Portforwarding OpenVPN Client mit statischer public IP
-
@xybor said in Portforwarding OpenVPN Client mit statischer public IP:
Jap, wie erwähnt mit der 2.5.2-Beta, die bei anderen anscheinend funktioniert.
Ah ja, hatte ich übersehen. Sorry.
Achte darauf, dass weder eine Pass-Regel am OpenVPN Tab noch eine am Floating auf den reinkommenden Traffic von der ovpn.com zutrifft. Oder anders, es muss ausschließlich eine Regel am OVPN Tab den Traffic erlauben.
Die anderen beiden Tabs hätten den Vorzug, sollte da eine Regel zutreffen. -
@xybor Welche Version? 2.5.2 ist schon länger RC. Auf den letzten Snapshot geupdated?
-
@jegr said in Portforwarding OpenVPN Client mit statischer public IP:
@xybor Welche Version? 2.5.2 ist schon länger RC. Auf den letzten Snapshot geupdated?
2.5.2-RC (amd64), built on Thu Jun 17 17:10:26 EDT 2021
-
@xybor Gibt es Regeln auf dem OpenVPN G-Interface?
-
@jegr Ja, die selben wie beim OVPN Interface, vom Screenshot. Habe irgendwo gelesen und dann auch im FW Log gemerkt, dass man es immer auf beiden Interfaces konfigurieren muss.
-
@xybor said in Portforwarding OpenVPN Client mit statischer public IP:
Habe irgendwo gelesen und dann auch im FW Log gemerkt, dass man es immer auf beiden Interfaces konfigurieren muss.
Keine Ahnung, wo du diesen Stumpfsinn her hast, aber habe ich oben nicht klar genug geschrieben, dass am OpenVPN Tab keine Regel für diesen Traffic zutreffen darf?
-
@viragomann Habe dein Kommentar erst jetzt gesehen... Danke, jetzt funktioniert es.
Verstehe zwar nicht warum es nicht funktioniert, wenn der Traffic in beiden Tabs zugelassen wird aber passt schon.Ich sah die erwähnten Blocks nur, weil im OpenVPN Tab meine bereits bestehenden Regeln für mobilen C2S Zugriff vorhanden waren. Wo stelle ich die nun ein oder geht gar nicht beides zusammen?
C2S Zugriff läuft über das Standard WAN Interface. -
@xybor said in Portforwarding OpenVPN Client mit statischer public IP:
im OpenVPN Tab meine bereits bestehenden Regeln für mobilen C2S Zugriff vorhanden waren. Wo stelle ich die nun ein oder geht gar nicht beides zusammen?
Anderen OpenVPN Instanzen kannst du entweder auch ein Interface zuweisen und die benötigten Regeln da definieren. Dann wären alle Instanzen sauber getrennt.
Oder du richtest die Regeln am OpenVPN Tab so ein, dass sie nicht zutreffen. Könnte sich aber als schwieriger gestalten, denn eine Block-Regel für den gewünschten Traffic von ovpn.com darfst du da auch nicht setzen. -
@xybor said in Portforwarding OpenVPN Client mit statischer public IP:
Verstehe zwar nicht warum es nicht funktioniert
pfSense routet die Antworten von den internen Geräten standardmäßig entsprechenden der Routing-Tabelle. Damit würden Antworten auf Pakete, die über ovpn.com reinkommen, aber zum Default Gateway, also WAN, gehen, weil das Ziel eine beliebige Public-IP ist.
Damit pfSense Multi-WAN Traffic richtig handeln kann, verwendet es eine sog. "reply-to" Marke. Ein Tag, mit dem es Pakete, die an einem Interface, an welchem ein Gateway konfiguriert ist, markiert, um später die Antworten auf das jeweilige Gateway zurücksenden zu können. Dies geschieht über die Filter-Regel. Bedingung ist allerdings, dass das Interface eindeutig ist (klarer Weise), was aber auf Regeln am OpenVPN Tab und auf Floating nicht zutrifft.
OpenVPN ist eine implizite Interface-Gruppe, die sämtliche OpenVPN Instanzen inkludiert. Floatings können für meherere Interfaces konfiguriert werden. Beide haben aber Vorrang gegenüber Interface-Regeln.
Genau dieses funktioniert auf CE 2.5.1 nicht. -
@viragomann Danke für deine Unterstützung und die kompetente Erklärung.
