Tunnel über CARP-IP funktioniert nicht
-
Wir haben eine redundante pfSense Firewall (Version 2.15)
Auf der Wan Seite haben wir von unserem Provider ein Netz x.x.x.0/29 zugewiesen bekommen.
Die x.x.x.1 ist das Gateway bei unserem Provider.
Die x.x.x.2/29 ist die feste WAN Adresse auf BoxA und die x.x.x.3/29 die feste WAN-Adresse auf BoxB
Die x.x.x.4 ist die virtuelle WAN- Adresse für den Failoverfall und als CARP-IP angelegt und auf das WAN-IF gemappt.
Bis hierhin ist alles fein und der Failover wurde getestet und funktioniert. Das Lan Netz kommt rein und raus.
Nun habe ich auf der Firewall zwei Tunnel (Einmal Ovpn und einmal PPTP) eingerichtet. (Der PPTP kommt später wieder weg –ist aber z.Zt. noch notwendig da sich einige Außendienstler derzeit noch darüber verbinden). Derzeit verbinden sich die Tunnel über die feste IP x.x.x.2 auf BoxA und sind somit nicht Failoverfahig.
Ich hätte die Tunnel gern über die x.x.x.5/29 erreichbar um Failover Fähigkeit zu erreichen. Hierzu habe ich eine CARP-IP x.x.x5 angelegt, auf das WAN-IF gemappt und auf der WAN Seite folgende Regeln aufgestellt:
Protokoll IPv4/UDP SOURCE any Port any -> DEST CARP_IP5 Port 1194 ACCEPT
Protokoll IPv4/GRE SOURCE any Port any -> DEST_IP5 Port any ACCEPT
Protokoll IPv4/TCP SOURCE any Port any -> DEST CARP_IP5 Port 1723 ACCEPT
Die Rules für den OVPN-Tunnel und den PPTP Tunnel sind derzeit jeweils:
Proto IPv4/* SOURCE any PORT any -> DEST any Port any ACCEPT
Leider bekomme ich über die x.x.x.5 IP weder auf dem PPTP noch auf dem Ovpn Tunnel eine Verbindung zu Stande.
Was hab ich vergessen? Muss evtl. im NAT noch was ergänzt werden? Hier habe ich derzeit kein Einstellung vorgenommen.
Danke im Voraus für jeden Tip.
-
Hi,
Prinzipiell hört sich das nicht so falsch an, da müsste man aber mal kurz die Infos auf den Interface-Reitern und die Konfig vom OVPN Tunnel sehen. Bei OVPN muss ggf. das zu bindende Interface oder die IP richtig definiert werden. Mir schwirrt da noch was im Kopf von OVPN und CARP herum. Ist bei OVPN bspw. die zweite CARP VIP ausgewählt? Ist die 2. genauso wie die 1. konfiguriert? Oder als Alias auf dem ersten VIP?
Weshalb überhaupt die zweite VIP und nicht OVPN auf die erste VIP (.4) konfigurieren, wenn doch bis jetzt PPTP und OVPN eh nur auf die .2 auf FW-A hören? Dann spricht doch nichts dagegen das direkt auf die erste VIP zu binden?Danke BTW dass du PPTP nicht als VPN betitelst sondern als Tunnel ;) Dessen sollten sich alle bewusst sein, dass PPTP lediglich noch als (schlechter) Tunnel genutzt werden kann, aber Verschlüsselung ist es definitiv keine mehr, denn dazu wurde die Verschlüsselung vor Jahren bereits kompromittiert.
Grüße
-
Der Thread ist zwar schon ein wenig älter, aber steht ja noch nicht auf Gelöst:
So eine Konfig betreibe ich auch:
pfsense 1: xx.xx.xx.2
pfsense 2: xx.xx.xx.3
WAN-CARP: xx.xx.xx.4die xx.xx.xx.5 brauchst Du nicht.
Die Regel
Protokoll IPv4/UDP SOURCE any Port any -> DEST CARP_IP5 Port 1194 ACCEPT
ist ok, nur eben auf die IP xx.xx.xx.4. Bei mir ist das zwar TCP/443, weil wir auch aus Proxy-Netzen drankommen müssen, aber das spielt in diesem Kontext ja keine Rolle.
Damit OpenVPN auf die virtuelle IP hört, musst Du bei 'Advanced configuration' den Eintrag
local xx.xx.xx.4
machen. Dann läuft das.