[Gelöst] pfSense OpenVPN Site to Site Routing
-
Hallo
es sind 2 Standorte über OpenVPN Site to Site miteinander verbunden.Standort A = pfsense als OpenVPN Server
Standort B = pfsense als OpenVPN ClientBis jetzt ist es so, dass alle Clients am Standort B durch den Tunnel z. B. auf das LAN am Standort A zugreifen.
Zugriffe dieser Clients auf das Internet werden jedoch über die Default Route am Standort B realisiert.Wie kann man jetzt des gesamten Datenverkehr - auch den Zugriff auf das Internet - durch den Tunnel zum Standort A
erzwingen, so dass die Clients am Standorte B nur den Zugang zum Internet über den Standort A bekommen?Gruß
Peter -
Hi,
Sichwort….Redirect Gateway
In der OpenVPN-Server Config….
Force all client generated traffic through the tunnel.
…aktivieren.
Gruß orcape -
Wie kann man jetzt des gesamten Datenverkehr - auch den Zugriff auf das Internet - durch den Tunnel zum Standort A
erzwingen, so dass die Clients am Standorte B nur den Zugang zum Internet über den Standort A bekommen?Wenn das sicher sein soll und die User die Route auf ihren Rechnern auch selbst festlegen können, musst du natürlich am Standort B auch den direkten Internetzugriff der Clients unterbinden.
Grüße
-
Hallo,
Hi,
Sichwort….Redirect Gateway
In der OpenVPN-Server Config….
Force all client generated traffic through the tunnel.
…aktivieren.
Gruß orcapeDie Aktivierung von Redirect Gateway auf dem pfsense OpenVPN Server im Standort A funktioniert nicht, weil die Default Route auf dem
pfsense OpenVPN Client im Standort B über die WAN Schnittstelle geht. Somit werden alle Verbindungen welche nicht über den Tunnel gehen
(also Internet) über die Default Route geroutet.Die Funktion "Force all client generated traffic through the tunnel" gibt es nicht in der pfsense OpenVPN Client Konfiguration.
Gruß
Peter -
Hallo,
Wie kann man jetzt des gesamten Datenverkehr - auch den Zugriff auf das Internet - durch den Tunnel zum Standort A
erzwingen, so dass die Clients am Standorte B nur den Zugang zum Internet über den Standort A bekommen?Wenn das sicher sein soll und die User die Route auf ihren Rechnern auch selbst festlegen können, musst du natürlich am Standort B auch den direkten Internetzugriff der Clients unterbinden.
Grüße
Der Tunnel sowie das Routing wird ja durch die pfsense in den Standorten festgelegt.
D. h,. Die Clients können da wenig machen, da alle Datenpakete über das jeweilige
Default GW (LAN Schnittstelle pfsense) geroutet werden.
Es nützt auch nichts auf der pfsense im Standort B den Internetzugang per FW Rules zu verhindern.
Dann kann zwar kein Client auf das Internet zugreifen, aber deshalb wird der gesamte Traffic immer
noch nicht durch den Tunnel geleitet.Gruß
Peter -
Hi!
Okay, sorry, habe nicht beachtet, dass es um eine Site to site VPN geht.
Die ist im Prinzip so einzurichten wie eine PIA Verbindung und dazu gibt es schon einige Threads hier.Hab selbst aktuell keine solche Verbindung aktiv und versuche es mal kurz aus dem Gedächtnistiefen auszugraben:
Wenn die Verbindung bereits funktioniert, benötigst du noch am Client ein Interface für die VPN. Gehe dazu auf Interfaces > assign, füge ein IF hinzu und wähle als Network port deinen openvnc, klick save und dann auf das neue IF, klicke Enable Interface und gib ihm im Decription Feld einen Namen, sonst nichts, keine IP. Die beiden Haken sollten nicht angehakt sein, und klick save u. Apply changes.Jetzt wird noch ein Gateway benötigt, wenn es nicht bereits automatisch hinzugefügt wurde. Also in System > Routing > Gateways eines hinzufügen, Interface ist das zuvor eingerichtete, Name nach deine Wahl und im Feld Gateway die IP des VPN Servers eingeben, normalerweise die erste im Tunnel-Netz (nach der Netzwerk-Adresse!).
