitet die Pakete an die jeweiligen Zielgeräte weiter.Doch das Tunnel-Netz ist ja hier gar nicht das Problem. Sondern, dass dein Rechner (der VPN-Client) eine IP (auf dem anderen Interface) in einem Subnetz hat, das über die VPN zum Server geroutet werden soll. So funktioniert das Routing nicht.
Da müsste ein Subnetz geändert werden, entweder das clientseitige LAN oder das serverseitige. -
So, wie viragomann es schon sagte, Ja. Das Tunnelnetzwerk ist zwingend notwendig und darf auf der Sense nicht anderweitig verwendet werden. Setzt du den Haken bei „redirect Gateway“ musst du dein lokales LAN Subnet nicht bei „local networks“ angeben.
Stelle mal testhalber das Interface auf localhost und füge eine NAT Regel hinzu: 1194 UDP Port auf Interface WAN mit Quelle any und Ziel deine öffentliche IP mit redirect auf localhost. Dann sollte es auch klappen.
Und zusätzlich eine Outbound NAT Regel für dein Tunnel Subnet. -
Vielen Dank. Ich habe den VPN Dienst neu konfiguriert und es klappt wunderbar, bekomme eine Verbindung in das gewünschte Netz.
Habe die Rules ebenfalls so konfiguriert, dass nur http und https funktionieren sollte.
Leider kommt der Ping (IMCP) aber auch durch, obwohl ich dazu keine Regel definiert habe?
Jemand eine Idee, wieso?
Selbst, wenn ich alle Regeln deaktiviere, kommt der Ping durch. HTTP und HTTPS gehen dann, wie gewollt, nicht. -
Was stört dich daran eine externe IP anzupingen? Du könntest eine Regel für ICMP erstellen und diese dann blocken. Diese Regel muss dann ganz oben stehen.
Und nebenbei, deine erste Regel bewirkt, dass die letzte Regel niemals ausgeführt wird und das ICMP als Protokoll erlaubt ist.
-
@sessa45 said in OpenVPN Integrierung:
Leider kommt der Ping (IMCP) aber auch durch, obwohl ich dazu keine Regel definiert habe?
Wodurch? Durch die VPN?
Ich sehe nicht, was dieser Ping mit der VPN zu tun hat.Grundsätzlich muss auf der pfSense alles per Regeln erlaubt werden. Einzige Ausnahme, die mir jetzt einfällt, sind DHCP Requests.
-
Nein, ich meine als geenrelle Einstellung. Hat nichts mit dem VPN zu tun, der läuft.
Grundsätzlich sollte das IMCP doch blockiert sein? Ich pinge aus dem Netz, welches hinter der PfSense hängt.
PS: 1.1.1.1 ist eine öffentliche IP (CloudFlare DNS).
-
Ja, nach den gezeigten Regeln dürfte es nicht erlaubt sein.
Hast du eine Floating-Regel, die es erlaubt.Ich habe bei mir eigens eine Floating-Regel für ICMP angelegt. Wenn ich dies deaktiviere, gehen keine Pings.
-
Nein, keine Sonderregeln.
Nach einem Reboot der PfSense geht der Ping nicht mehr durch ...Erstelle ich eine pass regel, führe einen ping aus, deaktivere / lösche diese wieder, geht der ping trotzdem durch...
-
@sessa45 said in OpenVPN Integrierung:
Erstelle ich eine pass regel, führe einen ping aus, deaktivere / lösche diese wieder, geht der ping trotzdem durch...
Na ist doch normal so lange der State noch existiert.
https://www.netgate.com/docs/pfsense/firewall/firewall-rule-basics.html
-
Ja, so lange der State aktiv ist, ist der Ping auch erlaubt. Wenn du den Ping aber für einige Sekunden beendest, wird die Verbindung geschlossen.
Aktive Verbindungen werden durch Änderungen an Filterregeln nicht beeinträchtigt.
Wenn du das haben möchtest, müsstest du die die Verbindung manuall kappen. Diagnostic > States
