two openvpn daemons with different wan interface



  • Hi Community,

    my setup, one pfsense with one lan and two wan interfaces. My lan interface is only used for gui and ssh administration.

    i setup two openvpn services litening on ports (1194, 1195). Each daemon has a his own wan interface where receives openvpn connections.

    Connections on both interfaces are successful. But the traffic is only tunneld throught my "first wan interface". Thats not my destination. In this case both connections gets the same public ip.

    How can i setup that each services are receiving auth request and send traffic to his own wan interface?

    Example:

    daemon1:
    port 1194
    WAN: 192.168.10.10/24 --> receiving auth and tunnel traffic 192.168.10.10
    Internal: 10.10.10.10/24

    daemon2:
    1195
    WAN: 192.168.10.20/24 --> receiving auth and tunnel traffic 192.168.10.10, why not 192.168.10.20 - Help?
    Internal: 10.10.10.20/24

    My default gateway is 192.168.10.1.

    Best regards
    fettfoen

    Thanks for help



  • Hallo,

    das hier ist das deutschsprachige Forum. So nehme ich an, dass du dieser Sprache auch mächtig bist.

    Du hast also die VPN Server dafür eingerichtet, um über diese ins Internet zu gehen?
    Standardmäßig gehen natürlich alle Verbindungen Richtung Internet über das Default Gateway. Dieses ist wohl am WAN1 konfiguriert, somit erhalten die Pakete als Quell-IP die von WAN1.

    Wenn du die Verbindungen von VPN2 über WAN2 raus schicken möchtest, benötigst du

    • am WAN2 ein Gateway, welches die Pakete weiterleitet. System > Routing > Gateways > Add
    • eine Policy based Routing Regel am Interface des VPN2 Servers oder auf OpenVPN.
      Dazu muss du eine Pass-Regel anlegen mit Source = 'VPN2 Tunnel Netzwerk', die Advanced Options öffnen und bei Gateway das WAN2 GW auswählen. Diese Regel muss oberhalb der Standard-Erlauben Regel platziert werden, damit sie zur Anwendung kommt.
    • eine Outbound NAT Regel für diese Verbindungen.
      Das Outbound NAT erst in den Hybrid Modus schalten, falls es, wie standardmäßig, im Automatik-Modus arbeitet.
      Dann eine Regel hinzufügen: Interface = WAN, Source = VPN2 Tunnel Netzwerk, Destination = any, Translation = Interface Address.

    Grüße



  • Hey,

    danke für deine Antwort. Deinen Vorschlag werde ich versuchen umzusetzen. In der Zwischenzeit habe ich folgendes ausprobiert:

    Ich habe auf dem openVPN interface zwei Regeln erstellt:

    IPv4 * 10.10.0.0/24 * * * GW_WAN1 none vpn1

    IPv4 * 10.20.0.0/24 * * * GW_WAN2 none vpn2

    Ich habe anstatt das "default" Gateway, das jeweilige WAN Interface angegeben (policy routing). Dies funktioniert auch. Komm ich mit Port 1194 angesurft wird der Traffic duch GW_WAN1 getunnelt (meine öffentliche IP ist nun die GW_WAN1 Adresse. Für den VPN Service, welcher auf 1195 lauscht gilt dasselbe (öffentl. IP GW_WAN2).

    Ich habe also eigentlich alles was ich wollte.

    Allerdings habe ich gerade bemekrt, dass ich auf die WEBGui der Pfsense komme, ssh ist auch kein Problem, obwohl http, https, ssh nur auf dem LAN Interface erlaubt ist.

    Was ist nicht ganz verstehe, wenn ich mich als admin anmelde wird mir auf dem Dashboard angezeigt, dass ich mit der virtuellen VPN IP verbunden bin.

    admin@10.10.0.2 (Local Database)

    Mache ich eine grundsätzlichen Denkfehler?

    LG
    Micha und Danke



  • Allgemein gilt, wenn in der Regel jedes Ziel und jeder Port erlaubt sind, ist auch Zugriff auf die WebGUI möglich. Deshalb sollten die Regeln eingeschränkt werden bzw. eine Block-Regel darüber gesetzt werden.

    Jedoch sollte der WebGUI Zugriff in deinem Fall über eine Policy Routing Regel nicht möglich sein. Diese Regeln dürften nur Traffic ermöglichen, die über das jeweilige Gateway gehen. Damit würden die Pakete über das WAN Interface reinkommen und da sollte ein Zugriff auf die WebGUI nicht erlaubt sein.
    Daher würde ich die Sache untersuchen, indem ich das Logging in den Regeln aktiviere und im Firewall nachsehe, welche Regel den Zugriff tatsächlich erlaubt.

    Ansonsten, wenn generell von den VPNs nur Internet erlaubt werden soll, kannst du die Regel einschränken.
    Ich erstelle mir hierzu einen Alias mit allen RFC 1918 Netzen (also alle privaten Netzen, und intern verwende ich nur solche). Diesen setze ich in der Pass-Regel als Ziel mit "invert match" angehakt, das dann heißt, die Regel erlaubt alle Ziele außer RFC 1918.

    Grüße


  • LAYER 8

    This post is deleted!


  • Hallo,

    die Regel einzuschränken war natürlich eine gute Idee. Ich habe jetzt einfach verboten, dass das VPN Netz auf das LAN Interface zugfreifen darf, somit habe ich nun fast alles was ich wollte.


Log in to reply