Den Traffic darüber steuerst du dann über die Firewall-Regeln. Also auf dem Interface-Tab, das für die entsprechenden Clients zuständig ist die Regeln, die den Internet-Zugriff erlauben (Default ist pass any to any), editieren unten bei den Advanced Featuers, Gateway auf Advanced klicken und das VPN-Gateway auswählen. Alle Regeln, die es verwenden sollen, entsprechend anpassen.
Nachdem auf der pfSense nur der Traffic erlaubt ist, der in den Regeln definiert ist, sollten die Clients auch nicht mehr anders ins Internet kommen.Dafür dass die Clients nicht in LAN von Standort A gelangen, musst du dann am Server sorgen.
Grüße
-
Hallo,
danke, das werde ich mal testen.Gruß
Peter -
Hi,
so ein Szenario, wie von Dir geplant, habe ich leider auch nicht am laufen….
..das heißt, ich will meine Servernetze nicht noch mit unnötigem Traffic belasten.Die Funktion "Force all client generated traffic through the tunnel" gibt es nicht in der pfsense OpenVPN Client Konfiguration.
Ich hatte geschrieben….
In der OpenVPN-Server Config….
Force all client generated traffic through the tunnel.
Ausserdem ist da noch die CCD auf Server-Seite, die mit….
Client Specific Overrides
…auf Seite der Serverkonfiguration eingerichtet wird und dem Client entsprechende Anweisungen gibt.
Dort musst Du ebenfalls den Redirect Gateway aktivieren.
...und das sollte dann eigentlich schon funktionieren.
Kann natürlich durchaus @viragomann´s Einwand richtig sein, das Du auch auf Clientseite ein Interface einrichten musst.
Ich musste nur bisher die Erfahrung machen, das ohne die korrekte Einrichtung der CCD auf Server-Seite, einiges an Verbindungsproblemen zwischen den Netzen bei einer Point-to-Point Verbindung daneben geht.Gruß orcape
-
Hallo,
leider haben alle Tipps bis jetzt nicht zum Ziel geführt.Was habe ich bis jetzt getan.
Auf dem pfsense OpenVPN server:
Redirect Gateway: "Force all client generated traffic through the tunnel." aktiviertAuf dem pfsense OpenVPN Client:
1. Interface OPT1 -> ovpnc1() hinzugefügt- IPv4 Configuration Type -> none
- Block private networks -> Aus
- Block bogon networks -> Aus
2. System: Routing -> Gateways
- automatisch hinzugefügt: OPT1_VPNV4 mit 10.111.111.1
3. Firewall Rules:
- Auf Interface LAN, OPT1, OpenVPN eine FW Regel: pass any to any
- Auf Interface LAN: Advanced features -> Gateway -> Advanced: OPT1_VPNV4-10.111.111.1 hinzugefügt
4. Funktionstest am Standort B
tracert "IP Client Standort A"
1 <1 ms "IP LAN GW"
2 <1 ms 10.111.111.1
3 <1 ms "IP Client Standort A"
Funktioniert!tracert "8.8.8.8"
1 <1 ms 10.111.111.1
2 * Zeitüberschreitung der Anforderung
3 * Zeitüberschreitung der Anforderung
Funktioniert nicht!Man sieht aber, dass der Traffic über den Tunnel geht.
Auch auf der Server Seite kann ich in den mitgeloggten ankommenden Traffic auf der
ovpns1 Schnittstelle sehen.
Aber eine Internetverbindung funktioniert nicht.Auch die Aktivierungen der "Client Specific Overrides" -> "Force all client generated traffic through the tunnel"
auf dem Server ergab keinen Erfolg.Hat jemand noch eine Idee?
Gruß
Peter -
tracert "8.8.8.8"
1 <1 ms 10.111.111.1
2 * Zeitüberschreitung der Anforderung
3 * Zeitüberschreitung der Anforderung
Funktioniert nicht!Man sieht aber, dass der Traffic über den Tunnel geht.
