OpenVPN Netzwerkzugriff fehlerhaft
-
Hallo.
Ich versuche eine VPN-Verbindung mit einem Netzwerk herzustellen. Die Verbindung (SSL/TLS+User Auth) funktioniert ohne Probleme. Die User Auth erfolgt via DC erfolgreich. Zu Testzwecken sind auf allen Geräten (Gateway, pfSense) alle Firewallregeln offen. Ein Pingen von allen Geräten zum VPN-Client ist möglich, auch das Pingen vom VPN-Client zu allen anderen Geräten ist möglich. Die Routen sollten daher alle passen. DNS-Namensauflösungen sind ebenfalls erfolgreich. Zugriffe auf RDP, SMB oder FTP sind jedoch nicht möglich. Hier erfolgt immer ein Time out. Hat jemand eine Idee wo vielleicht hier mein Denkfehler liegt? Wo habe ich vielleicht was übersehen?
Schon mal Danke für die Hilfe…
Netzaufbau (nicht schön aber selten ;) )
WAN / Internet : : DialUp-/PPPoE-/Cable-/whatever-Provider : .-----+-----. | Gateway | (BinTec) '-----+-----'---------------- |192.168.100.254 |10.10.0.254/24 | | __ _ _ _ _ ___ | | .-----:------. | VPN NETZ | | |___10.10.0.10/24__ | pfS:ense |___________| 10.10.10.0/24| | |_ _ _ _ _ _ | - - - - - - - - | | 192.168.100.252/24 | | Management interface | | .-----+------. | | LAN-Switch +-----------------------------------------' '------+------' | ----+------... (Clients/Servers)openVPN Konfiguration
dev tun
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote SERVER IP 443 tcp
lport 0
auth-user-pass
pkcs12 pfSense-TCP-443-NAME.p12
tls-auth pfSense-TCP-443-NAME-tls.key 1
ns-cert-type server
comp-lzo -
Hi MrTpunkt,
schön das du das alles so "problemlos" in den Griff bekommen hast.
RDP kann ich Dir nicht weiter helfen, schau aber mal welche Ports da genutzt werden.
FTP funktioniert definitiv, wenn ausser Port21 auch noch Port 20 (Daten) freigeschaltet ist. (bei mir Problemlos mit OpenVPN)
Was das SMB/CifS Protokoll betrifft, das benutzt Broadcasts (IP 192.168.44.255 als Bsp.) und Broadcasts werden unter Layer3 nicht geroutet.
Das heist, kein Subnetz per Samba zu erreichen.
Du hast allerdings die Möglichkeit, explizit ein paar Rules zur Freischaltung von Broadcasts zu erstellen.
Leider habe ich das bis Dato auch noch nicht auf die Reihe bekommen.
Gruß orcape -
Hallo.
Danke für die schnelle Antwort. Da ich jedoch schon alle Türen der Firewall aufgemacht habe, sollte hier nichts mehr blockiert werden. Ich habe sie sogar eben komplett deaktiviert. Ergebnis bleibt jedoch gleich.
Hat sonst noch wer eine Idee?
-
bitte mach mal ein "route print" auf dem client der sich einwählt! und ein tracert zu deinem Zielhost!
Das Netz ist leider falsch designed. Auch wenn duauf dem Bintec eine Route zum VPN-Client-Netz erstellt hast, betreibst du ein Asynchrones Routing!
Zum Beispiel, ein VPN-Client 10.10.10.6 fragt bei 192.168.100.6 an (Weg–> VPN->PFsense->LAN), 192.168.100.6 antwortet zu seinem default Gateway, dem Bintec, und falls du eine route hast geht es dann zur PFsense (Weg--> LAN->Bintec->PFsense->VPN).
Du hast 3 Möglichkeiten:
1. Entweder du sagt dem LAN-Client daß das Netz 10.10.10.0/24 hinter 192.168.100.252 liegt, route add 10.10.10.0 mask 255.255.255.0 192.168.100.252
2. Ein NAT des VPN Netzes auf die 192.168.100.252, somit kommen Anfragen von der 192.168.100.252 und die Clients antworten auch diese Adresse, da im gleich Subnetz.
3. Netzt umdesignen. PFsense braucht kein Bein im LAN! das 10.10.0.0/24 Netzt ist dein Transport-Netz, routen auf dem Bintec und der Pfsense richtig setzten und du hast keine Probleme mehr!Ich würde Möglichkeit 3 benutzen!
Mfg Oli
-
Ok, danke für den Hinweis.
Also sollte ich das so aufbauen:
WAN / Internet : : DialUp-/PPPoE-/Cable-/whatever-Provider : .-----+-----. | Gateway | (BinTec) '-----+-----'---------------- |192.168.100.254 |10.10.0.254/24 | | __ _ _ _ _ ___ | | .-----:------. | VPN NETZ | | |___10.10.0.10/24__ | pfS:ense |___________| 10.10.10.0/24| | |_ _ _ _ _ _ | - - - - - - - - | | | .-----+------. | LAN-Switch | '------+------' | ----+------... (Clients/Servers)Routen dann entsprechend:
BinTec:
Netz Gateway
10.10.10.0 10.10.0.10PFsense
Netz Gateway
192.168.100.0 10.10.0.224Werde es nachher mal Testen…
-
genau so!
und teste am besten mit allow any to any.
PS: wenns klappt würde cih mich über ein Thanks! freuen! ;)