PfSense - OpenVPN - nicht alle Webseiten im LAN erreichbar



  • Hallo,

    Ich habe für meinen Privatbereich eine Firewall auf Basis von pfSense auf einer Terra Hardware installiert. Ich möchte damit Windows und IoT -Geräte besser überwachen können.
    Zusätzlich möchte ich mich über VPN in mein Heimnetzwerk einloggen.
    Es funktioniert auch alles soweit ganz gut. Ich kann über VPN auf freigegebene Order meine Servers zugreifen, oder mich in meine Private- Lokale Cloud einloggen usw.
    Bis auf eine Kleinigkeit. Bestimmte Seiten sind meinen Heimnetzwerk über VPN nicht zu erreichen (403 -forbidden ) oder Seiten sind prinzipiell nicht erreichbar. Oder es öffnet sich ein Anmeldebildschirm als würde ich aus einem Öffentlichen Raum darauf Zugreifen. Als wäre meine VPN-Verbindung ein nicht Vertrauenswürdigen Netzwerk.
    z.B. Konfigurationsseite der Fritz-Box oder die Plex-Server Seite. Dort kommt die Meldung Plex ist nicht erreichbar.

    Mit einer OpenVPN- Verbindung auf Basis eines Rasperry-Pi (ohne pfSense aber mit Fritz-Box Router) funktionieren die lokalen LAN-Inhalte problemlos über den VPN-Zugang.

    Was ich immer nicht verstehe ist, was mach der OpenVPN-Server auf den Rasperry-Pi anders als der auf der pfSense.

    Am Rasperry habe ich auch nur eine Weiterleitung der Pakete gemacht 
    iptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT

    und das Routing damit die VPN - Client's auf das LAN kommen 
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

    Was für eine Einstellung muss ich in pfSense vornehmen das sich die VPN-Teilnehmer genau so verhalten, als wären diese Teilnehmer im Lokalen Netz.

    Danke für euer Hilfe.


  • LAYER 8 Rebel Alliance

    Poste doch einfach mal Screenshots deiner Einstellungen.

    -Rico



  • Hallo Rico

    Danke für deine Nachfrage.
    Ich dachte ich hätte es schon gepostet (Vermutlich aber nur im deutschem Forum) 😃
    Mittlerweile konnte ich mir mit dieser ausgehende NAT--Regel behelfen.
    Ich denke das entspricht dem Linux-NAT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth 0 -j MASQUERADE
    0_1551028019431_NAT-Regel.jpg

    Ich habe folgende Konstellation
    0_1551027957175_6e2a08f576de2908062670bf1244172c.jpg

    Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24
    Das LAN hat 192.168.115.0/24
    OpenVPN hat 10.8.0.0/24
    Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft als extenden Host in der Fritz-Box
    Die Fritz-Box vor der pfSense dient noch zusätzlich als IP-Telefonie
    Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie
    Nun, es ist sicherlich nicht ideal wegen dem doppelten NAT die Firewall zwischen Fritz-Box und Switch zu hängen.
    Alternativ müsste ich zusätzlich ein reines VDSL Modem kaufen, was auch zusätzlich Strom verbraucht.
    Auf die Fritz-Box kann ich wegen der IP-Telefonie leider nicht verzichten, und so macht diese gleich die Interneteinwahl und DynDNS mit.

    ich finde es ist ja durchaus richtig, das bestimmte Konfigurationsseiten (z.B FritzBox oder mein Homeserver) den Zugang nur gewähren wenn sich der Anfragende im gleichen Subnetz befindet.

    Das ist aber bei einer VPN-Verbindung leider nicht der Fall (Netz 18.8.0.0/24) somit nicht das gleiche Subnetz und auch kein Zugriff.
    Mit dieser NAT-Regel wird erreicht, das ein zusätzlicher Port geöffnet wird (dynamisch), über diesen wird die Quell-IP Adresse (VPN-Netz) mit der LAN IP Adresse augestauscht, so das sich die Anfrage wieder im gleichen Subnetz befindet.

    Ich bin mir nicht sicher ob es nicht noch eine bessere Methode dafür gibt, oder ob ich irgendwo einen Konfigurationsfehler habe.
    Hier meine Konfiguration

    WAN-Regeln
    0_1551030137076_Regel WAN.jpg

    OpenVPN-Regel
    0_1551030192896_Regel OpenVPN.jpg

    Ausgehende NAT
    0_1551030273384_NAT Ausgehend.jpg

    Port Weiterleitung
    0_1551030320538_Port-Weiterleitung.jpg

    Gruß



  • This post is deleted!

  • Rebel Alliance Moderator

    Bei der NAT Regel könntest du statt tcp/udp/* gleich ganz "*" any Protocol nehmen. Wird mit Sicherheit einfacher sein. Aber im Prinzip hat sich diese Lösung - durchaus korrekt - schon beim Lesen deines ersten Posts angedeutet, wenn du schriebst, dass du 403 Forbidden oder Logins wie von extern bekommst.

    Viele IoT oder andere Lösungen erkennen ihr eigenes Netz/LAN und nehmen für alles andere dann an, dass hier entfernter Zugriff bzw. Logins der Fall ist. Hier müsstest du case-by-case nachsehen, wo du ggf. zusätzliche interne Netze definieren kannst, damit die Anwendung/Lösung das VPN Netz als lokal/LAN erkennt. Mit der erstellten NAT Regel bist du aber hier noch einfacher unterwegs und wirst einfach mit der IP der pfSense intern gemappt, was die Geräte dann zufriedenstellen wird (wenn du eine besser nachverfolgbare IP brauchst, ist es kein Problem eine zusätzliche Alias IP auf die Sense zu nehmen und diese als interne NAT Adresse zu nutzen).

    Grüße
    Jens


Log in to reply