Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN einrichten für bestimmtes VLAN

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 6 Posters 4.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cartel
      last edited by

      Gibt es eine Anleitung wie man VPN-Tunnel speziell für ein VLAN einrichtet? pfSense soll als Server eingesetzt werden.

      1 Reply Last reply Reply Quote 0
      • magicteddyM
        magicteddy
        last edited by

        Moin,

        Du richtest erst, ganz normal, dein VLan Interface ein, dann OpenVPN und gibst dort die passende Netzmaske unter IPv4 Local Network/s an.

        -teddy

        @Work Lanner FW-7525B pfSense 2.7.2
        @Home APU.2C4 pfSense 2.7.2
        @CH APU.1D4 pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • L
          l4k3k3m4n
          last edited by

          Man kann kein VPN für ein VLAN einrichten. Der Router arbeitet auf Layer 3, ein VLAN auf Layer 2  ;D

          Du kannst freilich gewünschte IP Adressbereiche, die meinetwegen in einem VLAN liegen, durch ein VPN tunneln.

          Wenn das dein Ziel ist.

          1 Reply Last reply Reply Quote 0
          • C
            cartel
            last edited by

            Mon Feb 15 17:32:22 2016 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug  4 2015
            Mon Feb 15 17:32:22 2016 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
            Mon Feb 15 17:32:37 2016 Control Channel Authentication: using 'pfSense-udp-1194-vpn-tls.key' as a OpenVPN static key file
            Mon Feb 15 17:32:37 2016 UDPv4 link local (bound): [undef]
            Mon Feb 15 17:32:37 2016 UDPv4 link remote: [AF_INET]192.168.178.5:1194
            Mon Feb 15 17:33:37 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
            Mon Feb 15 17:33:37 2016 TLS Error: TLS handshake failed
            Mon Feb 15 17:33:37 2016 SIGUSR1[soft,tls-error] received, process restarting
            Mon Feb 15 17:33:39 2016 UDPv4 link local (bound): [undef]
            Mon Feb 15 17:33:39 2016 UDPv4 link remote: [AF_INET]192.168.178.5:1194
            

            Leider kommt immer diese Fehlermeldung :(

            192.168.178.1 ip von der Fritzbox
            192.168.178.5 ip von pfSense
            192.168.178.59 ip von dem Client (direkt an Fritzbox angeschlossen)

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Vermutlich erreicht dein Client die pfSense auf 192.168.178.5:1194 gar nicht.

              Wird der Port auf der FB durchgereicht und ist er auf der pfSense geöffnet?

              1 Reply Last reply Reply Quote 0
              • magicteddyM
                magicteddy
                last edited by

                Moin,

                zeig mal bitte Deine Firewall Rules WAN.

                -teddy

                @Work Lanner FW-7525B pfSense 2.7.2
                @Home APU.2C4 pfSense 2.7.2
                @CH APU.1D4 pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • C
                  cartel
                  last edited by

                  So sieht das jetzt in der Firewall aus. Ich habe aber eine Verständnisfrage, muss als IP für die VPN-Verbidung nicht meine öffentliche IP stehen (die ich von meinem ISP bekomme? ::))

                  screenshot.1.jpg
                  screenshot.1.jpg_thumb
                  screenshot.2.jpg
                  screenshot.2.jpg_thumb
                  screenshot.4.jpg
                  screenshot.4.jpg_thumb
                  screenshot.5.jpg
                  screenshot.5.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • magicteddyM
                    magicteddy
                    last edited by

                    Moin,

                    wie ist Dein Netzaufbau?

