Pfsense openvpn routing



  • Pfsense openvpn routing

    Hallo zusammen ich habe Folgendes vor.

    Pfsense hat 2 wan Anschlüsse einen über PPPoE den anderen über dhcp. Nun wollte ich von außen Zugriff auf einen Dienst bekommen der auf Port 8080 läuft war kein Problem.
    Das Problem kommt erst wen die wan2 anspringt und Dyndns aufeinander eine interne iP anzeigt.
    Lösung dachte ich mir habe ja noch nen Server mit openvpn .

    Wie konfiguriere ich den Server den nun damit Anfragen auf Port 8080 in den Tunnel gesendet werden?



  • Die Netzwerkstruktur sollen wir erraten? Wenn ja, bin ich hier raus.

    LG



  • VServer hat eine öffentliche IP openvpn Server.
    pfsense baut eine PPOE Verbindung auf. der zu erreichende dienst liegt in der dmz

    IP Tunnel 10.8.8.0/24
    dmz 10.10.8.0/24

    ich habe es auch noch nicht hinbekommen die VPN Verbindung zum Server herzustellen.
    habe nur eine (.ovpn) da muss ich noch schauen wie ich das umsetzt.



  • Sorry, dein Problem ist anhand der Beschreibung wirklich nicht zu verstehen. Eine Skizze könnte hier Klarheit schaffen und wäre wohl schneller angefertigt als lange Beschreibungen.



  • Hoffe das macht es klarer

    bild
    https://ibb.co/kp07RL



  • Ja.

    Der VPN-Tunnel ist gewiss eine aufwendige Lösung. Aber wenn das Ändern der Ziel-IP am Client für die 8080-Verbindung keine Option ist, fällt mir jetzt auch nichts besseres ein.

    Dafür musst du eine Site-2-Site VPN konfigurieren, mit einem /30er-Pool.
    Am Server ist die interne IP des Zielhosts als "Remote network" anzugeben und ein NAT Portforwarding auf den Zielhost zu setzen.

    Auf der Clientseite musst du der OpenVPN Client-Instanz ein Interface zuweisen und dieses aktivieren. Keine Konfiguration.
    Auf dem damit neu hinzugekommenen Regel-Tab benötigst du noch eine entsprechende Regel, die den Traffic erlaubt.
    Wenn der Server nicht auch durch den Tunnel nach außen verbinden soll, müsste das schon reichen.
    Antwortpakete sollten wieder automatisch durch den Tunnel zurückgeroutet werden.



  • @viragomann

    Eine andere Option währe ja wen ich bei Ausfall von wan1 eine Dyndns Adresse mit der externen iP von wan2 updaten kann Zugriff auf den Router an wan2 ist nicht so einfach möglich. Schöner währe die Lösung wen ein kleines Script die externe iP erfragt und die setzt.
    Nur ich weis nicht wie die Lösung gehen sollte

    Alternative noch zu überlegen währe vielleicht den Server der den Dienst zur Verfügung stellt den VPN Tunnel aufbaut.



  • Ja genau, das ist wohl die einfachste Lösung, wenn du ein DynDNS verwendest.

    Grundsätzlich kann der Update-Dämon auch auf einem internen Host hinter der Firewall / dem Router laufen. Einige DynDNS-Provider bieten dafür Scripts für verschiedene Plattformen an. Diese müssen nur als Service eingerichtet und konfiguriert werden.