5
Vom Internet mit Openvpn zuerst durch Mikrotik Router dann durch PFSense ins LAN - möglich?
Hallo Netzwerkfreaks 
ich kümmere mich netzwerkmäßig um ein Studentenwohnheim. Die User können dort problemlos surfen. Jetzt möchte ich in Notfällen von zuhause auf das Netz zugreifen können. Die Anbindung sieht folgendermaßen aus:
via SPDYN-DNS auf DSL-Anschluss->DSL-Modem (Thomson)->Mikrotik Router (RB1100AHx2)->PFSense->LAN
Dank SPDNS komme ich problemlos auf das Webinterface des Routers. Auf dem Thomson Modem sind alle Ports offen. Der Mikrotik hat WAN-seitig noch seine Standart-FW-Regeln. Das gleiche gilt für die PFSense. Die PFSense benutze ich nur als transparenten Proxyserver.
Wenn eben möglich, würde ich den Openvpn Server auf der PFSense installieren.
Hierzu hätte ich vier Fragen:
1. kann ich per Openvpn von Zuhause durch den Router und durch die PFSense in das LAN gelangen um dort nachgeschaltete Router zu administieren?
2. Muss ich unbedingt Port-Forwarding auf dem Router und der PFSense aktivieren oder wird die VPN Verbindung auch so durchgeleitet.
3. Falls ich Port-Forwarding aktivieren muss, muss ich das auf allen 4 Interfaces (2 * LAN und 2* WAN) machen.
4. Würde die Port-Weiterschaltung ein großes Sicherheitsproblem darstellen?
Schonmal ein großes Dankeschön für das Lesen und ein noch größeres für die Antworten.
Gruß Dachgeschoss
ich kümmere mich netzwerkmäßig um ein Studentenwohnheim. Die User können dort problemlos surfen. Jetzt möchte ich in Notfällen von zuhause auf das Netz zugreifen können. Die Anbindung sieht folgendermaßen aus:
via SPDYN-DNS auf DSL-Anschluss->DSL-Modem (Thomson)->Mikrotik Router (RB1100AHx2)->PFSense->LAN
Dank SPDNS komme ich problemlos auf das Webinterface des Routers. Auf dem Thomson Modem sind alle Ports offen. Der Mikrotik hat WAN-seitig noch seine Standart-FW-Regeln. Das gleiche gilt für die PFSense. Die PFSense benutze ich nur als transparenten Proxyserver.
Wenn eben möglich, würde ich den Openvpn Server auf der PFSense installieren.
Hierzu hätte ich vier Fragen:
1. kann ich per Openvpn von Zuhause durch den Router und durch die PFSense in das LAN gelangen um dort nachgeschaltete Router zu administieren?
2. Muss ich unbedingt Port-Forwarding auf dem Router und der PFSense aktivieren oder wird die VPN Verbindung auch so durchgeleitet.
3. Falls ich Port-Forwarding aktivieren muss, muss ich das auf allen 4 Interfaces (2 * LAN und 2* WAN) machen.
4. Würde die Port-Weiterschaltung ein großes Sicherheitsproblem darstellen?
Schonmal ein großes Dankeschön für das Lesen und ein noch größeres für die Antworten.
Gruß Dachgeschoss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 267810
Url: https://administrator.de/contentid/267810
Printed on: April 24, 2024 at 23:04 o'clock
5 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @dachgeschoss:
Wenn eben möglich, würde ich den Openvpn Server auf der PFSense installieren.
Und, was hindert dich?Wenn eben möglich, würde ich den Openvpn Server auf der PFSense installieren.
1. kann ich per Openvpn von Zuhause durch den Router und durch die PFSense in das LAN gelangen um dort nachgeschaltete Router zu administieren?
Ja.2. Muss ich unbedingt Port-Forwarding auf dem Router
Jaund der PFSense aktivieren
Nicht wenn die dein VPN Server darstellt, sonst zum VPN Server selbstverständlich schon eine Weiterleitung nötigoder wird die VPN Verbindung auch so durchgeleitet.
