Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense Zugriff vom LAN zu den verbundenen openVPN Clients

Frage Linux

Mitglied: iceget

iceget (Level 2) - Jetzt verbinden

08.10.2014, aktualisiert 19:47 Uhr, 2815 Aufrufe, 10 Kommentare

Hallo liebe Community,

folgendes Problem:

Hier einmal die Übersicht über mein Netzwerk & Einstellungen in pfSense:
9a8ac995ebe633cf0b9104aed5fab321 - Klicke auf das Bild, um es zu vergrößern

Mein Netzwerk sieht wie folgt aus:

192.168.0.10 = Windows 7 Client
192.168.0.250 = pfSense WAN
192.168.0.254 = Gateway

10.0.9.6 = Windows 7 Client EXT

Der Port 1194 UDP wurde am Gateway auf die 192.168.0.250 weitergeleitet.

- Verbindung von Windows 7 Client EXT zur pfSense funktioniert.
- Ich kann auch das Gateway (192.168.0.254) und den Windows 7 Client (192.168.0.10) pingen, alles okay.
- von pfSense kann ich ohne Probleme auf den externen Windows 7 Client EXT zugreifen


Was ich nicht kann (und genau da stehe ich an):
Ich müsste vom LAN (alle Geräte die den 192.168.0.254 als Gateway eingetragen haben) auf die 10.0.9.6 (Windows 7 Client EXT) zugreifen.

Wie mache ich das? Was mache ich falsch? Route ist auch bereits gesetzt...

Meine Firewall ist ALLOW * FROM * bei LAN, WAN sowieo OPENVPN eingestellt!

Und meine zweite Frage:
Kann ich meinen externen Clients auch statische IP-Adressen zuweisen?

z.B.Windows 7 Client EXT 1 = 10.0.9.10
Windows 7 Client EXT 2 = 10.0.9.11
Windows 7 Client EXT 3 = 10.0.9.12

Könnt ihr mir helfen?

Vielen Dank schon mal im vorhinein.

lg Iceget
Mitglied: aqui
08.10.2014, aktualisiert um 19:18 Uhr
Leider etwas oberflächlich
Folgende Fragen bleiben offen:
  • Erstmal: Das ist ein Laboraufbau, richtig ? Denn private 10er und 192.168er RFC 1918 IPs werden im wahren Internet NICHT geroutet da es private IP Netze sind was dir hoffentlich klar ist ?!
  • Ist deine pfSense OVPN Server für den externen 10er Client wie es in diesem_Tutorial beschrieben ist ?
  • Wenn ja hast du am WAN Port der pfSense die Default Regel "Block RFC 1918 private IP networks" durch Entfernen des Hakens deaktiviert ???
  • Zusätzlich musst du in den FW Rules am WAN Port einen Regel konfigurieren die Zugriff von any mit Destination Port UDP 1194 auf "WAN Port address" erlaubt (Pass) !
  • Der 10.0.9.6 (Windows 7 Client EXT) ist das der OVPN Client der sich in die pfSense einwählt ??
  • Wenn ja: a.) wird der VPN Tunnel sauber aufgebaut ? (OVPN Log) b.) Hast du eine entsprechende Firewall regel erstellt die den Zugriff aus dem 192.168.0er netz in das interne OVPN IP Netz erlaubt. Die IP Adresse auf dem virtuellen OVPN Client ist die die in der server.conf Datein von OVPN mit server a.b.c.d konfiguriert wird ? Siehe Tutorial oben !!
Kann ich meinen externen Clients auch statische IP-Adressen zuweisen?
Wie meinst du das auf dem OVPN Tunnelinterface oder auf dem physischen Interface ?? Da ist deine Frage nicht eindeutig.
Diese offenen Dinge solltest du erstmal technisch klären.
Dein Bild ist ebenso total irreführend, denn der z.B. der "LAN Win7 Clint" hat sowohl ein Bein ins LAN Netz .10.0 /24 als auch ins Gateway Netz mit der .0.0 /24 was so niemals geht. Oder ist dem wirklich so ?
So oder so sind die wahren Kommunikationsbeziehungen ziemlich verwirrend und eine zielführende Hilfe damit nicht gerade einfach
Bitte warten ..
Mitglied: iceget
09.10.2014, aktualisiert um 08:28 Uhr
Hallo Aqui,

danke für deine Antwort:

Erstmal: Das ist ein Laboraufbau, richtig ? Denn private 10er und 192.168er RFC 1918 IPs werden im wahren Internet NICHT geroutet da es private IP Netze sind was dir hoffentlich klar ist ?!:
Mit der IP 10.0.9.6 vom Win 7 Ext Client meine ich die IP-Adresse die der Client vom openVPN Server zugewiesen bekommt. Der Windows 7 Client EXT hat ein normales 3 G Modem (mit irgendeiner offiziellen IP-Adresse).

Ist deine pfSense OVPN Server für den externen 10er Client wie es in diesem_Tutorial beschrieben ist?:
Genau, die Einwahl funktioniert auch ohne Probleme. Ich kann das gesamte 192.168.0.X er Netzwerk vom Client aus erreichen (nachdem er die Verbindung ordentlich aufgebaut hat). Vom OVPN Server kann ich ohne Probleme auf den externen Windows 7 Client zugreifen (alle Ports), nur eben vom LAN nicht, das ist das was ich erreichen möchte (alle Verbundenen OVPN Clients möchte ich vom LAN aus zugänglich machen).

Zusätzlich musst du in den FW Rules am WAN Port einen Regel konfigurieren die Zugriff von any mit Destination Port UDP 1194 auf "WAN Port address" erlaubt (Pass)!:
In meinem Post steht doch "Meine Firewall ist ALLOW * FROM * bei LAN, WAN sowieo OPENVPN eingestellt!". Also ja, Verbindung vom W7 EXT Client zum OVPN Server funktioniert.

Der 10.0.9.6 (Windows 7 Client EXT) ist das der OVPN Client der sich in die pfSense einwählt ??:
Genau, jedoch ist die 10.0.9.6 schon die IP die von OVPN zugewiesen wurde (der Client selbst hat irgendeine offizielle vom 3 G Modem).

Wenn ja: a.) wird der VPN Tunnel sauber aufgebaut ? (OVPN Log) b.) Hast du eine entsprechende Firewall regel erstellt die den Zugriff aus dem 192.168.0er netz in das interne OVPN IP Netz erlaubt. Die IP Adresse auf dem virtuellen OVPN Client ist die die in der server.conf Datein von OVPN mit server a.b.c.d konfiguriert wird ? Siehe Tutorial oben !!:
Ja der Tunnel wird sauber aufgebaut. Auch die Firewall habe ich (wie gesagt) so konfiguriert:
Meine Firewall ist ALLOW * FROM * bei LAN, WAN sowieo OPENVPN eingestellt!