Auch auf der Server Seite kann ich in den mitgeloggten ankommenden Traffic auf der
ovpns1 Schnittstelle sehen.
Aber eine Internetverbindung funktioniert nicht.Na, das sieht ja schon mal nicht schlecht aus.
Zwei Dinge habe ich vergessen:
-
Die Regeln am Server müssen den Traffic ins Web genehmigen. Daran hast du aber vermutlich eh gedacht.
-
Das Outbound NAT muss fürs VPN-Netz funktionieren, und dazu muss es neu konfiguriert werden. Ev. reicht bereits ein Klick auf Save. Wenn nicht, auf "Manual Outbound NAT rule generation" umstellen und Save klicken. Dann sollten die Regeln so generiert werden, dass es funktioniert.
Du brauchst auf jeden Fall eine solche Regel:
WAN <tunnelnetz cidr="">* * * WAN-Adresse * NO</tunnelnetz>
Dass das Ganze funktioniert, setzt auch ein konfiguriertes Default-Gateway oder eine Route ins WAN am Server voraus, aber das wird ja wohl vorliegen.
Gruß
-
-
Hi,
poste mal bitte die Files und deren Inhalt aus dem Pfad…./var/etc/openvpn-csc
….der pfSense aus Standort A.
Gruß orcape -
Hallo,
Na, das sieht ja schon mal nicht schlecht aus.
Zwei Dinge habe ich vergessen:
-
Die Regeln am Server müssen den Traffic ins Web genehmigen. Daran hast du aber vermutlich eh gedacht.
-
Das Outbound NAT muss fürs VPN-Netz funktionieren, und dazu muss es neu konfiguriert werden. Ev. reicht bereits ein Klick auf Save. Wenn nicht, auf "Manual Outbound NAT rule generation" umstellen und Save klicken. Dann sollten die Regeln so generiert werden, dass es funktioniert.
Du brauchst auf jeden Fall eine solche Regel:
WAN <tunnelnetz cidr="">* * * WAN-Adresse * NO</tunnelnetz>
Dass das Ganze funktioniert, setzt auch ein konfiguriertes Default-Gateway oder eine Route ins WAN am Server voraus, aber das wird ja wohl vorliegen.
Gruß
Es ist alles so wie Du es beschrieben hast.
Auf beiden Seiten kommen in der Standard Site to Site Konfiguration alle Clients über die Standort pfsense ins Internet und durch den Tunnel auf den
anderen Standort und dort in die LAN's. Die Fw Rules sind überall auf "pass any to any" und Logging eingestellt.
Das Outbound NAT hatte ich bereits im Standort A und B auf Manuell gestellt und dort gibt es u. a. auch die notwendige Richtlinie
WAN 10.111.111.0/30 * * * WAN address * NOBis jetzt leider alles ohne Erfolg!
Gruß
Peter -
-
Hallo,
@orcape:Hi,
poste mal bitte die Files und deren Inhalt aus dem Pfad…./var/etc/openvpn-csc
….der pfSense aus Standort A.
Gruß orcape/var/etc/openvpn-csc/client_site_to_site
ifconfig-push 10.111.111.2 10.111.111.1
push "route 192.168.37.0 255.255.255.0"
push "route 192.168.137.0 255.255.255.0"
push "route 192.168.139.0 255.255.255.0"
iroute 192.168.39.0 255.255.255.0
push "redirect-gateway def1"
push "redirect-gateway def1"Gruß
Peter -
Hallo!
WAN 10.111.111.0/30 * * * WAN address * NO
D.h. dein VPN Client hat die IP 10.111.111.2, soweit richtig?
Wenn das alles so eingerichtet ist, müsste es funktionieren. Das Problem kann eigentlich nur mehr am Routing oder an den Regeln liegen.
Nachdem du am Client das VPN Interface hinzugefügt hast, sind auch auf diesem Regeln zu konfigurieren, damit der VPN-Traffic erlaubt wird. Hast du das gemacht?
Am neuen Interface einfach any to any.Nach Änderungen ggf. den VPN-Server bzw. -Client neu starten.
Ansonsten würde mir nur noch Troubleshooting einfallen. Dazu achte darauf, dass in den Log-Settings auch das Logging der Default-block Rule aktiviert ist.
