Externe IP bzw. Port über einen VPN auf eine Interne IP Umleiten
-
Hallo,
ich hab ein Problem bzw. ich bekomme es nicht hin. Ich möchte gerne einen Mailserver hinter einem VPN Tunnel erreichbar machen. Der VPN Tunnel steht vom Mailserver geht der Trafik auch über den VPN Tunnel. Jetzt hab ich im Nat die IP und den Port des Mailservers eingetragen und habe halt geglaubt das dann alles an die IP des Mailservers hinter dem VPN geleitet wird leider geht das nicht.
Kann mir da event. jemand auf die Sprünge helfen.Mfg
Heribert
-
Hi!
@herry2 said in Externe IP bzw. Port über einen VPN auf eine Interne IP Umleiten:
Jetzt hab ich im Nat die IP und den Port des Mailservers eingetragen
In welchem "NAT" hast du was eingetragen? Das ist ein bisschen wenig Info.
@herry2 said in Externe IP bzw. Port über einen VPN auf eine Interne IP Umleiten:
Kann mir da event. jemand auf die Sprünge helfen.
Wenn du uns erstmal mit etwas mehr Infos versorgst, was das für ein VPN ist, wie das konfiguriert ist, wie die Netze aussehen, ob du überhaupt ein VPN mit öffentlicher IP hast, das du nutzen darfst, etc .etc. :) Da sind viele Fragen noch zu beantworten, denn mit einem 08/15 Stangenwaren VPN ist das normalerweise nicht erlaubt, einfach nen eingehendes NAT zu machen.
Cheers
-
Hi,
sorry hast schon recht unter NAT bei Port Forward
wie gesagt der VPN Tunnel geht. Im Normalfall sollte eine Anfrage von extern über den VPN Tunnel zum Mailserver nach dem VPN Tunnel also interne IP 192.168.100.4
Die Antwort vom Mailserver geht dann wieder über den VPN nach Draußen. Aber der Mailserver ist nicht ereichbar.
Ich hoffe das reicht erst mal so.
Mfg
Heribert
-
@herry2
Hallo,dass der VPN Tunnel grundsätzlich funktioniert, wollt hier wohl niemand bezweifeln, wenn du dich bereits mit Portforwarding herumschlägst.
Die Frag ist aber, was ist es für eine VPN? IPSec , OpenVPN; Site-to-site, Access Server, IPSec VTI??
Wird der Tunnel noch anderweitig genutzt?
-
Hi,
Ok sollte man wohl angeben, es ist ein OpenVPN und wird nur für diese Verbindung benötigt.
Peer to Peer (Shared Key)
tun - Layer 3 Tunnel ModeMfg
Heribert
-
@herry2
Peer to peer shared key ist ein Auslaufmodell und wird voraussichtlich spätestens ab OpenVPN 3 nicht mehr unterstützt.
Aktuell sollte es aber damit funktionieren.Die pfSense Version wäre auch noch interessant. Das Folgende funktioniert nämlich mit Version CE 2.5.1 nicht.
Auf der Seite des Mailservers musst du dem VPN Tunnel ein Interface zuweisen, falls das noch nicht gemacht ist.
Dann ist auf diesem Interface eine Regel zu definieren, die den Zugriff von der Remoteseite auf den Mailserver erlaubt.
Zusätzlich musst du sicherstellen, dass am OpenVPN Tab keine Regel auf die weitergeleiteten Pakete von der anderen Tunnelseite zutrifft.
Wenn du noch andere OpenVPN Instanzen betreibst, musst du entweder die Regeln auf OpenVPN entsprechend anpassen oder den anderen Instanzen auch Interfaces zuweisen und die nötigen Regeln auf diesen erstellen.Ebenso darf keine Floating Pass-Regel auf diese Pakete angewandt werden.
Damit sollte es dann funktionieren.
Grüße
-
@herry2 said in Externe IP bzw. Port über einen VPN auf eine Interne IP Umleiten:
Hi,
Ok sollte man wohl angeben, es ist ein OpenVPN und wird nur für diese Verbindung benötigt.
Peer to Peer (Shared Key)
tun - Layer 3 Tunnel ModeMfg
Heribert
Nochmal da die Frage ignoriert wurde: Ist das ein VPN Tunnel der dafür gedacht / erlaubt ist, dass die IP weitergeleitet wird und bei welchem die IP überhaupt auch geforwarded wird? Und wie wird sie das? Oder kontrollierst du beide Enden und auf der Seite mit der öffentlichen IP steht auch ne Sense? Was ist da konfiguriert?
Nur weil du über den Tunnel raus kommst, heißt das ja nicht das eingehend das gleiche einfach so schnippidiwipp funktioniert :) Darum bitte mal eine Aussage dazu, was das überhaupt für ein Tunnel ist (ja OVPN Shared Key ist jetzt klar) und ob es überhaupt sinnvoll möglich ist den eingehend zu benutzen. Sonst kommt da überhaupt kein Traffic für dich an und alles weitere was man ggf. auf der pfSense einstellen kann ist schlicht unnötig wenn nie Traffic ankommt.
Cheers
\jens