Verbindung von 2 Netzwerken unter pfsense und VPN
-
Liebe Gemeinde,
ich teste und übe gerade an der pfsense. Folgendes Scenario bei dem ich nicht weiter weiß:
pfsense 1 Netz 192.168.16.0/24 (Netz 1)
pfsense 2 Netz 192.168.20.0/24 (Netz 2)Beide pfsense sind via openvpn (192.168.4.1) mit Client auf pfsense 1 verbunden. Funktioniert alles prima. Auf pfsense 1 erreiche ich Netz 1 und 2. Nun möchte ich aber auch von der pfsense 2 Netzwerk 1 erreichen, was aber nicht funktioniert. Muss ich jetzt einen weiteren Client installieren, der von pfsense 2 auf pfsense 1 zugreift? Vielleicht kann mir ja einer der Profies hier weiterhelfen. Ganz lieben Dank im voraus.
-
@tomnick
Nein. Wenn die VPN steht, kann sie in beide Richtungen genutzt werden. Voraussetzung ist, dass die Routen richtig gesetzt sind und dass Firewall-Regeln am jeweilig eingehenden Interface den Zugriff erlauben.Mir ist nicht klar, was genau nun schon funktioniert. Kannst du von einer Gerät im LAN der pfSense 1 auch ein Gerät im LAN von 2 erreichen?
Wenn ja, sind die Routen bereits in Ordnung und du musst dich nur noch um die Firewall-Regeln kümmern. Der Zugriff muss am LAN auf 2 und am VPN Interface auf 1 erlaubt werden.Sollte das nicht funktionieren, musst mal erklären, welche VPN du da aufgebaut hast. Eine Site-to-site oder einen Access Server?
-
Danke für Dein Feedback, ich füge mal ein paar Screenshots bei. Meiner Ansicht nach sollte alles "frei" sein....
OpenVPN Server Netz 2
Open VPN Client Netz 1
OpenVPN client rule Netz 1
OpenVPN Server Rule Netz 2
Ping von Netz1 in Netz 2 -
@tomnick Und genau da ist dein Fehler. Du hast ein "Remote Access" Typ VPN erstellt. Du willst aber ein Site2Site Tunnel VPN - du musst einfach das VPN umbauen, dann wirst du auch auf beiden Seiten gefragt, was das Netz auf der anderen Seite ist und dann klappts auch mit den Routen automatisch!
Cheers
-
Genau das wars. Ganz lieben Dank. Funktioniert nun alles. Eine Problematik ergibt sich aber noch, wenn ich von aussen (Lappi, Samrtphone etc) an die verbundenen Netze möchte, dann über Access Server auf einen der beiden Netze?
-
@tomnick Kommt drauf an. Manchmal ist es einfacher sich in beide Locations einfach direkt einzuwählen (weil vllt. schneller), manchmal will man nur eine Verbindung haben und darüber alles - das ist ganz eigenes Gusto. Gehen tu beides. Oder sogar #3 - ein RAS Style Server auf beiden Seiten und der pusht dem Client wenn er verbunden ist beide Netze .10.x und .20.y jeweils als Routen, so dass man egal wo man sich einwählt auf beide Seiten kann. Wie gesagt, ist rein die Frage was man möchte. :)