Danke
Bitte warten ..
Mitglied: aqui
09.10.2014 um 09:22 Uhr
OK, das bringt Klarheit in die Sache..
Fakt ist also:
  • OVPN Einwahl vom Client funktioniert fehlerlos
  • Du kannst vom Client sämtliche Endgeräte im lokalen LAN erreichen
  • Vom OVPN Server klappt der Client Zugriff problemlos
Das du dann von den LAN Clients nicht auf den OVPN Client zugreifen kannst ist einzig und allein dann eine Problematik der Windows lokalen Firewall bzw. das du auf dem virtuellen FW Adapter ein falsches Firewall Profil nutzt !
Das zeigt das Verhalten ganz deutlich, denn der OVPN Server selber nutzt als Absender IP eine 10.0.9.x IP Adresse die passieren darf, deshalb klappt da der Zugriff !
Die LAN Clients nutzen aber eine 192.168.10.x IP Adresse des lokalen LANs und für die lokale Client Firewall ist das ein Fremdnetz wovon sie dann wie bei Windows Firewalls so üblich alles blockt !
Durch das fehlende Routing identifiziert Winblows das FW profil dann als "nicht identifiziertes Netzwerk" in der FW und blockt alles.
Du musst also schlicht und einfach nur den Traffic aus dem 192.168.10.0 /24 Netz dort passieren lassen und dann kommt das sofort zum Fliegen.
Vielleicht hilft dir das dazu:
http://asktheoracle.com/blog/how-to-make-openvpn-work-with-the-windows- ...
http://www.carecom.de/de/blog/hm/blog/openvpn-unter-windows-mit-firewal ...
Meine Firewall ist ALLOW * FROM * bei LAN, WAN sowieo OPENVPN eingestellt!
Das ist natürlich böse und fahrlässig, denn damit hast du die Firewall komplett deaktiviert.
Zum Testen ist das absolut OK aber später solltest du zur eigenen Sicherheit das dringenst wieder einengen auf die Netze die du auch damit wirklich bedienst !!!
Bitte warten ..
Mitglied: iceget
09.10.2014, aktualisiert um 09:33 Uhr
Zitat von aqui:

OK, das bringt Klarheit in die Sache..
Fakt ist also:
  • OVPN Einwahl vom Client funktioniert fehlerlos
  • Du kannst vom Client sämtliche Endgeräte im lokalen LAN erreichen
  • Vom OVPN Server klappt der Client Zugriff problemlos
Das du dann von den LAN Clients nicht auf den OVPN Client zugreifen kannst ist einzig und allein dann eine Problematik der Windows
lokalen Firewall bzw. das du auf dem virtuellen FW Adapter ein falsches Firewall Profil nutzt !
Das zeigt das Verhalten ganz deutlich, denn der OVPN Server selber nutzt als Absender IP eine 10.0.9.x IP Adresse die passieren
darf, deshalb klappt da der Zugriff !
Die LAN Clients nutzen aber eine 192.168.10.x IP Adresse des lokalen LANs und für die lokale Client Firewall ist das ein
Fremdnetz wovon sie dann wie bei Windows Firewalls so üblich alles blockt !
Durch das fehlende Routing identifiziert Winblows das FW profil dann als "nicht identifiziertes Netzwerk" in der FW und
blockt alles.
Du musst also schlicht und einfach nur den Traffic aus dem 192.168.10.0 /24 Netz dort passieren lassen und dann kommt das sofort
zum Fliegen.
Vielleicht hilft dir das dazu:
http://asktheoracle.com/blog/how-to-make-openvpn-work-with-the-windows- ...
http://www.carecom.de/de/blog/hm/blog/openvpn-unter-windows-mit-firewal ...
> Meine Firewall ist ALLOW * FROM * bei LAN, WAN sowieo OPENVPN eingestellt!
Das ist natürlich böse und fahrlässig, denn damit hast du die Firewall komplett deaktiviert.
Zum Testen ist das absolut OK aber später solltest du zur eigenen Sicherheit das dringenst wieder einengen auf die Netze die
du auch damit wirklich bedienst !!!
Hallo Aqui,

danke für deine Antwort!

Naja, da eigentlich die Hauptfirewall & Router die 192.168.0.254 ist, und nur der Port 1194 UDP auf die 192.168.0.250 (pfSense) weitergeleitet wird,
sehe ich nicht das dies fahrlässig ist (da ja der 192.168.0.254 die "echte" Firewall ist). pfSense verwende ich eigentlich nur für openVPN.

Ich hab etwas an den Einstellungen von pfSense rumgespielt, und habe es jetzt wenigstens erreicht das ich vom LAN den VPN-Client (in diesem Fall 10.0.9.6) pingen kann. Leider kann ich noch nicht auf den PC zugreifen (Ports sind irgendwie blockiert)...

Das mit der Windows Firewall habe ich mir auch schon gedacht, und diese deaktiviert. Was kann ich da noch dagegen tun?

