OpenVPN - Client erreicht LAN nicht.



  • Hallo Leute,

    versuche seid mehreren Tagen OpenVPN anständig ans Laufen zu bekommen. Leider erreicht mein VPN Client die anderen Clients im LAN hinter der pfSense nicht.

    Mein Setup sieht wie folgt aus.

    4 Adapter:

    WAN -> öffentliche Adresse
    OPT1 -> /29 Subnet (öffentlich)
    OPT2 -> /29 Subnet (öffentlich)
    LAN

    Alle Maschinen sind mit dem LAN Interface verbunden.

    Lokales Netz 10.66.77.0/24
    VPN Netz 10.66.88.0/24

    Mein Windows 8 Client verbindet sich zum VPN-Server und bekommt die Adresse: 10.66.88.2
    Es ist mir möglich 10.66.88.1 (ich nehme an das VPN Gateway was temporär erzeugt wird) an zu pingen und auch die 10.66.77.1.

    Also ist pfSense und auch dessen Webinterface mittels VPN erreichbar.
    Leider erreiche ich wie schon beschrieben die LAN Clients nicht ab 10.66.77.20 aufwärts.
    Die LAN Clients bekommen ihre Adressen per DHCP.

    Von den Clients erreiche ich auch die 10.66.88.1 allerdings nicht den VPN Client.

    Alle Tests wurden mit abgeschalteter Windows Firewall gemacht.
    Selbstverständlich wird OpenVPN auf dem Client per Administrator ausgeführt.

    Auszug aus der Windows Routing Tabelle:

    IPv4-Routentabelle
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
              0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.40     10
              0.0.0.0        128.0.0.0       10.66.88.1       10.66.88.2     30
           10.66.77.0    255.255.255.0       10.66.88.1       10.66.88.2     30
           10.66.88.0    255.255.255.0   Auf Verbindung        10.66.88.2    286
           10.66.88.2  255.255.255.255   Auf Verbindung        10.66.88.2    286
    

    Wäre toll wenn ihr mir helfen könntet. Steh langsam echt auf dem Schlauch.

    Kann es eventuell sein, dass auf der Firewall irgendwelche Routen fehlen?

    Gruß



  • Und hier ist noch Auszug aus der pfSense Routingtabelle:

    IPv4
    Destination	Gateway	Flags	Refs	Use	Mtu	Netif	Expire
    10.66.77.0/24	link#4	U	0	276	1500	em3	 
    10.66.77.1	link#4	UHS	0	155590	16384	lo0	 
    10.66.88.0/24	10.66.88.1	UGS	0	48614	1500	ovpns1	 
    10.66.88.1	link#9	UH	0	0	1500	ovpns1	 
    

    Gruß



  • Firewall rule(s) für openVPN sind gesetzt? NAT outbound für den openVPN server (für's Tunnelnetzwerk) ist gesetzt?



  • Firewall Rules sind gesetzt und NAT Outbound steht auf Auto.

    Habe auch schon die Firewall Rule mitloggen lassen und die Pings gehen auch durch.

    Ein MTR endet direkt an der ersten Station (10.66.88.1 VPN Gateway)…

    Gruß



  • Auf der pfSense selbst sind dafür keine speziellen Routen nötig, weil alle beteiligten Netze direkt an (virtuelle) Interfaces liegen.

    Um genau zu sehen, was vor sich geht, kannst du auf der pfSense das Tool Diagnostics > Packet Capture einsetzen. Möglicherweise werden die Retourpakete auf das Default Gateway geschickt, also aufs WAN Interface.
    In diesem Fall musst du das Outbound NAT auf manuell umschalten und die Regeln entsprechend anpassen.



  • Danke :)
    das hat soweit funktioniert allerdings sollte man vorher den Haken bei "Enable automatic outbound NAT for Reflection" in der Firewall/NAT Konfiguration setzen.

    Mein VPN Client sieht jetzt auch meine LAN Clients allerdings geht es umgekehrt noch nicht…

    Das sind die Rules die ich zusätzlich hinzugefügt habe:

    OpenVPN  	 10.66.77.0/24	 *	 *	 *	 OpenVPN address	 *	 NO	  	
    OpenVPN  	 10.66.77.0/24	 *	 *	 500	 OpenVPN address	 *	 YES	  	
    LAN  	         10.66.88.0/24	 *	 *	 *	 LAN address	         *	 NO	  	
    LAN  	         10.66.88.0/24	 *	 *	 500	 LAN address	         *	 YES	  	
    
    

    Gruß



  • @Stroker:

    das hat soweit funktioniert allerdings sollte man vorher den Haken bei "Enable automatic outbound NAT for Reflection" in der Firewall/NAT Konfiguration setzen.

    Das geht bei mir auch ohne.

    Ich habe für das OpenVPN, DMZ und LAN Interface überhaupt keine Outbound NAT gesetzt, nur für WAN, und hier klappt es.
    Ich habe auf einem OVPN Client auch einen Server laufen (XSever) und der funktioniert mit Hosts in der DMZ.

    Wie erwähnt, Packet Capture ist ein feines Werkzeug und kann dir Probleme verraten.

    Grüße


Log in to reply