[SOLVED] Zugriff auf WAN2 Failover Subnet über OpenVPN



  • Hallo,

    gibt es ne Möglichkeit über OpenVPN auf das Wan2 Subnet zuzugreifen, wenn dieses als Failover läuft und ohne den gesamten Traffic über OpenVPN laufen zu lassen?

    WAN2 hat als Gateway ne Fritte, hat also ne lokale IP.

    Der Zugriff auf die Fritte klappt, nur eben nicht über OpenVPN.

    Danke schonmal für Ideen.



  • Hallo,

    mir fällt auf Seiten der pfSense kein Grund ein, weswegen das nicht funktionieren soll.
    Auf der FB brauchst du natürlich eine statische Route für das OpenVPN-Tunnel-Netz, die auf die pfSense zeigt. Das gilt aber ebenso für Geräte im WAN1, die nicht die pfSense als Standardgateway verwenden.
    Alternativ kannst du das Problem auch mit einer Outbound NAT Regel auf der pfSense umgehen. Vermutlich ist es hier ohnehin nicht erforderlich die Quell-IP auf der FB zu erkennen.

    Grüße



  • Hallo,

    also die Sense stellt in jedem Fall immer die Gateways. Über WAN1 erreiche per OpenVPN die Netzwerke, die ich in der Serverconfig eingetragen habe.
    Ich möchte eigentlich nur von außen per OpenVPN auch auf die Webgui der Fritte zugreifen, die als WAN2 ebenfalls an der Sense hängt.
    Denke nicht, dass ich ne statische Route auf der Fritte brauche, da ich ja eigentlich nur aus dem Tunnelnetz darauf zugreifen möchte.
    Outbound Nat hört sich gut an. Habs mal getestet.

    1. Subnet der Fritte als zusätzliches lokales Netz in die OpenVPN Serverconfig eingetragen
    2. Outbound NAT: WAN2 - OpenVPN Tunnelnetz - Subnet der Fritte

    läuft.

    Danke für den Hinweis.



  • Es wird auf jedem Gerät, das nicht die pfSense als Standardgateway hat und via OpenVPN der pfSense erreicht werden soll eine statische Route für das VPN Tunnel-Netz auf die pfSense benötigt. Ansonsten würde das Zeilgerät die Antwortpakete immer zum Standardgateway schicken und diese kämen nie zum VPN Client zurück.
    Auf die FB trifft das vermutlich zu. Diese ist ein Router und hat ein Default Gateway irgendwo beim Provider.

    Aber Wurscht, Outbound NAT ist hier wohl auch okay. Wenn der Zugriff dahin ohnehin nur für mich selbst erlaubt ist, hätte ich es auch damit gelöst.

    Grüße


Log in to reply