Achja, es ist egal ob ich die Windows Firewall deaktiviere oder nicht, der Ping geht immer durch...
Bitte warten ..
Mitglied: aqui
09.10.2014 um 09:51 Uhr
sehe ich nicht das dies fahrlässig ist (da ja der 192.168.0.254 die "echte" Firewall ist)
Oben schreibst du aber das das "nur" ein Router ist ! Ja was denn nun...Router ist keine Firewall wie jeder weiss. Bei einer simplen Router Kaskade ist das nicht wirklich sicher.
Aber egal...weisst du sicher alles selber. Security ist deine eigene Sache musst du selber beurteilen....
Ich hab etwas an den Einstellungen von pfSense rumgespielt, und habe es jetzt wenigstens erreicht das ich vom LAN den VPN-Client (in diesem Fall 10.0.9.6) pingen kann
"Rumgespielt" ist gut. Klingt einbischen danach als ob du ohne wirkliches Wissen frei nach "Trial & Error" blind rumklickst bis es geht...keine gute Idee...
Das sollte, wie schon gesagt, nicht an den pfSense Settings liegen, denn einseitig ging das ja schon. Kann nur noch die Win Firewall sein !
Du hast also irgendwie nur ICMP (Ping) erlaubt aber nicht alle anderen Dienste wie SMB/CIFS Sharing oder was auch immer du da nutzen willst auf dem Client ?!
Achja, es ist egal ob ich die Windows Firewall deaktiviere oder nicht, der Ping geht immer durch...
Daran kannst du schon sehen das irgendwas mit deiner FW nicht stimmt oder das ICMP für alle Profile dort erlaubt ist.
Letzteres würde bedeuten das du schon einmal in der Firewall rumgepfuscht hast ?!
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Bitte warten ..
Mitglied: iceget
09.10.2014 um 09:59 Uhr
Zitat von aqui:

> sehe ich nicht das dies fahrlässig ist (da ja der 192.168.0.254 die "echte" Firewall ist)
Oben schreibst du aber das das "nur" ein Router ist ! Ja was denn nun...Router ist keine Firewall wie jeder weiss. Bei
einer simplen Router Kaskade ist das nicht wirklich sicher.
Aber egal...weisst du sicher alles selber. Security ist deine eigene Sache musst du selber beurteilen....
> Ich hab etwas an den Einstellungen von pfSense rumgespielt, und habe es jetzt wenigstens erreicht das ich vom LAN den
VPN-Client (in diesem Fall 10.0.9.6) pingen kann
"Rumgespielt" ist gut. Klingt einbischen danach als ob du ohne wirkliches Wissen frei nach "Trial &
Error" blind rumklickst bis es geht...keine gute Idee...
Das sollte, wie schon gesagt, nicht an den pfSense Settings liegen, denn einseitig ging das ja schon. Kann nur noch die Win
Firewall sein !
Du hast also irgendwie nur ICMP (Ping) erlaubt aber nicht alle anderen Dienste wie SMB/CIFS Sharing oder was auch immer du da
nutzen willst auf dem Client ?!
> Achja, es ist egal ob ich die Windows Firewall deaktiviere oder nicht, der Ping geht immer durch...
Daran kannst du schon sehen das irgendwas mit deiner FW nicht stimmt oder das ICMP für alle Profile dort erlaubt ist.
Letzteres würde bedeuten das du schon einmal in der Firewall rumgepfuscht hast ?!
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Hallo,

die Settings sind nun 1:1 gleich wie in meinem Screenshot. Habe nur leider vorher die pfSense nicht neu gestartet. Seit ich die pfSense neu gestartet habe, funktioniert der Ping einwandfrei...

Wenn ich die Windows Firewall beende (Windows Firewall ein oder ausschalten), funktioniert der Ping weiter. Sobald ich jedoch den Dienst Windows Firewall beende bekomme ich eine Zeit Überschreitung zurück...

