Statische IP Adressen von entfernten Server IN DMZ Übernehmen (openVPN)



  • Hallo,

    erst mal vielen Dank für eine so klasse Router Software…

    Für ein paar Techschniche Szenarien bin ich im moment an der Konfiguration am Verrückt werden, und zwar möchte ich gerne Statische IP Adressen,
    welche ich auf einem Debian Server in einem RZ habe per Routing über einen VPN Tunnel in die DMZ meines Privaten pfSense Netzwerkes weiterleiten,
    sodass die dort enthaltenen TK Anlagen, Exchange, Sharepoint server eine Statische IP Adresse haben.
    Dabei soll die pfSense weiterhin als Firewall ihre aufgabe erfüllen, daher ist die möglichkeit direkt vpnClients auf den Ziel Rechnern zu Installieren für mich keine
    Lösung.

    Bisher scheitert bei mir jedoch das Routing, aktuell hab ich eine offene Verbindung vom pfSense zum entfernten Server im RZ, routen für das Routing Netz 10.43.0.0 werden auch eingerichtet.
    Server bekommt wie nicht anders erwartet die 10.43.0.1 -> 10.43.0.2  Client hat 10.43.0.5 <- 10.43.0.6

    Jedoch pinge ich vom server 10.43.0.1 zum client 10.43.0.6 passiert nichts. Umgekehrt natürlich auch nichts.

    Als Firewall rule ist unter Firewal->Rules->OpenVN im moment eine allow All Rule eingestellt.

    Meine Fragen sind nun, was habe ich vergessen/falsch gemacht, poste gerne noch mehr Details.

    Was muss ich pfSense Seitig noch einstellen, dass er weis, dass was aus dem Tunnel kommt, eigentlich zu jener Privaten Adresse muss, sodass ich Regeln drüber legen kann?
    Denke NAT muss ich ja bereits Server seitig machen, und die Statischen IP Adressen, dem Server auf eth0:x zur verfügung stellen?! Und dann per

    iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -j DNAT --to-destination 192.168.1.4 
    oder ähnlichem weiter leiten?

    Oder hab ich dort noch ganz allgemein einen Denkfehler?

    Wäre es möglich, mir so z.B. auch dem Router eine Statische IP Adresse zur verfügung zu stellen, um so auf eigene VPN Verbindungen zu horchen?
    Die Aktuelle Konfiguration in diesem Thread soll ja nur darum gehen die Statischen IP Adressen für das Private netz zur verfügung zu stellen.

    Darüber hinaus gibt es natürlich noch Site2Site verbindungen welche zwischen den Standorten eine Verbindung herstellt.

    Alle Standorte sind dabei an Cable Anschlüssen angelegt, und verfügen leider selber über keine Statischen IP Adressen. Und eine Lösung mit Statischer IP Adresse ist bei unserem Anbieter ist um einiges Teurer, als eine solche Lösung.

    Die IP Adressen, welche ich vom Hoster des Server bekomme, sind immer nur einzelne Adressen /32 Adressen, leider keine zusammenhänenden Blöcke. Ein Gateway wird dabei nicht extra angegeben, denke kann/muss aber das Gateway von der Haupt IP Adresse des Server (eth0) nehmen.

    Gerne würde ich daraus hinterher auch einen Guide zur verfügung stellen. Ich habe schon einige Zeit danach gesucht, nur die einzige Anleitung welche ich find ist von PortUnity, und die beschäftigt sich nur Oberflächlich damit, da die diese Dienstleistung selber anbieten.

    Liebe Grüße

    Xoroles



  • Hi,

    das Problem sollte hoffentlich schon gelöst sein… ich vermute es ist ein Denkfehler.
    Was hält Dich davon ab, auf der äußeren Firewallseite ein 1:1 NAT (ein- und ausgehend) zu haben, was Dir die Verbindungen zu den entsprechenden DMZ Servern durchreicht?