4
Pfsense Routing Open-VPN
Hallo miteinander,
ich hab bei einer Pfsense Installation ein Routing Problem.
Ich habe eine Pfsense mit 3 Nics 1x PPPoe, 1x eine WlanKarte mit dem Netz 192.168.205.0/24, 1x Internes Netz mit 192.168.202.0/24.
Ich will folgendes, das Wlan Netz soll nur das Internet von der PPPoe Verbindung bekommen.
Aber nicht auf das interne Netz dürfen.
Über die Open-VPN Verbindung von Pfsense (Standardeinrichung)soll ein Zugriff von Extern (PPPoe) und dem Wlan funktionieren.
Der Open-Vpn Server funktioniert, ich komme ins WlanNetz.
Die Open-Vpn Verbindung habe ich ähnlich nach http://www.youtube.com/watch?v=odjviG-KDq8 eingestellt.
Wie Route ich OpenVpn ins "interne Netz"?
Hier noch ein kleiner Überblick.
<iframe src="https://skydrive.live.com/embed?cid=AB133C39C6014CD9&resid=AB133C39C6014CD9%21213&authkey=AKkGTaaiXUZMev4" width="320" height="195" frameborder="0" scrolling="no"></iframe>
Ich will folgendes, das Wlan Netz soll nur das Internet von der PPPoe Verbindung bekommen.
Aber nicht auf das interne Netz dürfen.
Über die Open-VPN Verbindung von Pfsense (Standardeinrichung)soll ein Zugriff von Extern (PPPoe) und dem Wlan funktionieren.
Der Open-Vpn Server funktioniert, ich komme ins WlanNetz.
Die Open-Vpn Verbindung habe ich ähnlich nach http://www.youtube.com/watch?v=odjviG-KDq8 eingestellt.
Wie Route ich OpenVpn ins "interne Netz"?
Hier noch ein kleiner Überblick.
<iframe src="https://skydrive.live.com/embed?cid=AB133C39C6014CD9&resid=AB133C39C6014CD9%21213&authkey=AKkGTaaiXUZMev4" width="320" height="195" frameborder="0" scrolling="no"></iframe>
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203296
Url: https://administrator.de/contentid/203296
Printed on: April 25, 2024 at 16:04 o'clock
4 Comments
Latest comment
Bitte bitte keine externen Bilderlinks !!
Es gibt eine Bilder Upload Funktion hier die du bei der Erstellung deines Threads NICHT übersehen haben kannst...
Zurück zum Problem...
Das ist ganz einfach was du willst: Gehe einfach in die Firewall Rules des WLAN Interfaces und DENYe dort alles was vom WLAN Segment 192.168.205.0/24 ins Netz 192.168.202.0/24 geht.
WICHTIG: Diese Regel muss an erster Stelle in den Firewall Rules stehen !! Erst danach kommt die "Allow any to any" Regel die das Internet freigibt !!
Die Reihenfolge der Regeln ist wichtig es gilt immer First Match wins ! der rest danach wird dann nicht mehr ausgeführt.
Würdes du es oben andersrum machan also erst any zu any siehst du selber was passiert...dann geht alles ins Internet denn diese Regel "matched" und die Deny Regel wird nicht mehr abgearbeitet !
Also wichtig: Logische Reihenfolge zählt !!
Lies dir die Fragenthreads zu diesem Tutorial durch:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
dort findest du diveres Anleitungen und Screenshots wie das einzustellen ist !!!
P.S.: Den Bilder Upload kann man oben immer noch nachholen wenn du bei deiner Frage auf "Bearbeiten" rechts klickst und oben neben "Text bearbeiten" Bilder anklickst. Bild hochladen, den Bild URL mit Rechtsklick und cut and paste in den Text bringen fertisch... Statt des URLs kommt immer dein Bild...kinderleicht und ohne diese üblen externen Links mit Zwangswerbung
P.P.S.: OpenVPN muss man auch nicht auf einem Server hinter der Firewall betreiben, denn das ist ducrh das NAT immer kontraproduktiv. Intelligenterweise bringt pfSense gleich einen OpenVPN Server mit den as an Bord hat so kann man sich das mit dem Zusatzserver sparen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Es gibt eine Bilder Upload Funktion hier die du bei der Erstellung deines Threads NICHT übersehen haben kannst...
Zurück zum Problem...
Das ist ganz einfach was du willst: Gehe einfach in die Firewall Rules des WLAN Interfaces und DENYe dort alles was vom WLAN Segment 192.168.205.0/24 ins Netz 192.168.202.0/24 geht.
WICHTIG: Diese Regel muss an erster Stelle in den Firewall Rules stehen !! Erst danach kommt die "Allow any to any" Regel die das Internet freigibt !!
Die Reihenfolge der Regeln ist wichtig es gilt immer First Match wins ! der rest danach wird dann nicht mehr ausgeführt.