Ob das Routing und NAT auf Serverseite in Ordnung ist, lässt sich einfach über das pfSense Ping-Tool überprüfen. Dazu als Host eine externe IP/Namen und als Source Adresse den VPN Server einstellen.
Wenn in Logs nicht zu sehen ist, kannst du Packet Capture an den diversen Interfaces einsetzen, um zu sehen, was die Paket machen.Grüße
-
Guten Morgen,
zunächst einmal möchte ich mich bei Euch beiden (viragomann und orcape) für die Unterstützung und Hilfe bedanken!!!"… D.h. dein VPN Client hat die IP 10.111.111.2, soweit richtig? ...."
-> Ja, wie bereits geschrieben erreiche ich beide Tunnelenden incl. der dahinter liegenden LAN's über den Tunnel.
"... Wenn das alles so eingerichtet ist, müsste es funktionieren. Das Problem kann eigentlich nur mehr am Routing oder an den Regeln liegen. ..."
-> Das vermute ich auch, zumal ich z. B. die Pings auf 8.8.8.8 auf den ovpns1 Schnittstelle am Server mitgeloggt sehe.
"... Nachdem du am Client das VPN Interface hinzugefügt hast, sind auch auf diesem Regeln zu konfigurieren, damit der VPN-Traffic erlaubt wird. Hast du das gemacht? Am neuen Interface einfach any to any. ..."
-> Ja, ich habe zunächst überall pass any to any auf die Schnittstellen gelegt.
"... Nach Änderungen ggf. den VPN-Server bzw. -Client neu starten. ..."
-> Habe ich gemacht.
" ... Ansonsten würde mir nur noch Troubleshooting einfallen. Dazu achte darauf, dass in den Log-Settings auch das Logging der Default-block Rule aktiviert ist.
Ob das Routing und NAT auf Serverseite in Ordnung ist, lässt sich einfach über das pfSense Ping-Tool überprüfen. Dazu als Host eine externe IP/Namen und als Source Adresse den VPN Server einstellen.
Wenn in Logs nicht zu sehen ist, kannst du Packet Capture an den diversen Interfaces einsetzen, um zu sehen, was die Paket machen. ..."Das werd ich mir sicher noch genauer ansehen müssen.
Es kann eigentlich nur ein Routingproblem sein und muss doch zu lösen sein.
Ich melde mich.Gruß
Peter -
Hi,
nur mal so eine Vermutung.
Wenn ich bei mir, pfSense (Diagnostics-Ping) vom OpenVPN-Interface auf die IP 216.58.216.228 (google.com) einen Ping mache (ICMP any-to-any Rule), erhalte ich eine Antwort. Check das mal ab.
Wenn dem so ist, solltest Du auch Internetverbindung haben.
Bei mir steht NAT-Outbound auf automatic, dabei sind alle Interfaces, incl. der OpenVPN-Interfaces als Source aktiviert.
Wenn Du pf-Version 2.2 hast, und es steht auf manuell, stell das einfach mal auf Hybrid.
Gruß orcape -
Hallo,
werde ich heute Abend mal testen.
NAT-Outbound hatte ich sowohl auf Automatic, Hybrid, Manuell.
Leider gab es hier keine Veränderung bezüglich des Internetzugriffs über den Tunnel zum Standort A.
Ich setze in beiden Standorten pfsense 2.2 ein.Das ganze Scenario läuft z. Z. in einer Testumgebung.
Gruß
Peter -
Hallo,
bis jetzt keinen Erfolg.
Ich kann von der pfsense OpenVPN Client Standort B ohne Probleme von allen Schnittstellen aus Pings setzen.
Nur scheint der Traffic ins Internet trotzdem über die eigene WAN Schnittstelle zu laufen.
Das scheint aber auch normal, weil in der Routing Tabelle die Default Route immer noch die WAN-Schnittstelle ist.
Nur wenn ich diese lösche, d. h. das Default GW explizit auf die OpenVPN Schnittstelle lege, wird der Traffic über den Standort A geleitet.Nur die angeschlossenen Clients erreichen auch hiermit das Internet nicht.
