Routing auf abweichendes Gateway

Flar69

Hallo,

folgende Konstelleation:
PfSense+ mit VPV (Roadwarrior) funtioniert.
Alles im Netz ist erreichbar.
Wir haben noch ein weiteres Gateway zu einem Rechenzentrum (Citrix).
Auf den lokalen Rechnern ist eine permanente Route hinterlegt, die bei Anwahl der Citrix-Umgebung das abweichende Gateway nutzt.

Was muss ich auf der PFSense einstellen, damit die VPN-Clients ebenfalls zum alternativen Gateway geleitet werden, wenn man die IP der Citrix-Farm anwählt?

VPN--->PFSense--->Hausnetz--->Gateway RZ

Auf das Gateway des RZ habe ich keinen Einfluss.

Vielen Dank im Voraus
Ralf

viragomann

@Flar69
Hallo,

vom Routing her reicht es, das Remote-Netzwerk in der VPN Konfig einzutragen.

Zusätzlich musst du aber den Traffic noch mittels eine Outbound NAT Regel natten.
Also eine Regel am ausgehenden Interface erstellen für das Roadwarrior Subnetz als Quelle und es auf die Interface IP natten.

Flar69

Vielen Dank für Deine Anwort.

Ich bin noch etwas überfordert.
Leider kam ich mit dem Einfügen eines Diagramms in meinem Beitrag nicht klar.

Ich habe das OpenVpn-Netz 10.0.0.0/24
Das Hausnetz: 192.168.0.0/24
Das Standardgateway: 192.168.0.1
Das Gateway für die Citrix-Umgebung: 192.168.0.101

Kannst Du mir vielleicht etwas genauer erklären, wo man das einstellt?
Ich habe in den VPN Einstellungen kein Remotenetzwerk gefunden.

Die NAT-Einstellungen:
Quelle: OpenVPN subnets
Ziehl: IP des RZ
Nat-Adresse: Adresse des Getways (192.168.0.101)?

Sorry für die "dummen" Fragen, Mir fehlen da wohl noch ein paar Grundlagen.

Mit Dank
Ralf

viragomann

@Flar69 said in Routing auf abweichendes Gateway:

Kannst Du mir vielleicht etwas genauer erklären, wo man das einstellt?

Ja, nachdem erst noch die Details gefehlt hatten, konnte ich meine Anweisungen auch nicht klarer formulieren.

Das Hausnetz: 192.168.0.0/24
Das Standardgateway: 192.168.0.1
Das Gateway für die Citrix-Umgebung: 192.168.0.101

Mit Standardgateway meinst du die LAN IP von pfSense?
Und das Citrix Gateway befindet sich dann auch im LAN?

Ich habe in den VPN Einstellungen kein Remotenetzwerk gefunden.

Dafür fehlt noch eine Angabe zum VPN Typ.

Flar69

Ja der Typ ist OpenVPN
Das Standartgateway ist die PFSense (192.168.0.1) - Die hat auch eine Wan-Schnittstelle.
Das zweite Gateway (Citrix) ist ebenfalls im Lan (192.168.0.101) - Hat eine Standleitung ins RZ.

Ich muss also die private IP des RZ (z.B. 10.0.8.16) über das Gateway 192.168.0.101 leiten.

Wie gesagt bei den lokalen Clients haben wir eine permanente Route eingetragen.
Nur bei den VPN-Client geht das natürlich nicht.

Danke und Gruss

viragomann

@Flar69
Aber du hast schon eine statische Route auf pfSense eingerichtet, oder?
Falls nicht, musst du das noch machen. D.h., die Citrix IP als Gateway hinzufügen in System > Routing (Interface LAN) und dann am Static Routes Tab die Route für das Remote-Netz anlegen und das Citrix GW auswählen.

In den OpenVPN Server Einstellungen, falls nicht "Redirect Gateway" gesetzt ist, das Remote-Netz (hinter Citrix) zu den lokalen Netzwerken hinzufügen durch "," getrennt.

Die NAT-Regel:
Firewall > NAT > Outbound
Hier erst den Hybridmodus aktivieren und speichern.

Dann eine Regel anlegen:
Interface: LAN
Protokoll: <was immer du benötigst>
Source: 10.0.0.0/24 (OpenVPN Tunnel Netz)
Quelle: <Remote Netz>
Translation: LAN address

Flar69

@viragomann
Vielen Dank!
Super es funktioniert bestens.

Redirect Gateway war bei mir gesetzt. So brauchte ich im VPN-Server nichts mehr einzutragen.

Noch mal vielen Dank für die Hilfe und viele Weihnachtsgrüße an all die lieben ehrenamtlichen Helferlein!

Ich finde leider keie "gelöst"-Funktion.
Von daher gelost.