Würdes du es oben andersrum machan also erst any zu any siehst du selber was passiert...dann geht alles ins Internet denn diese Regel "matched" und die Deny Regel wird nicht mehr abgearbeitet !
Also wichtig: Logische Reihenfolge zählt !!
Lies dir die Fragenthreads zu diesem Tutorial durch:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
dort findest du diveres Anleitungen und Screenshots wie das einzustellen ist !!!
P.S.: Den Bilder Upload kann man oben immer noch nachholen wenn du bei deiner Frage auf "Bearbeiten" rechts klickst und oben neben "Text bearbeiten" Bilder anklickst. Bild hochladen, den Bild URL mit Rechtsklick und cut and paste in den Text bringen fertisch... Statt des URLs kommt immer dein Bild...kinderleicht und ohne diese üblen externen Links mit Zwangswerbung
P.P.S.: OpenVPN muss man auch nicht auf einem Server hinter der Firewall betreiben, denn das ist ducrh das NAT immer kontraproduktiv. Intelligenterweise bringt pfSense gleich einen OpenVPN Server mit den as an Bord hat so kann man sich das mit dem Zusatzserver sparen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
2
Ich habe das Netz zum Testen vereinfacht.
Pfsense neuinstalliert mit 1xNic 192.168.202.213 /24 für das interne Netz.
Die Wlan Karte als AccessPoint mit 192.168.205.1 /24 das Open-VPN Netz hat 10.0.8.0/24.
Der VPN Connect funktioniert über Wlan,der Client bekommt die Adresse 10.0.8.6.
Wenn ich dann auf z.B .: 192.168.202.1 zugreifen will, funktioniert dies nicht. Ein Tracert (192.168.202.1) geht auf 10.0.8.1.
Wo und wie Trage ich die Route vom 10.0.8.0 zum 192.168.202.0 Netz ein?
hier das Route Print vom Client
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.205.1 192.168.205.101 30
10.0.8.1 255.255.255.255 10.0.8.5 10.0.8.6 1
10.0.8.4 255.255.255.252 10.0.8.6 10.0.8.6 30
10.0.8.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.8.6 10.0.8.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.202.0 255.255.255.0 10.0.8.5 10.0.8.6 1
192.168.205.0 255.255.255.0 192.168.205.101 192.168.205.101 30
192.168.205.101 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.205.255 255.255.255.255 192.168.205.101 192.168.205.101 30
224.0.0.0 240.0.0.0 10.0.8.6 10.0.8.6 30
224.0.0.0 240.0.0.0 192.168.205.101 192.168.205.101 30
255.255.255.255 255.255.255.255 10.0.8.6 2 1
255.255.255.255 255.255.255.255 10.0.8.6 10.0.8.6 1
255.255.255.255 255.255.255.255 192.168.205.101 192.168.205.101 1
Standardgateway: 192.168.205.1
Ständige Routen:
Keine
OpenVpn Einstellungen
Die Tunnel Settings:
Tunnel Network 10.0.8.0/24
Local Network 192.168.202.0/24 (192.168.0.0/24 auch schon probiert)
Die Firewall Rules für hat der OpenVPN Wizard erstellt (alle * ).
**
Selbige config aber statt Wlan eine Nic mit einer PPPoe Verbindung und als locales Lan ein 172.16.1.0/16 Netz funktioniert bei mir Zuhause.
Hast du noch Tipps?
Pfsense neuinstalliert mit 1xNic 192.168.202.213 /24 für das interne Netz.
Die Wlan Karte als AccessPoint mit 192.168.205.1 /24 das Open-VPN Netz hat 10.0.8.0/24.
Der VPN Connect funktioniert über Wlan,der Client bekommt die Adresse 10.0.8.6.
Wenn ich dann auf z.B .: 192.168.202.1 zugreifen will, funktioniert dies nicht. Ein Tracert (192.168.202.1) geht auf 10.0.8.1.
Wo und wie Trage ich die Route vom 10.0.8.0 zum 192.168.202.0 Netz ein?
hier das Route Print vom Client
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.205.1 192.168.205.101 30
10.0.8.1 255.255.255.255 10.0.8.5 10.0.8.6 1
10.0.8.4 255.255.255.252 10.0.8.6 10.0.8.6 30
10.0.8.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.8.6 10.0.8.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.202.0 255.255.255.0 10.0.8.5 10.0.8.6 1
192.168.205.0 255.255.255.0 192.168.205.101 192.168.205.101 30
192.168.205.101 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.205.255 255.255.255.255 192.168.205.101 192.168.205.101 30
224.0.0.0 240.0.0.0 10.0.8.6 10.0.8.6 30
224.0.0.0 240.0.0.0 192.168.205.101 192.168.205.101 30
255.255.255.255 255.255.255.255 10.0.8.6 2 1
255.255.255.255 255.255.255.255 10.0.8.6 10.0.8.6 1
255.255.255.255 255.255.255.255 192.168.205.101 192.168.205.101 1
Standardgateway: 192.168.205.1
Ständige Routen:
Keine
OpenVpn Einstellungen
Die Tunnel Settings:
Tunnel Network 10.0.8.0/24
Local Network 192.168.202.0/24 (192.168.0.0/24 auch schon probiert)
Die Firewall Rules für hat der OpenVPN Wizard erstellt (alle * ).