Das ist schon komisch.Scheinbar ist die pfsense OpenVPN Client am Standort B nicht in der Lage den gesamten Traffic von der LAN-Schnittstelle durch den Tunnel
zum Standort A zu führen um dort ins Internet auszusteigen.Ich bin ratlos, zumal ich echt nicht der Anfänger in diesem Bereich bin.
Danke nochmal für Eure Hilfe.
Gruß
Peter -
Bei welcher pfsense hast denn denn an den NAT-Einstellungen rumgespielt? Richtig wäre eigentlich am Standort A. Da müßtest du dann manuell Regeln für das Netz von Standort B anlegen.
-
Hallo,
die Regeln existieren ja im Standort A (pfSense OpenVPN Server) wie auch im Standort B (pfSense OpenVPN Client) .
Nur kommt der Traffic am Server scheinbar gar nicht erst an.Oder habe ich dich falsch verstanden?
Gruß
Peter -
Die Regeln bei Standort A sollten eigentlich reichen. Kommen die Clients denn ins Netz von Standort A? Hast du die Firewall-Regeln schon überprüft?
-
Ja alle Clients im Standort B kommen zum Standort A und umgekehrt.
Nur eben funktioniert der Zugriff zum Internet nur über die jeweilige Standort pfsense.
Das darf oder soll nicht sein, weil der gesamte Traffic aller Clients im Standort B durch den Tunnel zum Standort A geführt werden soll und
der Internetzugriff nur im Standort A realisiert werden soll.Gruß
Peter -
Hi!
Das kann ja nicht sein!
Was sagen die Logs? Der Traffic von den LAN clients ins Internet am Standort B muss ja von einer Regel erlaubt werden. Wenn du alles loggst, dann kannst du dir ja ansehen, welche Regel das ist. Und genau dieser Regel setzt du das VPN-Gateway, wie zuvor beschrieben. Das nennt sich "Policy based routing", also die FW-Regel ist gleichzeitig fürs Routing zuständig.
Wenn keine Regel den direkten Traffic ins WAN erlaubt, kann es auch keinen geben. Also bitte prüfe deine Logs und deine Regeln.
Hast du etwa eine Floating rule?? Die haben nämlich Vorrang. Aber wie auch immer, das Log wird dich darüber aufklären, wie der Traffic ins WAN gelangt.Wenn ohnehin der ganze Traffic von B übers VPN laufen soll, kannst du auch das VPN Gateway als default setzen, dann ersparst du dir das Troubleshooting. Das Default-Gateway zu löschen ist nicht schlauste Weg.
Grüße
-
Das mit dem Löschen des Default GW habe ich anders gemeint. Ich habe das VPN Gateway als Default GW definiert.
Dennoch konnte kein Client aus dem Standort B über Standort A das Internet erreichen.
Da ist der Wurm drin!
Ich werde mir das nächst Woche nochmal genau ansehen (habe gerade alles heruntergefahren).Für alle die hier mitlesen, eine NW-Übersicht über mein Vorhaben.
Gute Nacht!
Peter
-
Hallo,
@viragomann:…
Wenn ohnehin der ganze Traffic von B übers VPN laufen soll, kannst du auch das VPN Gateway als default setzen, dann ersparst du dir das Troubleshooting.
...Ich habe mir das noch mal durch den Kopf gehen lassen.
Wenn als Default das VPN GW gesetzt ist, würde doch der pfsense OpenVPN Client für den Verbindungsaufbau des Tunnels sein
Gegenüber nicht mehr finden, weil der pfsense OpenVPN Server ja irgendwo im Internet über zahlreiche Hops zu erreichen ist.
D. h., die Route dahin wäre für den Tunnelaufbau unbekannt.
Oder sehe ich hier was falsch?In meiner Testumgebung werde ich das aber nochmal ausprobieren.
Ich habe gerade diese Anleitung gefunden:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_OpenVPN-connection_in_PfSense_2.1Gruß
Peter -
Hallo!
Ich habe mir das noch mal durch den Kopf gehen lassen.
