OpenVPN Netzwerkzugriff fehlerhaft



  • Hallo.

    Ich versuche eine VPN-Verbindung mit einem Netzwerk herzustellen. Die Verbindung (SSL/TLS+User Auth) funktioniert ohne Probleme. Die User Auth erfolgt via DC erfolgreich. Zu Testzwecken sind auf allen Geräten (Gateway, pfSense) alle Firewallregeln offen. Ein Pingen von allen Geräten zum VPN-Client ist möglich, auch das Pingen vom VPN-Client zu allen anderen Geräten ist möglich. Die Routen sollten daher alle passen. DNS-Namensauflösungen sind ebenfalls erfolgreich. Zugriffe auf RDP, SMB oder FTP sind jedoch nicht möglich. Hier erfolgt immer ein Time out. Hat jemand eine Idee wo vielleicht hier mein Denkfehler liegt? Wo habe ich vielleicht was übersehen?

    Schon mal Danke für die Hilfe…

    Netzaufbau (nicht schön aber selten  ;) )

    
    WAN / Internet
                :
                : DialUp-/PPPoE-/Cable-/whatever-Provider
                :
          .-----+-----.
          |  Gateway  |  (BinTec)
          '-----+-----'----------------
                |192.168.100.254      |10.10.0.254/24				
    	    |                     |                                             __ _ _ _ _ ___
                |                     |                   .-----:------.           |   VPN NETZ   |
                |                     |___10.10.0.10/24__ |  pfS:ense  |___________| 10.10.10.0/24|
                |                                         |_ _ _ _ _ _ |            - - - - - - - -
                |                                               | 192.168.100.252/24
                |                                               | Management interface
                |                                               |
         .-----+------.                                         |
         | LAN-Switch +-----------------------------------------'
         '------+------'
                |
           ----+------... (Clients/Servers)
    
    

    openVPN Konfiguration

    dev tun
    persist-tun
    persist-key
    cipher BF-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote SERVER IP 443 tcp
    lport 0
    auth-user-pass
    pkcs12 pfSense-TCP-443-NAME.p12
    tls-auth pfSense-TCP-443-NAME-tls.key 1
    ns-cert-type server
    comp-lzo



  • Hi MrTpunkt,
    schön das du das alles so "problemlos" in den Griff bekommen hast.
    RDP kann ich Dir nicht weiter helfen,  schau aber mal welche Ports da genutzt werden.
    FTP funktioniert definitiv, wenn ausser Port21 auch noch Port 20 (Daten) freigeschaltet ist. (bei mir Problemlos mit OpenVPN)
    Was das SMB/CifS Protokoll betrifft, das benutzt Broadcasts (IP 192.168.44.255 als Bsp.) und Broadcasts werden unter Layer3 nicht geroutet.
    Das heist, kein Subnetz per Samba zu erreichen.
    Du hast allerdings die Möglichkeit, explizit ein paar Rules zur Freischaltung von Broadcasts zu erstellen.
    Leider habe ich das bis Dato auch noch nicht auf die Reihe bekommen.
    Gruß orcape



  • Hallo.

    Danke für die schnelle Antwort. Da ich jedoch schon alle Türen der Firewall aufgemacht habe, sollte hier nichts mehr blockiert werden. Ich habe sie sogar eben komplett deaktiviert. Ergebnis bleibt jedoch gleich.

    Hat sonst noch wer eine Idee?



  • bitte mach mal ein "route print" auf dem client der sich einwählt! und ein tracert zu deinem Zielhost!

    Das Netz ist leider falsch designed. Auch wenn  duauf dem Bintec eine Route zum VPN-Client-Netz erstellt hast, betreibst du ein Asynchrones Routing!

    Zum Beispiel, ein VPN-Client 10.10.10.6 fragt bei 192.168.100.6 an (Weg–> VPN->PFsense->LAN), 192.168.100.6 antwortet zu seinem default Gateway, dem Bintec, und falls du eine route hast geht es dann zur PFsense (Weg--> LAN->Bintec->PFsense->VPN).

    Du hast 3 Möglichkeiten:
    1. Entweder du sagt dem LAN-Client daß das Netz 10.10.10.0/24 hinter 192.168.100.252 liegt, route add 10.10.10.0 mask 255.255.255.0 192.168.100.252
    2. Ein NAT des VPN Netzes auf die 192.168.100.252, somit kommen Anfragen von der 192.168.100.252 und die Clients antworten auch diese Adresse, da im gleich Subnetz.
    3. Netzt umdesignen. PFsense braucht kein Bein im LAN! das 10.10.0.0/24 Netzt ist dein Transport-Netz, routen auf dem Bintec und der Pfsense richtig setzten und du hast keine Probleme mehr!

    Ich würde Möglichkeit 3 benutzen!

    Mfg Oli



  • Ok, danke für den Hinweis.

    Also sollte ich das so aufbauen:

    WAN / Internet
                :
                : DialUp-/PPPoE-/Cable-/whatever-Provider
                :
          .-----+-----.
          |  Gateway  |  (BinTec)
          '-----+-----'----------------
                |192.168.100.254      |10.10.0.254/24				
    	    |                     |                                             __ _ _ _ _ ___
                |                     |                   .-----:------.           |   VPN NETZ   |
                |                     |___10.10.0.10/24__ |  pfS:ense  |___________| 10.10.10.0/24|
                |                                         |_ _ _ _ _ _ |            - - - - - - - -
                |                                               
                |                                               
                |                                               
         .-----+------.                                     
         | LAN-Switch |
         '------+------'
                |
           ----+------... (Clients/Servers)
    
    

    Routen dann entsprechend:

    BinTec:
    Netz                  Gateway
    10.10.10.0        10.10.0.10

    PFsense
    Netz                  Gateway
    192.168.100.0  10.10.0.224

    Werde es nachher mal Testen…



  • genau so!

    und teste am besten mit allow any to any.

    PS: wenns klappt würde cih mich über ein Thanks! freuen! ;)


Log in to reply