**
Selbige config aber statt Wlan eine Nic mit einer PPPoe Verbindung und als locales Lan ein 172.16.1.0/16 Netz funktioniert bei mir Zuhause.
Hast du noch Tipps?
Das es nicht funktioniert liegt zu 99,9% daran das du falsche oder fehlerhafte Firewall Regeln auf der FW eingestellt hast !
Beachte das Regeln immer nur eingehend gelten und du auch auf dem virtuellen VPN Interface was OVPN erzeugt entsprechende Regeln eingibst !
Routen einzugeben ist natürlich völliger Blödsinn, denn die IP Netze die du erreichen willst sind ja an der FW selber direkt dran !!
Die FW "kennt" also ihre IP Netze da sind Routen dann logischerweise überflüssig !
Wichtiger ist das wenn du weitere interne IP Netze an der Firewall erreichen willst die im OVPN Server Setting mit "push route..." entsprechend propagierst !!
Machst du das nicht werden sie NICHT in den Tunnel geroutet sondern zum Provider wo sie versickern !
Oben kannst du ja sehen das dein lokales LAN IP Segment die .202.0 /24 sauber in den VPN Tunnel geroutet wird, das ist also korrekt !
Achte darauf das das Endgerät auf das zu zugreift auch ein Gateway eingetragen hat ! (pfSense)
Traceroute (tracert) und pathping sind hier deine Freunde. Da wo's kneift ist der Fehler !
Das der Traceroute hier an der internen 10er IP des OVPN Server hängen bleibt zeigt ganz klar das die FW Regel auf den OVPN Interface fehlt oder fehlerhaft ist !
Wichtig sind hier also die FW Regeln. Im Zeifel erlaubst du erstmal mit any any * * alles und testest um machst später Schritt für Schritt langsam dicht !
Eine Wizzard sollte man nie trauen ! Sieh dir die Regeln also explizit an !!
Denn bei den Regeln ist garantiert dein Fehler ! Siehst du ja auch daran das deine andere Installation sauber funktioniert !
Was der Hinweis mit dem PPPoE soll ist unverständlich...??!! Das hat doch mit dem ganzen Szenario rein gar nix zu tun oder was willst du uns damit sagen ?!
Beachte das Regeln immer nur eingehend gelten und du auch auf dem virtuellen VPN Interface was OVPN erzeugt entsprechende Regeln eingibst !
Routen einzugeben ist natürlich völliger Blödsinn, denn die IP Netze die du erreichen willst sind ja an der FW selber direkt dran !!
Die FW "kennt" also ihre IP Netze da sind Routen dann logischerweise überflüssig !
Wichtiger ist das wenn du weitere interne IP Netze an der Firewall erreichen willst die im OVPN Server Setting mit "push route..." entsprechend propagierst !!
Machst du das nicht werden sie NICHT in den Tunnel geroutet sondern zum Provider wo sie versickern !
Oben kannst du ja sehen das dein lokales LAN IP Segment die .202.0 /24 sauber in den VPN Tunnel geroutet wird, das ist also korrekt !
Achte darauf das das Endgerät auf das zu zugreift auch ein Gateway eingetragen hat ! (pfSense)
Traceroute (tracert) und pathping sind hier deine Freunde. Da wo's kneift ist der Fehler !
Das der Traceroute hier an der internen 10er IP des OVPN Server hängen bleibt zeigt ganz klar das die FW Regel auf den OVPN Interface fehlt oder fehlerhaft ist !
Wichtig sind hier also die FW Regeln. Im Zeifel erlaubst du erstmal mit any any * * alles und testest um machst später Schritt für Schritt langsam dicht !
Eine Wizzard sollte man nie trauen ! Sieh dir die Regeln also explizit an !!
Denn bei den Regeln ist garantiert dein Fehler ! Siehst du ja auch daran das deine andere Installation sauber funktioniert !
Was der Hinweis mit dem PPPoE soll ist unverständlich...??!! Das hat doch mit dem ganzen Szenario rein gar nix zu tun oder was willst du uns damit sagen ?!
Hi nixwissen,
Eventuell noch push "route 192.168.202.0 255.255.255.0" im Openvpn-Server um das LAN vom remoten Client komplett erreichbar zu machen.
Gruß orcape
Wo und wie Trage ich die Route vom 10.0.8.0 zum 192.168.202.0 Netz > ein?
Da gibt es nur den Rules-Eintrag unter dem Reiter Openvpn mit Destination LAN. Den Rest macht pfSense automatisch.Eventuell noch push "route 192.168.202.0 255.255.255.0" im Openvpn-Server um das LAN vom remoten Client komplett erreichbar zu machen.
Gruß orcape
