pfSense als OpenVPN Client (CyberGhostVPN) - Verbindung ist up, aber Internet vom gesamten LAN ist weg.


  • Hi, ich wollte einen OpenVPN-Tunnel in Richtung CyberghostVPN einrichten. Gesagt getan:

    a977f7b2-f17b-48ff-aebf-c75c153e4e23-image.png
    262025f5-4d72-4cfb-9a14-d84f5077a667-image.png
    7e0a936c-1eb2-4605-aff7-fa0562a239a2-image.png
    70ebad2b-b78a-464f-9da0-159e754a5f0e-image.png
    ffd5c6e6-d3cc-4409-88c7-7fe41b738ef5-image.png
    af3b2f08-6a7a-47e6-8263-d0283ecccbe5-image.png

    Wie man sieht ist die Verbindung aufgebaut. Das Problem ist, dass sobald diese Verbidung steht, mein gesamtes LAN keinen Zugriff mehr auf das Internet bekommt. Das kann ja so nicht richtig sein? Ich dachte, das wäre erstmal unabhängig davon? Ich habe noch keine Rules oder dergleichen dafür angelegt.

    Hier die aktuellen Firewall-Rules:
    db4e3622-82d1-4492-aac4-6cf4fa81cfdf-image.png
    1b891ee0-24f5-4fc3-9874-68fa5dc2dcb0-image.png

    Was mache ich falsch?


  • @enjoyit
    Problem ist hier meist, der VPN-Server pusht die Standardroute; also aller Upstreamtraffic geht auf den Server, aber es fehlt die Outbound NAT Regel.

    @enjoyit said in pfSense als OpenVPN Client (CyberGhostVPN) - Verbindung ist up, aber Internet vom gesamten LAN ist weg.:

    Ich habe noch keine Rules oder dergleichen dafür angelegt.

    Du hast am LAN eine Regel, die alles aus dem LAN nach überall hin über alle Gateways erlaubt.

    Also, wenn es deine Absicht ist, allen Traffic über die VPN ins Internet zu schicken, fehlt dir wahrscheinlich nur die NAT-Regel. Es empfiehlt sich aber, erst der OpenVPN Instanz ein eigenes Interface zuzuweisen.

    Interfaces > Assignments
    Bei "Available network ports" den entsprechenden OpenVPN Client auswählen (bspw. ovpnc1"), Add klicken, um das neue Interface öffnen und es aktivieren und speichern.

    Eventuell erledigt dies auch gleich die NAT-Regel und es funktioniert damit bereits. Ein Neustart ist vielleicht erforderlich.
    Falls nicht, Firewall > NAT > Outbound, wenn du das noch nicht angetastet hast, ist es im Automatischen Modus. Dann musst du es in den Hybrid-Modus versetzen und diesen speichern. Dann eine neue Regel hinzufügen:
    Interface: jenes, das du der OpenVPN- Instanz vorhin zugewiesen hast.
    Source: LAN net, oder ein Alias aller gewünschten Nezte
    Dest: any
    Translation: Interface address

    Wenn du nur bestimmten Upstream Traffic über die VPN routen möchtest, musst du mit "Don't pull routes" das Setzen der Standardroute unterbinden und Policy Routing Regeln für den gewünschten Traffic anlegen.


  • @viragomann

    Vielen Dank! Das war natürlich der korrekte Tipp :-)

    Habe mir ein Alias gebaut der die IPs beinhaltet die auf den VPN zugreifen sollen.

    Sieht jetzt so aus und funktioniert:

    fc1174e2-453a-4e5b-bb9e-3af38a577d33-image.png