Wenn als Default das VPN GW gesetzt ist, würde doch der pfsense OpenVPN Client für den Verbindungsaufbau des Tunnels sein
Gegenüber nicht mehr finden, weil der pfsense OpenVPN Server ja irgendwo im Internet über zahlreiche Hops zu erreichen ist.
D. h., die Route dahin wäre für den Tunnelaufbau unbekannt.
Oder sehe ich hier was falsch?Grüße
Das siehst du wohl richtig. So einfach ist es also doch nicht. Das war zu schnell geschossen. -
Hi,
irgendwie macht mich Dein doppelter Eintrag (push "redirect-gateway def1") in der openvpn-csc etwas stutzig.
Das muss nur über die Server.conf so funktionieren.
Der Standartgateway muss so bleiben, das ist klar.
Lies Dir das mal durch….
http://openvpn.net/index.php/open-source/documentation/howto.html#redirect
Eine NAT-Rule…iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
…ist dann zwingend erforderlich um vom Tunnel ins Internet zu kommen, das dürfte klar sein.
Ebenfalls die DNS-Funktion..push "dhcp-option DNS 10.8.0.1"
Letzteres sollte allerdings einen Ping von Standort B noch Internet A nicht stören, vorrausgesetzt es besteht eine ICMP-Rule.
Gruß orcape -
Hallo,
danke für die Infos.
Nächste Woche beschäftige ich mich noch mal intensiv mit der Problematik.
Ich werde Euch auf dem Laufenden halten.Schönes Wochenende!
Gruß
Peter -
Hallo,
das Problem ist gelöst.
Danke an Euch beide für die Unterstützung!!!Das wichtigste was bei meiner Config fehlte:
Auf der pfsense OpenVPN Serverseite muss manuell eine NAT Outbound Regel für das pfsense OpenVPN Client Netzwerk
erstellt werden. Es reicht nicht nur das OpenVPN Netzwerk zu definieren.
Weiter muss auf der pfsense OpenVPN Serverseite unter Advanced configuration der Eintrag "redirect-gateway def1;"
vorgenommen werden.
Quelle: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_OpenVPN-connection_in_PfSense_2.1Was mir aber aufgefallen ist:
Wenn aus irgendwelchen Gründen der Tunnel unterbrochen wird, dann routet wieder jeder Standort für sich den
Traffic ins Internet. Das ist ja zunächst auch normal, da das Default GW dafür verantwortlich ist.
Für mein Vorhaben ist das aber unerwünscht.
D. h., nur Internetzugang für die Clients über den Tunnel zum pfsense OpenVPN Server, oder keinerlei Verbindung.Ich habe lange gerätselt und mir fiel keine Firewallregel dafür ein, welche nur den Internetzugang an der
pfsense OpenVPN Client verbietet und alles ander zulässt.
Dann habe ich den Gedanken mit dem "Policy based routing" aufgegriffen.
Das funktioniert dann genauso wie ich mir das vorgestellt habe.Habt ihr vielleicht einen Gedanken hierzu?
Gruß
Peter -
Hi Peter,
schön das Du hier schon gewisse "Vorarbeit" geleistet hast. ;)
Redirect Gateway ist eines meiner nächsten Projekte, welches aber nicht im produktiven Umfeld stattfindet, also auch nicht wirklich kritisch ist.
Nun hatte ich mit meiner Vermutung, NAT-Problem doch nicht ganz unrecht.
Hätte eigentlich auch gleich drauf kommen können. :(
Beim Routing mehrerer Serverinstanzen reicht auch das Routing auf den anderen Tunnel nicht aus.
Da musst Du auch zwingend zum remoten Netz mit routen.Dann habe ich den Gedanken mit dem "Policy based routing" aufgegriffen.
Ist eine Möglichkeit.
Bei den Clients als Gateway nicht mehr den default Gateway eintragen, sondern den Tunnel ?
Die soll´n ja eh nicht mehr direkt ins Netz.
Gruß orcape -
Hallo!
Ich habe lange gerätselt und mir fiel keine Firewallregel dafür ein, welche nur den Internetzugang an der
pfsense OpenVPN Client verbietet und alles ander zulässt.