                    -teddy

                    @Work Lanner FW-7525B pfSense 2.7.2
                    @Home APU.2C4 pfSense 2.7.2
                    @CH APU.1D4 pfSense 2.7.2

                    1 Reply Last reply Reply Quote 0
                    • C
                      cartel
                      last edited by

                      So sieht das jetzt aus (extra eine Testumgebung). Ich möchte jetzt von 192.168.178.65 in VLAN 90 kommen. Später natürlich von Zuhause auch in VLANXX

                      screenshot.1.jpg
                      screenshot.1.jpg_thumb

                      1 Reply Last reply Reply Quote 0
                      • F
                        flix87
                        last edited by

                        Ich vermute mal die PfSense hängt hinter der FritzBox und hat damit eine private Adresse.
                        Es gibt da eine default Regel die sagt Block RFC 1918. Damit blockst du alle privaten IP Adressen weg.
                        Also wird die OpenVPN Anfrage immer geblockt.

                        Wenn dein Setup so ist musst du ins WAN Interface gehen und den Hacken bei Block private networks raus nehemen.
                        Damit verschwindet die Regel Block RFC 1918 und deine Regel die den Zurgriff auf OpenVPN erlaubt greift auch.
                        Als IP musst du die angeben wie sich ein Client verbinden kann.
                        Ist er im FritzBox Netz geht die 192.168.178.5 ist er extern dann musst der Port 1194 von der FritzBox auf die 192.168.178.5 weitergeleitet werden.
                        Im Client gibst du dann die Öffentliche IP der FritzBox an.
                        Bei OpenVPN mit NAT habe ich schon festgestellt das es mit UDP Probleme geben kann hier besser TCP nutzen.

                        1 Reply Last reply Reply Quote 0
                        • C
                          cartel
                          last edited by

                          @flix87:

                          Ich vermute mal die PfSense hängt hinter der FritzBox und hat damit eine private Adresse.
                          Es gibt da eine default Regel die sagt Block RFC 1918. Damit blockst du alle privaten IP Adressen weg.
                          Also wird die OpenVPN Anfrage immer geblockt.

                          genau das war auch das Problem! Danke.

                          Um jetzt eine IP aus dem VLAN90 zu bekommen muss ich bei den Einstellungen

                          "Tunnel Settings" unter IPv4 Local Network die ip 192.168.90.0/254 eintragen oder? oder wird die IP unter IPv4 Tunnel Network eingetragen?

                          1 Reply Last reply Reply Quote 0
                          • F
                            flix87
                            last edited by

                            Möglich wäre es zwar per OpenVPN eine Layer 2 Verbindung zu bekommen aber davon wird immer abgeraten.

                            Normal macht man bei VPN ein neues VPN Netzwerk welches dann eine Route in das Zielnetz hat was in deinem Fall das VLAN 90 wäre.

                            Bei IPv4 Local Network/s trägst du dann das Zielnetz (oder Netze) ein welches vom OpenVPN Netz erreicht werden soll.
                            Bei IPv4 Tunnel Network trägst du das neue OpenVPN Netz ein das sollte ein Netz sein was es bei dir auf der PfSense noch nicht gibt.
                            Als Default wird oft 10.0.8.0/24 genommen.
                            Dann noch eine Firewall Regel auf dem OpenVPN anlegen und es sollte gehen.

                            Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.

                              Öhm der Satz macht für mich gerade so gar keinen Sinn. Probleme beim NAT sind Probleme mit NAT und haben implizit ja nichts mit der Verbindung des Tunnels zu tun, ob die nun UDP oder TCP ist. Im Gegenteil, bei TCP hat man zusätzlich durch doppelten TCP Header schlechtere Performance und mutmaßlich noch MTU Probleme (oder muss zumindest ggf. dran rumschrauben). Kannst du mich erhellen? :)

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • F
                                flix87
                                last edited by

                                Ja kann ich  ;)
                                Ich hab eine PfSense die hat einmal PPPOE WAN direkt und noch ein Interface wo eine FritzBox mit einem zweiten WAN davor hängt.
                                Da ich per Mobile Client über beide WAN Anschlüsse reinkommen wollte habe ich im OpenVPN Server das Interface auf any und UDP gestellt.
                                Ein Forwarting von der FritzBox auf die PfSense gemacht.
                                Dann mit UDP getestet und es ging nicht über das FritzBox WAN. Keine Verbindung.
                                Per netstat geschaut es lauschte auf allen IP's sollte also gehen.
                                Dann hab ich alles auf TCP umgestellt und siehe da es geht.
                                Mag auch sein das es ein Bug ist aber bei mir lief es mit UDP einfach nicht. Daher der Hinweis von mir das es da Probleme geben könnte.
                                Bei mir war das so.

