Extra gateway für VPN



  • Hallo,
    Folgendes ist gegeben. Unser Default gateway hat die IP 10.30.40.254, und alle Clients/Server verweisen auf ihm. Nun haben wir noch pfSense mit der ip 10.30.40.253 ins rennen geworfen. Darüber soll ausschließlich VPN betrieben werden. Verbindung von außerhalb wird aufgebaut, leider ist kein Client/Server erreichbar.

    Testweise haben wir einen client das GW auf 10.30.40.253 verwiesen und siehe da, der Client war über ovpn erreichbar.

    Was ist am pfSense einzurichten damit vpn-clients in das LAN kommunizieren können.

    Vielen Dank in voraus.
    Grüße



  • Dein Problem ist dass die Clients den "falschen" defaultgw bzw die nicht die richtigen Routen eingetragen haben.

    Dein VPN Client schickt ein Paket zu einem Client im LAN. Dieses Paket kommt auf beim LAN Client an. Dein LAN Client will eine Antwort schicken. Dazu sucht er in seiner Routing Table ob er einen Eintrag für dieses Netz hat. Hat er das nicht schickt er das an den Default GW. Der weiß aber auch nicht was er mit dem Paket machen soll.

    Auf der PfSense kannst du konfigurieren was du willst das wird dir nichts bringen. Warum hast du einen Router und eine PfSense? Lass doch die PfSense beides machen. Nur für VPN ist pfSense sowieso oversized.
    Eine Idee wäre VPN im bridged mode zu betreiben. Eine andere Lösung sehe ich nicht. Reden wir von openVPN?



  • Hallo,

    wie hec schon schrieb, ist eine clientseitge Konfiguration notwendig. Du kannst\musst mindestens eine statische Route hinterlegen die auf das\die Zielnetze verweist und ein additionales GW bekannt gibt. Man könnte jetzt auf die Idee kommen den Hosts ein weiteres Netz mit eigenem GW zuzuordnen, das ist aber meistens eine ziemlich schlechte Idee.

    mfg.
    Livinlight



  • Das stimmt so nicht ganz.

    Du hast die Möglichkeit auf der pfSense sogenanntes "source-NAT" einzurichten
    Dabei wird sämtlicher Traffic der vom VPN her kommt ins lokale subnet geNATed, so dass es für die lokalen clients aussieht wie wenn der Traffic von der pfSense her kommt.

    Firewall–>NAT-->Outbound
    (AON - Advanced Outbound NAT) aktivieren.

    Nun eine neue Regel erzeugen mit:
    Interface: LAN (oder wie auch immer dein interface heisst wo du HIN NATen willst)
    source: VPN_subnet
    destination: lokales_subnet
    translation: Interface-IP

    Alternativ kannst du auch auf dem default Gateway deines lokalen Subnetzes eine statische Route auf den VPN-Gateway setzen.
    Ist jedoch etwas umständlich, da Traffic dann immer zuerst an den default Gateway geschickt wird und der dann lokal an den richtigen Gateway weiterleitet. (Das Frame geht zweimal über das gleiche Kabel). Kann unter Umständen auch zu Problemen führen wenn dein default Gateway Mühe hat mit Traffic auf dem gleichen Interface zu verschicken auf dem er ihn erhalten hat.



  • Das wird aus Netzerksicht so funktionieren, da hier aber von Client\Server die Rede ist, sollte man mit NAT vorsichtig sein. Es ist halt die Frage welche Dienste angesprochen werden sollen, ein Active Directory z. B. ist ausdrücklich unsupportet über NAT.

    VG.
    Livinlight



  • Hallo

    Wenn du deinem Default Gateway mit IP 10.30.40.254 mitteilst das das VPN Zielnetz über die pfsense Lanadresse IP 10.30.40.253 zu erreichen ist musst du nichts weitrer tun. Der Default gateway bekommt Pakeanfragen für das VPN Netz und weiss nicht wohin er das schicken soll. Sag es mit Route ADD oder ADD Route je nach OS.


Locked