Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden

    Scheduled Pinned Locked Moved
    Deutsch
    3
    5
    445
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      GrilleGustav
      last edited by GrilleGustav

      Hi,
      ich habe mir beim Server Anbieter OVH einen kleinen V-Server geholt und dort pfSense installiert.
      Zu dem Server habe ich mir 3 weitere feste IP-Adressen zu der schon inklusiven dazu bestellt.
      Ich möchte über diese IP-Adressen gerne meine Server, die bei mir zuhause im Keller stehen, erreichbar machen. Zuhause setzte ich ebenfalls auf eine pfSense Firewall.

      Die Konfiguration der Firewalls ist wie folgt:
      • Externe Firewall
      o Zusätzliche IPs als Virtual IPs (IP Alias eingerichtet)
      o LAN Interface mit privaten IP Adressen konfiguriert
      o OpenVPN Layer 2 Tap Mode Server eingerichtet
      o Interface für OpenVPN Layer 2 Tap Mode Server angelegt
      o Bridge mit Member Interface LAN und OpenVPN Server Interface erstellt
      o Firewall Freigabe any any auf LAN und OpenVPN Server Interface erstellt
      o NAT Regel auf WAN Interface für eine Freigabe an eine LAN Adresse erstellt

      • Firewall Zuhause
      o Interface für Server (DMZ) angelegt
      o OpenVPN Layer 2 Tap Mode Client eingerichtet
      o Interface für OpenVPN Layer 2 Tap Mode Client angelegt
      o Bridge mit Member Interface DMZ und OpenVPN Client Interface erstellt
      o Firewall Freigabe any any auf DMZ und OpenVPN Client Interface erstellt

      Die Server sind dann an der Firewall zuhause mit IP Adressen aus dem Bereich des LAN Interfaces der externen Firewall konfiguriert.
      Gateway ist logischwerweise auch das LAN Interface der externen Firewall.

      Von extern sind die Server über die Adressen der externen Firewall erreichbar.
      Mit meinem PC zuhause im LAN IP Bereich kann ich nicht auf die Server zugreifen.

      Könnte es vllt. sein, dass meine Firewall Zuhause erkennt, dass es sich um ein Adresse handelt, die am DMZ Interface bekannt ist und dann die Rückantwort intern routen möchte, dieses aber gar nicht möglich ist?

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • V
        viragomann @GrilleGustav
        last edited by

        @GrilleGustav said in Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden:

        Gateway ist logischwerweise auch das LAN Interface der externen Firewall.

        D.h., wenn die server eine Antwort zum LAN-PC senden, geht diese über das Remote-Gateway, und das weiß wohl nicht, dass der PC jemals einen Request geschickt hat, und gibt die Antwort somit nicht weiter. Wohin auch?

        Ich möchte da gar nicht über eine Lösung nachdenken, ich stelle eher die Frage: Wofür der Tap Mode??

        Ich kann mir für diesen Zweck absolut keinen Grund ausdenken, der ein Tap Interface hier rechtfertigen könnte.
        Was du brauchst ist ein Transit-Netz zwischen den beiden Firewalls, und das macht man mit Tun und konfiguriert das Routing ordentlich.
        Die pfSense hat mit der Reply-to Funktion die nötigen Mittel, um den Traffic hier ordentlich zu routen.

        1 Reply Last reply Reply Quote 0
        • G
          GrilleGustav
          last edited by

          Transitnetz war unser erster Aufbau. Von Außen waren die Server erreichbar. Ich konnte aus dem IP-Bereich des LAN Interfaces aber nicht über die externe Adresse welche über NAT an die Server weiterleitet auf meine Server zugreifen. Laut Trafik mitschnitt sah es so aus als wenn die Firewall direkt Antworten wollte.

          Überlegung mit Tap war das das Firewall Interface keine IP-Adresse hat und damit nicht direkt zum LAN Netz zurück routen kann.

          Anfrage: LAN IP Adresse -> LAN Gateway -> NAT WAN IP Adresse -> OVH IP Adresse (NAT DMZ IP) -> Transfernetz IP lokal -> DMZ IP Adresse
          Antwort: DMZ IP Adresse -> DMZ Gateway -> LAN IP

          Die Route der Antwort sollte aber so aussehen:
          DMZ IP Adresse -> DMZ Gateway -> Transfernetz IP OVH -> NAT OVH IP Adresse -> WAN IP Adresse -> LAN IP Adresse

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @GrilleGustav
            last edited by

            @GrilleGustav said in Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden:

            Ich konnte aus dem IP-Bereich des LAN Interfaces aber nicht über die externe Adresse welche über NAT an die Server weiterleitet auf meine Server zugreifen.

            Dafür gibt es DNS Hostoverrides. Man sorgt also dafür, dass intern die eigenen Public Hostnamen auf die internen server IPs aufgelöst werden.
            Voraussetzung ist, dass du ein internes DNS verwendest, was aber bei pfSense der Standard ist.

            Überlegung mit Tap war das das Firewall Interface keine IP-Adresse hat und damit nicht direkt zum LAN Netz zurück routen kann.

            Würde ich auch erwarten.

            Anfrage: LAN IP Adresse -> LAN Gateway -> NAT WAN IP Adresse -> OVH IP Adresse (NAT DMZ IP) -> Transfernetz IP lokal -> DMZ IP Adresse
            Antwort: DMZ IP Adresse -> DMZ Gateway -> LAN IP

            Hast du das mit Packet Capture überprüft?

            Ich würde meinen, dir fehlt eine statische Route für die Server (DMZ) auf die IP des externen Routers.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @GrilleGustav
              last edited by

              @GrilleGustav said in Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden:

              o OpenVPN Layer 2 Tap Mode Server eingerichtet

              Ganz blöde gefragt: warum? Warum will ich OVPN im TAP mode auf Layer 2 wegen ner IP Adresse? Funktioniert doch alles sauber auf Layer 3, warum will man sich dann mit sowas das Leben schwer machen?

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post