Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN zugang auf alle Schnittstellen

    Deutsch
    4
    4
    1.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      shadow01
      last edited by

      Hallo Zusammen

      Ich habe eine OpenVPN rolle eingerichtet: V1.jpg im Anhang
      ich kann mich per VPN mein Netzwerk einloggen. Ich habe 3 Netzwerkinterfaces die jeweils 192.169.1.0/24 (LAN), 192.168.2.0/24 (LAN2) und 192.168.3.0/24 (WLAN) aufweisen.
      Per VPN komme ich auf den Server 192.168.1.4 jedoch nicht auf 192.168.2.3.

      Im Reiter LAN2 habe ich auch noch eine Rolle eingerichtet: V2.jpg im Anhang
      v1.JPG
      v1.JPG_thumb
      v2.JPG
      v2.JPG_thumb
      v3.JPG
      v3.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • W
        wildy
        last edited by

        Moin,

        dein Problem sind wohl eher die Routen in die anderen Netze anstatt die FW Regeln.
        Nebenbei ist eine Rule eine Regel und keine Rolle.

        Was hast du in der Openvpn Konfiguration auf der Sense denn eingerichtet?

        Gruß

        1 Reply Last reply Reply Quote 0
        • O
          orcape
          last edited by

          Hi shadow01,

          Du hast lt. v2.jpg Rule alles was auf LAN2  geht geblockt.?

          Gruß orcape

          1 Reply Last reply Reply Quote 0
          • N
            Nachtfalke
            last edited by

            Hallo,

            hier ist einiges "konfus" konfiguriert wie ich finde.

            Zum Thema OpenVPN:
            Du sagst, du hast einen OpenVPN Server eingerichtet und kannst dich daran anmelden? Kann ich nicht ganz glauben, wenn ich deine Firewall Regeln anschaue. Ich versuche es aber Schrittweise zu erklären.

            Jetzt wäre es wichtig zu wissen ob du die Option "Force all client generated traffic through the tunnel." aktiviert ist oder nicht.
            Ist diese aktiviert, dann wird sämtlicher Verkehr durch den VPN geroutet und es sind keine weiteren "Routing"-Konfigurationen notwendig um deine LAN1 - LAN3 zu erreichen.
            Wenn du diesen haken nicht gesetzt hast, musstest du ein "Local Network" angeben. Hier hast du sicherlich eines deiner 3 LANs angegeben. Das bedeutet für deinen OpenVPN client, er leitet nur den Traffic in den VPN, der an dieses "Local Network" addressiert ist. Sämtlicher anderer Traffic geht den normalen weg ins Internet (VPN Split-Tunneling nennt man das auch). Möchtest du hierbei deine beiden anderen LANs noch routen, musst du das unter "Advanced" eintragen:

            
push "route 192.168.2.0 255.255.255.0";push "route 192.168.3.0 255.255.255.0";

            Unabhängig davon, was du nun eingestellt hast, musst du Firewall Regeln festlegen. Du findest dort einen Reiter "OpenVPN". Dieser Reiter legt Regeln fest für Traffic, der aus dem OpenVPN Netzwerk initiiert wurde. Hier musst du angeben, dass dein OpenVPN client, der sich im "Tunnel Network" befindet, Zugriff hat. Deine Firewall Regel sieht diesbezüglich gut und richtig aus - solange dein "Tunnel Network" am OpenVPN Server so lautet:

            10.1.0.0/24

            Die Firewall regel auf der WAN Schnittstelle bitte unbedingt entfernen. Diese hat dort nichts zu suchen und ist vollkommen falsch platziert. Der VPN Verkehr wird über den OpenVPN tab geregelt. Auf der WAN Schnittstelle musst du lediglich eine Regel erstellen, die den Zugriff auf dein OpenVPN Server interface gestattet. Es muss ja für deinen OpenVPN client möglich sein, durch deine Firewall hindurch, auf den OpenVPN Server zu connecten. Also hier entsprechend der Konfiguration am OpenVPN server eine regel erstellen, beispielsweise so:

            Action: Allow
            Protocol: UDP
            Source-IP: Any
            Source-Port: Any
            Destination-IP: WAN-Address
            Destination-Port: 1194

            Grundsätzliche Hinweise für OpenVPN bzw. Routinggrundlagen:
            Die Subnetze von folgenden Bereichen müssen für eine fehlerfreie Funktion immer und unbedingt verschieden sein:

            • Tunnel Network
            • Local Network
            • Das Netzwerk in welchem sich der OpenVPN client befindet

            Weiterhin muss man bei Windows Vista/7 den OpenVPN client mit "Als Administrator ausführen…" starten, damit die Routen gesetzt werden können.

            Ich vermute, dass du die VPN Verbindung aus LAN1, LAN2 oder LAN3 heraus getestet hast. Das mag vielleicht funktionieren, aber ich weise nochmal daraufhin, dass die Subnetze aus den oben genannten Bereich verschieden sein müssen um fehlerfreie Funktionalität zu gewährleisten.

            Grundsätzliches zur Funktionsweise von Firewall Regeln an der pfsense:

            • Firewall Regeln werden von oben nach unten abgearbeitet. Die Regeln, die zuerst zutrifft, wird angewendet und danach keine Andere mehr

            • Firewall Regeln gelten immer für den Verkehr der auf dem Interface initiiert wird. Möchtest du als Verkehr aus dem LAN3 in das LAN2 verhindern, dann musst du die Regeln auf LAN3 platzieren und dort "Destination: LAN2 subnet" blockieren.

              Keine Konfiguration auf LAN2 kann Verkehr verhindern, der auf LAN1 oder LAN3 initiiert wurde.

            Frage:
            Was willst du mit der Firewall Regel auf v2.jpg bezwecken? Du befindest dich bereits im LAN2 und möchtest nur Verkehr zulassen, der nicht in LAN2 geht!? Du willst also verhindern, dass Verkehr für das Netzwerk, in dem du dich bereits befindest, nicht zugelassen wird!? Ich sehe darin keinen Sinn.

            Also dann, check deine Konfiguration, teste erneut und ansonsten fragst du hier nochmal mit den entsprechenden Infos und Screenshots :)

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.