Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense - OpenVPN - nicht alle Webseiten im LAN erreichbar

    Deutsch
    openvpn lan website
    3
    5
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dahoam
      last edited by

      Hallo,

      Ich habe für meinen Privatbereich eine Firewall auf Basis von pfSense auf einer Terra Hardware installiert. Ich möchte damit Windows und IoT -Geräte besser überwachen können.
      Zusätzlich möchte ich mich über VPN in mein Heimnetzwerk einloggen.
      Es funktioniert auch alles soweit ganz gut. Ich kann über VPN auf freigegebene Order meine Servers zugreifen, oder mich in meine Private- Lokale Cloud einloggen usw.
      Bis auf eine Kleinigkeit. Bestimmte Seiten sind meinen Heimnetzwerk über VPN nicht zu erreichen (403 -forbidden ) oder Seiten sind prinzipiell nicht erreichbar. Oder es öffnet sich ein Anmeldebildschirm als würde ich aus einem Öffentlichen Raum darauf Zugreifen. Als wäre meine VPN-Verbindung ein nicht Vertrauenswürdigen Netzwerk.
      z.B. Konfigurationsseite der Fritz-Box oder die Plex-Server Seite. Dort kommt die Meldung Plex ist nicht erreichbar.

      Mit einer OpenVPN- Verbindung auf Basis eines Rasperry-Pi (ohne pfSense aber mit Fritz-Box Router) funktionieren die lokalen LAN-Inhalte problemlos über den VPN-Zugang.

      Was ich immer nicht verstehe ist, was mach der OpenVPN-Server auf den Rasperry-Pi anders als der auf der pfSense.

      Am Rasperry habe ich auch nur eine Weiterleitung der Pakete gemacht 
      iptables -A INPUT -i tun+ -j ACCEPT
      iptables -A FORWARD -i tun+ -j ACCEPT

      und das Routing damit die VPN - Client's auf das LAN kommen 
      iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
      iptables -t nat -F POSTROUTING
      iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

      Was für eine Einstellung muss ich in pfSense vornehmen das sich die VPN-Teilnehmer genau so verhalten, als wären diese Teilnehmer im Lokalen Netz.

      Danke für euer Hilfe.

      1 Reply Last reply Reply Quote 0
      • RicoR
        Rico LAYER 8 Rebel Alliance
        last edited by

        Poste doch einfach mal Screenshots deiner Einstellungen.

        -Rico

        2x Netgate XG-7100 | 11x Netgate SG-5100 | 6x Netgate SG-3100 | 2x Netgate SG-1100

        1 Reply Last reply Reply Quote 0
        • D
          dahoam
          last edited by dahoam

          Hallo Rico

          Danke für deine Nachfrage.
          Ich dachte ich hätte es schon gepostet (Vermutlich aber nur im deutschem Forum) 😃
          Mittlerweile konnte ich mir mit dieser ausgehende NAT--Regel behelfen.
          Ich denke das entspricht dem Linux-NAT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth 0 -j MASQUERADE
          0_1551028019431_NAT-Regel.jpg

          Ich habe folgende Konstellation
          0_1551027957175_6e2a08f576de2908062670bf1244172c.jpg

          Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24
          Das LAN hat 192.168.115.0/24
          OpenVPN hat 10.8.0.0/24
          Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft als extenden Host in der Fritz-Box
          Die Fritz-Box vor der pfSense dient noch zusätzlich als IP-Telefonie
          Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie
          Nun, es ist sicherlich nicht ideal wegen dem doppelten NAT die Firewall zwischen Fritz-Box und Switch zu hängen.
          Alternativ müsste ich zusätzlich ein reines VDSL Modem kaufen, was auch zusätzlich Strom verbraucht.
          Auf die Fritz-Box kann ich wegen der IP-Telefonie leider nicht verzichten, und so macht diese gleich die Interneteinwahl und DynDNS mit.

          ich finde es ist ja durchaus richtig, das bestimmte Konfigurationsseiten (z.B FritzBox oder mein Homeserver) den Zugang nur gewähren wenn sich der Anfragende im gleichen Subnetz befindet.

          Das ist aber bei einer VPN-Verbindung leider nicht der Fall (Netz 18.8.0.0/24) somit nicht das gleiche Subnetz und auch kein Zugriff.
          Mit dieser NAT-Regel wird erreicht, das ein zusätzlicher Port geöffnet wird (dynamisch), über diesen wird die Quell-IP Adresse (VPN-Netz) mit der LAN IP Adresse augestauscht, so das sich die Anfrage wieder im gleichen Subnetz befindet.

          Ich bin mir nicht sicher ob es nicht noch eine bessere Methode dafür gibt, oder ob ich irgendwo einen Konfigurationsfehler habe.
          Hier meine Konfiguration

          WAN-Regeln
          0_1551030137076_Regel WAN.jpg

          OpenVPN-Regel
          0_1551030192896_Regel OpenVPN.jpg

          Ausgehende NAT
          0_1551030273384_NAT Ausgehend.jpg

          Port Weiterleitung
          0_1551030320538_Port-Weiterleitung.jpg

          Gruß

          D 1 Reply Last reply Reply Quote 0
          • D
            dahoam @dahoam
            last edited by

            This post is deleted!
            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Bei der NAT Regel könntest du statt tcp/udp/* gleich ganz "*" any Protocol nehmen. Wird mit Sicherheit einfacher sein. Aber im Prinzip hat sich diese Lösung - durchaus korrekt - schon beim Lesen deines ersten Posts angedeutet, wenn du schriebst, dass du 403 Forbidden oder Logins wie von extern bekommst.

              Viele IoT oder andere Lösungen erkennen ihr eigenes Netz/LAN und nehmen für alles andere dann an, dass hier entfernter Zugriff bzw. Logins der Fall ist. Hier müsstest du case-by-case nachsehen, wo du ggf. zusätzliche interne Netze definieren kannst, damit die Anwendung/Lösung das VPN Netz als lokal/LAN erkennt. Mit der erstellten NAT Regel bist du aber hier noch einfacher unterwegs und wirst einfach mit der IP der pfSense intern gemappt, was die Geräte dann zufriedenstellen wird (wenn du eine besser nachverfolgbare IP brauchst, ist es kein Problem eine zusätzliche Alias IP auf die Sense zu nehmen und diese als interne NAT Adresse zu nutzen).

              Grüße
              Jens

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post