Wäre tragisch wenn jede Firewall das so ungeniert durchwinken würde, oder?3. Falls ich Port-Forwarding aktivieren muss, muss ich das auf allen 4 Interfaces (2 * LAN und 2* WAN) machen.
Nur auf den wo es benötigt wird. WAN und das LAN zur PFSense.4. Würde die Port-Weiterschaltung ein großes Sicherheitsproblem darstellen?
Ohne wird es nicht gehen, oder? Aber du musst jetzt abwiegen - Wasser trinken oder Verdursten...Gruß,
Peter
Wahnsinn das war schnell!!!!
Vielen Dank Peter!
Ich habe versucht auf der PFSense WAN-seitig das Webgui aufzurufen. Dies geht (natürlich) aus Sicherheitsgründen nicht. Muss ich, zuerst das WAN - Interface "freischalten", bevor ich die Port-Weiterleitung setzen kann?
Dachgeschoss
Vielen Dank Peter!
Ich habe versucht auf der PFSense WAN-seitig das Webgui aufzurufen. Dies geht (natürlich) aus Sicherheitsgründen nicht. Muss ich, zuerst das WAN - Interface "freischalten", bevor ich die Port-Weiterleitung setzen kann?
Dachgeschoss
Hallo,
Willst du das dort (WAN) wirklich? Du kommst doch von innerhalb deines Netzes auf deine PFSense drauf, oder?
Gruß,
Peter
Willst du das dort (WAN) wirklich? Du kommst doch von innerhalb deines Netzes auf deine PFSense drauf, oder?
Dies geht (natürlich) aus Sicherheitsgründen nicht.
Dann versuch es doch gar nicht WAN - Interface "freischalten"
?!?bevor ich die Port-Weiterleitung setzen kann?
Wenn deine PFSense dein VPN Server darstellt, sollte der VPN Server dann doch auf den WAN Port lauschen dürfen, oder? Braucht es dazu Portweiterleitung? nein. Wenn dein VPN Server auf irgendein anderes Blech hinter (aus Richtung Internet gesehen) an dein LAN Port hängt, wird eine Portweiterleitung nötig, oder etwa nicht? Es stellt also für dich die frage welche VPN Server Software nutze ich, wo ist die Installiert, wie richte ich die ein und was meine Firewall (PFSense) damit zu tun. Du hast uns oben gesagt du willst ein OpenVPN auf deine PFSense pappen.....und das du dort der Admin bist .... und somit Zugang zur Konfiguration deiner PFSense hast.... wie immer du es dir dort eingerichtet hast (Telnet, SSH...) .....Gruß,
Peter
Hallo Peter,
wenn ich dich richtig verstanden habe sollte es so funktionieren:
auf PFsense ist der Openvpn Server installiert.
1. auf dem Router: Port-Forwarding (LAN-seitig) zur PFSense
2. auf der PFSense: Port-Forwarding zum LAN nicht zum WAN. WAN seitig macht dies der instalierte VPN-Server.
Der Openvpn Server läßt sich leicht nachinstallieren. Für die Clients gibt es dann noch leichter erstellbare (Export) Certifikate.
Danke und Gruß,
Dachgeschoß
wenn ich dich richtig verstanden habe sollte es so funktionieren:
auf PFsense ist der Openvpn Server installiert.
1. auf dem Router: Port-Forwarding (LAN-seitig) zur PFSense
2. auf der PFSense: Port-Forwarding zum LAN nicht zum WAN. WAN seitig macht dies der instalierte VPN-Server.
Der Openvpn Server läßt sich leicht nachinstallieren. Für die Clients gibt es dann noch leichter erstellbare (Export) Certifikate.
Danke und Gruß,
Dachgeschoß
Hallo,
OK.
Gruß,
Peter
OK.
1. auf dem Router: Port-Forwarding (LAN-seitig) zur PFSense
Auf dein Mikrotik oder? MT an PFSense...2. auf der PFSense: Port-Forwarding zum LAN nicht zum WAN. WAN seitig macht dies der instalierte VPN-Server.
Warum das denn? Was soll das bei dir werden? Warum ein weiteres Portforwarding?Gruß,
Peter