                                PS:
                                Selbst auf dem WAN Interface (was ja direkt auf der PfSense ist) geht es nicht mit Interface any und UDP taucht nicht mal was im Log auf. Firewallregeln sind auch angepasst.
                                Stelle ich es auf TCP um geht es.
                                Per Wireshark sehe ich aber wie ein paar Pakete hin und her gehen. Aber weder Client so Server spucken so wirklich was aus.
                                Eben getestet.

                                1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator
                                  last edited by

                                  Selbst auf dem WAN Interface (was ja direkt auf der PfSense ist) geht es nicht mit Interface any und UDP taucht nicht mal was im Log auf. Firewallregeln sind auch angepasst.
                                  Stelle ich es auf TCP um geht es.

                                  Für das was du möchtest gibts aber auch eine bessere Methode ;) Aber das wäre jetzt hier ziemlich OT. Nur soviel: es gibt da einen Eintrag bei doc.pfsense.org. Stichwort OpenVPN, Multi-WAN etc. Trick ist, OpenVPN nicht auf any zu setzen, sondern auf localhost zu binden und dann auf jedem WAN Port ein Forwarding auf localhost+port zu machen. Haben wir hier zweifach laufen.
                                  Und ich habe im HomeLab OpenVPN auf default udp/1194 problemlos hinter einer Fritzbox mit exposed host setting laufen ;)

                                  Aber danke fürs erläutern, jetzt weiß ich auch was/warum da NAT im Zusammenhang kommt.

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    cartel
                                    last edited by

                                    @flix87:

                                    Möglich wäre es zwar per OpenVPN eine Layer 2 Verbindung zu bekommen aber davon wird immer abgeraten.

                                    Normal macht man bei VPN ein neues VPN Netzwerk welches dann eine Route in das Zielnetz hat was in deinem Fall das VLAN 90 wäre.

                                    Bei IPv4 Local Network/s trägst du dann das Zielnetz (oder Netze) ein welches vom OpenVPN Netz erreicht werden soll.
                                    Bei IPv4 Tunnel Network trägst du das neue OpenVPN Netz ein das sollte ein Netz sein was es bei dir auf der PfSense noch nicht gibt.
                                    Als Default wird oft 10.0.8.0/24 genommen.
                                    Dann noch eine Firewall Regel auf dem OpenVPN anlegen und es sollte gehen.

                                    Nicht vergessen wenn es Probleme mit dem NAT gibt mal als Protocol TCP versuchen im OpenVPN Server. Muss dann natürlich auch im Client umgestellt werden.

                                    Das hat super funktioniert. Mein VPN-Client verbindet sich mit dem VPN-Server. Bekommt dann auch die IP-Adresse. Ich kann auch Clients aus dem 90-er VLAN anpingen. Ich gehe davon aus, dass für RDP noch die Firewall angepasst werden muss, oder?

                                    1 Reply Last reply Reply Quote 0
                                    • F
                                      flix87
                                      last edited by

                                      @JeGr:

                                      WAN Port ein Forwarding auf localhost+port

                                      Hatte ich so auch versucht war bei mir das Selbe. UDP ging nicht TCP schon.
                                      Das mit Any ist einfach reine Faulheit ;) gebe ich gerne zu. Aber nach ewig rumprobieren hatte ich dann einfach keine Lust mehr.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.