Dann habe ich den Gedanken mit dem "Policy based routing" aufgegriffen.
Das funktioniert dann genauso wie ich mir das vorgestellt habe.Habt ihr vielleicht einen Gedanken hierzu?
Was jetzt? Funktioniert es nun oder nicht?
Eine Regel, die Internettraffic verbietet könnte am LAN Interface so aussehen:
Block IPv4 * LAN net * ! <vpn tunnel="" gateway="">* * none</vpn>
Diese sollte aber gar nicht nötig sein, weil eh schon eine Regel den Traffic ausschließlich übers VPN Gateway erlaubt. Wenn, dann sollte sie unterhalb dieser stehen.
Grüße
-
Hallo,
@orcape:… Bei den Clients als Gateway nicht mehr den default Gateway eintragen, sondern den Tunnel ?
Die soll´n ja eh nicht mehr direkt ins Netz.
...Ich denke das wird so nicht funktionieren, da ein GW sich zwingend immer im selben Subnet wie die Clients befinden muss.
Und die Clients befinden sich in meinem Fall im NW 192.168.39/24.
Das Gateway hierfür ist 192.168.39.254.
Der Tunnel ist aber im NW 10.111.111.0/30.Gruß
Peter -
…
Was jetzt? Funktioniert es nun oder nicht?Eine Regel, die Internettraffic verbietet könnte am LAN Interface so aussehen:
Block IPv4 * LAN net * ! <vpn tunnel="" gateway="">* * none</vpn>
Diese sollte aber gar nicht nötig sein, weil eh schon eine Regel den Traffic ausschließlich übers VPN Gateway erlaubt. Wenn, dann sollte sie unterhalb dieser stehen
…Ja es funktioniert.
Ich habe auf die Client LAN Regel das Tunnel Gateway gesetzt. Damit funktioniert alles 100%ig.
Pass IPv4 * LAN net * * * OPT1_VPNV4 none <beschreibung>Aber ohne diese Regel gibt es ein Problem falls es eine Tunnelunterbrechung gibt.
Alle Clients gehen dann nämlich über die Default Gateway ins Internet.
Das dürfen sie aber nicht.
Leider kenne ich keine Regel, welche verhindert dass im Falle der Tunnelunterbrechung die Clients ausversehen am
Standort pfsense OpenVPN Client in das Internet gehen können.Gruß
Peter</beschreibung> -
Also die Regel mit dem Tunnel Gateway wird praktisch deaktiviert, wenn das Gateway weg ist?
Das wusste ich auch nicht. Wieder was gelernt. :)Einen Vorschlag für eine Regel, die den direkten Internetzugriff verhindert, habe ich ja oben gepostet.
Das ist eine Block-Regel auf dem LAN Interface oder wo immer die Clients dranhängen, die sämtlichen Traffic unterbindet mit Ausnahme des Tunnel-Netzes.
Die Ausnahme setzt man, indem man bei Destination "not" anhakt und das entsprechende Netz (Tunnel) einstellt. Wenn du mehrere Ausnahmen benötigst, lege dir dazu erst einen Alias an und verwende diesen in Destination.Gruß
-
Hallo,
ja scheint so.
Wenn der Tunnel unterbrochen ist ignoriert diese Regel das Tunnel Gateway und benutzt das Default Gateway.
Ich erreiche zumindest z. B. mit ping 8.8.8.8 die Adresse.
Finde ich auch etwas komisch.
Eine DNS Auflösung findet aber nicht statt, weil ich einen DNS im anderen Standort verwende.
Somit kann der Client nicht direkt in das Internet.Das werde ich mir nochmal genauer ansehen.
Gruß
Peter -
Die Sache war hier schon mal Thema und da gab es noch eine Einstellung dazu. Ich habe jetzt nochmals nachgesehen:
In System > Advanced > Miscellaneous gibt es den Punkt "Skip rules when gateway is down". Dort gehört nach meinem Verständnis der Anleitung ein Haken hin, ansonsten wird das Default Gateway benutzt.
It's not a bug, it's a feature! ;)Eine DNS Auflösung findet aber nicht statt, weil ich einen DNS im anderen Standort verwende.
