OpenVPN FW Problem

esquire1968

Hallo zusammen!

Ich habe ein Problem mit meiner OpenVPN Verbindung und hoffe ihr könnt mir bei der Lösung helfen.

Die Verbindung meiner pfSense mit einem Server (Tomato) klappt soweit, das Protokoll ist sauber und ich erhalte die IP 10.10.2.6.

Der Test auf der pfSense unter 'Diagnosic: Ping' zeigt eine Verbindung mit dem Server (10.10.2.1) und mit allen ebenfalls verbundenen Clients (z. B. 10.10.2.62). Soweit passt also die Verbindung pfSense > Server > Clients.

Leider kann ich jedoch von meinem LAN weder den Server noch die Clients erreichen! Meiner Ansicht nach wird die Verbindung LAN > pfSense > Server durch meine FW blockiert. Ich finde jedoch keinen Eintrag im FW log.

Brauch ich da eine FW Regel? Wie muss diese lauten? Oder hakt es an etwas anderem?

Ich danke Euch vorab für Eure Tipps.

LG
Thomas

JeGr

Hallo Thomas,

nochmals zu diesem Thema die Frage: Was versuchst du zu erreichen?

So wie ich das sehe, möchtest du dein LAN an ein entferntes LAN koppeln. Also ein Netz->Netz Verbindung. Dazu dann die Fragen:

1. Wie ist das OpenVPN eingerichtet? Wurde das auf der entfernten Seite und bei dir auch als Tunnel konfiguriert oder hat die andere Seite statt dessen eher eine "RoadWarrior" Konfiguration (für einzelne Clients statt für eine Tunnel-Verbindung)?
2. Sind auf beiden Geräten denn die jeweils entfernten Netze eingetragen? Sprich: Dein LAN ist 10.0.0.0/24 und das entfernte LAN ist 192.168.0.0/24 -> ist in deiner Konfiguration des VPN Tunnels denn als entferntes Netz die 192.168.0.0/24 eingetragen? Umgekehrt dein Netz auf der anderen Seite? Ansonsten werden keine Routen und Regeln für die Verbindung eingetragen und deine pfSense wird keinen Verkehr von deinen Clients in dieses Netz routen (und vice versa)
3. Wenn das alles der Fall ist solltest du in den Firewall Regeln einen neuen Tab für die VPN Verbindung haben. Ist dort eine Regel eingetragen die alles erlaubt? (Zu Debug-Zwecken kann da gern erstmal eine allow any * * * * * Regel rein, zudrehen geht später immer noch)

Wichtig ist bei diesen OpenVPN Verbindungen immer die Art der Einrichtung (siehe 1). Ich habe schon häufig Kunden oder auch Forenuser erlebt, die ein beliebiges VPN Tutorial abgetippt/konfiguriert haben und nicht weiterkamen, bis sich hinterher heraus stellte, dass das Setup für (viele) Client an einen Server gedacht war, und nicht für LAN->LAN Tunnelverbindungen. Damit war die pfSense bei ihnen dann lediglich ein Client im Zielnetz, aber kein Gateway.

Ich verstehe deinen Plan so, ist das korrekt?

    (Clients/Servers)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
       rLAN | x.x.x.x/y
            |
      .-----+-----.
      |  TomatoR  |
      '-----+-----'
            :
            : Uplink Gegenseite
            :
      .----------.
      { Internet }
      '----------'
            :
            : Uplink
            :
      .-----+-----. sep. WLAN   .---------.
      |  pfSense  +-------------+ WiFi AP + : : : : (WiFi-Clients)
      '-----+-----' 10.0.4.1/24 '.........'
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    (Clients/Servers)

Grüße

esquire1968

Hi!

Deine Anmerkung mit dem Tunnel war goldrichtig - jetzt klappt die Verbindung.

Ich hatte tatsächlich "nur" eine Client to Server Verbindung aufgebaut, benötige aber eine LAN <> LAN Verbindung.

Die Konfiguration des Tunnels war mit dieser Anleitung dann einfach …

http://www.google.at/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&cad=rja&ved=0CC0QFjAA&url=http%3A%2F%2Fdoc.pfsense.org%2FCreate-OpenVPN-client-to-TUVPNcom.pdf&ei=F2tYUsnHL4Oo4gTHwoHADw&usg=AFQjCNE-cDMMbGObaYTD2EGUGxbXQlVIoA

Nochmals vielen, vielen Dank!

Gruß
Thomas