Pfsense hinter dhcp router



  • Hi,

    ich habe zu testzwecken einen pfsense server aufgesetzt und möchte diesen hinter meiner easybox betreiben und die konfiguration der easybox lassen wie sie ist. leider komme ich mit der konfiguration nicht weiter, daher mein Hilfegesuch hier. die konfiguration sieht bis jetzt so aus:

    der zugang über den AP funktioniert für den zugriff auf die weboberfläche aber leider bekommt er noch kein internet

    die bereits bestehenden postings zum thema bin ich bereits erfolglos durchgegangen, für einen link zum richtigen post oder für hilfe zur konfiguration wäre ich dankbar



  • Hi!

    Am LAN Interface ist hier kein Gateway anzugeben.
    Und die Interface Adresse solltest du sicherheitshalber aus dem LAN DHCP Bereich rausnehmen. Wenn die dein PC bekommt, kommt er damit nicht weit.



  • Vielen Dank für deine Hilfe, jetzt geht es.



  • Ich würde in der obigen Konstellation noch gerne via VPN von überall auf das LAN Netz zugreifen können um die pfsense box zu verwalten.
    Dazu habe ich mit dem Wizard OpenVPN eingerichtet inklusive Regeln, bekomme aber leider keine Verbindung. VPN Benutzer inkl. Zertifikate snd auch angelegt.

    Fehlermeldung im VPN Client:

    TLS Key Negotiation failed
    TLS handshake failed

    Die pfsense box hat ja dmz, da müsste ich doch eigentlich von extern (wan) direkt eine Verbindung herstellen können ?



  • Diese Meldung kann einerseits bedeuten, dass der VPN-Server vom Client aus gar nicht erreichbar ist, oder dass die Schlüsselaushandlung aus anderen Gründen nicht zustande kommt.

    Schau mal ins OpenVPN Log am Server, ob da der Verbindungsversuch registriert wird. Wenn ja, überprüfe, ob der TLS-Key in der Serverkonfiguration mit dem am Client übereinstimmt. D.h. einfach neu exportieren und am Client ablegen.
    Wenn nein, erreichst du den Server nicht. In der WAN Interface Einstellung den Haken bei "Block private networks" rausgenommen?



  • Danke für die Tipps, inzwischen läuft es !

    Nach einem PC Neustart ging es komischerweise plötzlich. Den Haken hatte ich allerdings auch nicht gesetzt.
    Jetzt wo es klappt habe ich allerdings das Problem, dass ich keinen Zugriff auf das Webinterface habe.

    Muss ich dazu noch eine zusätzliche Regel erstellen oder habe ich eine Option übersehen ?

    Vielen Dank!



  • Der Haken muss raus, weil du das WAN der pfSense in einem privaten Netz betreibst.
    Von wo aus erreichst du das Webinterface nicht, WAN oder LAN? WAN wäre vermutlich durch diesen Haken begründet.



  • Also ich möchte die Box von extern über vpn administrieren, also von Wan Seite.
    Der VPN server läuft ja am Wan Interface (falsch?).
    In den OpenVpn settings habe ich das lan Netz bei "IPv4 Local Network/s" als Zielnetzwerk eingetragen:
    "These are the IPv4 networks that will be accessible"

    Edit: Der Haken bei Block private Networks ist entfernt



  • Du brauchst noch eine Firewall Regel auf dem OpenVPN Interface, die den Zugriff von dem OpenVPN Netz auf das LAN Netz erlaubt.



  • Also der VPN Wizard hat so eine Regel bereits angelegt (siehe Anhang), damit gehts nicht :(




  • Ah ok hab noch nie nen Wizard benutzt  ;D
    Die passt dann so.



  • Benutzt du für den OpenVPN Server etwa den gleichen Port wie für den WebConfigurator?
    Weil 443 praktisch überall ausgehend erlaubt ist, wird dieser gerne auch für VPN empfohlen und der WebConfigurator verwendet diesen standardmäßig.
    Wenn du den OpenVPN Server auf 443 betreiben möchtest, lege den WebConfigurator auf einen anderen Port in System > Advanced > Admin Access



  • Nein, ich benutze den Standard Port 1194.



  • Dann solltest du auch das Web-Interface der pfSense erreichen können, falls es auch vom LAN aus erreichbar ist. Ist es das nun?

    Es wäre vielleicht besser, für dieses Problem einen neuen Thread zu erstellen, in dem du Angaben zum aktuellen Fall und zu deinem VPN-Server machst und beschreibst was nun genau geht und was nicht. Dieser ist schon ziemlich undurchsichtig, entsprechende Angaben fehlen hier und das ursprüngliche Problem ist ja bereits behoben. Die Grafik im ersten Post, die man sich immer wieder gerne ansieht, um Probleme beurteilen zu können, bringt hier gar nicht, weil die VPN darin gar nicht erfasst ist.



  • Über Lan ist das Webinterface erreichbar, keine Ahnung, was ich da verbockt habe :(

    Ich werde nochmal einen neuen thread erstellen mit einer neuen aktualisierten Grafik.

    Danke für die Hilfe!