Somit kann der Client nicht direkt in das Internet.Wenn das sicher sein soll, würd ich mich nicht darauf verlassen. Man kann ja direkt über die IPs raus und möglicherweise können die User auch selbst Ihren DNS konfigurieren.
Gruß
-
Hallo,
Die Sache war hier schon mal Thema und da gab es noch eine Einstellung dazu. Ich habe jetzt nochmals nachgesehen:
In System > Advanced > Miscellaneous gibt es den Punkt "Skip rules when gateway is down". Dort gehört nach meinem Verständnis der Anleitung ein Haken hin, ansonsten wird das Default Gateway benutzt.
It's not a bug, it's a feature! ;)Eine DNS Auflösung findet aber nicht statt, weil ich einen DNS im anderen Standort verwende.
Somit kann der Client nicht direkt in das Internet.Wenn das sicher sein soll, würd ich mich nicht darauf verlassen. Man kann ja direkt über die IPs raus und möglicherweise können die User auch selbst Ihren DNS konfigurieren.
Gruß
Danke, genau diese Einstellung bzw. Funktion ist die fehlende!
Auch wenn meine Clients keinerlei Einstellungen vornehmen können, ist das mit dem DNS nur aus der Not geboren.Gute Nacht
Gruß
Peter -
Hallo,
ich hatte gestern zu Testzwecken mal eine Regel auf das LAN NW gelegt.
Block IPv4 * LAN net * ! <vpn tunnel="" gateway="">* * none <beschreibung>Leider funktioniert so kein Zugriff durch den Tunnel auf den anderen Standort (LAN's und Internet).Danach hatte ich diese Regel probiert:
Pass IPv4 * LAN net * <vpn tunnel="" gateway=""> * * none <beschreibung>Auch hier kein Zugriff durch den Tunnel auf den anderen Standort (LAN's und Internet).Ich kann in beiden Fällen das Tunnel NW erreichen, aber das Routing durch den Tunnel funktioniert damit nicht.
Gruß
Peter</beschreibung></vpn></beschreibung></vpn> -
Hallo!
Diese Regel muss unterhalb der "Policy based routing" Regel eingereiht sein, damit sie nur angewandt wird, wenn obige nicht zutrifft. Ist aber ohnehin hinfällig, denn bei dem Verhalten der pfSense bezüglich "Policy based routing", das wir ja mittlerweile geklärt haben, funktioniert das so nicht.
Die Regel wäre für den Fall gedacht gewesen, dass die "Policy based routing" Regel einfach deaktiviert wird, wenn das GW nicht da ist. Dann wäre diese zusätzlich Regel in Kraft getreten. Tatsächlich wird aber das VPN-GW einfach durch das Default Gateway ersetzt und damit wird "Policy based routing" Regel angewandt und nachfolgende ignoriert.
Kannst du dir demnach sparen und für die korrekte Funktion ist es nun ja auch nicht nötig.
Für deinen Regelsatz, den wir ja bislang nicht kennen, behalte im Kopf:
-
Es ist ausschließlich Traffic möglich, der explizit in Regeln erlaubt ist.
-
Die Regeln werden der Reihe nach von oben nach unten durchgegangen.
-
Trifft eine Regel zu, wird sie angewandt und nachfolgende ignoriert.
Mit diesen Grundsätzen ist es einfach, das Verhalten der pfSense nachzuvollziehen. Gleiches gilt für NAT-Regeln.
Grüße
-
-
Hallo,
ja, das ist mir klar, danke.
Ich werde das jetzt nicht weiter verfolgen, weil die andere Lösung sauber funktioniert.Es gibt aber auch noch eine andere Lösung um zu verhindern, dass Clients unberechtigt ins Internet gehen können.
1. Man kann auf dem pfsense OpenVPN Client die Regel NAT Outbound für das lokale LAN löschen/deaktivieren.2. Zusätzlich kann man das Tunnel Netz mit dem Ziel pfsense OpenVPN Server und dem Port z. B. 1194 definieren.
WAN 10.111.111.0/30 * 10.111.111.1/32 1194 WAN address * YES <beschreibung>Gruß
Peter</beschreibung>