192.168.0.254 = eine Firewall (der Router steht dahinter). Leider habe ich auf Router / Firewall keinen Zugriff (ist ein "Managed-Network").

Danke und lg
Bitte warten ..
Mitglied: aqui
09.10.2014, aktualisiert um 10:18 Uhr
Sobald ich jedoch den Dienst Windows Firewall beende bekomme ich eine Zeit Überschreitung zurück...
Das wäre dann quasi eine inverse Firewall...da ist irgendwas oberfaul. Kann ja niemals sein wenn man den gesamten Firewall Prozess killt das dann die Firewall mit einmal funktioniert.
Das da was nicht stimmt sagt einem schon der gesunde Menschenverstand. Hast du da zufällig noch zusätzlich so ein Security Müll wie Norton, Kaspersky und Co drauf ?!
Dort am Client liegt mit an Sicherheit grenzender Wahrscheinlichkeit dein Problem !
Leider habe ich auf Router / Firewall keinen Zugriff (ist ein "Managed-Network").
Oho...!!! und dann solche Aussagen wie "...sehe ich nicht das dies fahrlässig ist (da ja der 192.168.0.254 die "echte" Firewall ist)..." wo du also quasi völlig blind bist was vor deiner eigenen FW passiert ?!
Na ja...du weisst ja was du tust wenn du so sicher bist...no comment !
Bitte warten ..
Mitglied: iceget
09.10.2014, aktualisiert um 14:57 Uhr
Hi,

jetzt hab ich endlich den Fehler gefunden...


Wenn ich von pfSense (Shell) auf den FTP-Server zugreifen möchte, kommt pfSense mit der IP 10.0.9.1 daher.
Wenn ich mich jedoch mit eine Client vom LAN auf die 10.0.9.6 verbinden möchte (FTP), komme ich mit der IP Adresse 192.168.0.X (LAN IP Adresse vom Client daher)...

Also typisch ein NAT Problem... Wie kann ich das lösen? Outbound nat?

Danke.

Hier ein Auszug vom Filezilla FTP Server Log:

Verbindung von pfSense zur Tunnel IP vom Client (10.0.9.6)
(000017)09.10.2014 14:52:46 - (not logged in) (10.0.9.1)> Connected on port 21, sending welcome message...
(000017)09.10.2014 14:53:46 - (not logged in) (10.0.9.1)> 421 Login time exceeded. Closing control connection.
(000017)09.10.2014 14:53:46 - (not logged in) (10.0.9.1)> disconnected.

Verbindung vom LAN-Client zur Tunnel IP vom CLient (10.0.9.6):
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> Connected on port 21, sending welcome message...
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> 220-FileZilla Server version 0.9.47 beta
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> could not send reply, disconnected.
Bitte warten ..
Mitglied: iceget
10.10.2014 um 20:44 Uhr
Zitat von iceget:

Hi,

jetzt hab ich endlich den Fehler gefunden...


Wenn ich von pfSense (Shell) auf den FTP-Server zugreifen möchte, kommt pfSense mit der IP 10.0.9.1 daher.
Wenn ich mich jedoch mit eine Client vom LAN auf die 10.0.9.6 verbinden möchte (FTP), komme ich mit der IP Adresse
192.168.0.X (LAN IP Adresse vom Client daher)...

Also typisch ein NAT Problem... Wie kann ich das lösen? Outbound nat?

Danke.

Hier ein Auszug vom Filezilla FTP Server Log:

Verbindung von pfSense zur Tunnel IP vom Client (10.0.9.6)
(000017)09.10.2014 14:52:46 - (not logged in) (10.0.9.1)> Connected on port 21, sending welcome message...
(000017)09.10.2014 14:53:46 - (not logged in) (10.0.9.1)> 421 Login time exceeded. Closing control connection.
(000017)09.10.2014 14:53:46 - (not logged in) (10.0.9.1)> disconnected.

Verbindung vom LAN-Client zur Tunnel IP vom CLient (10.0.9.6):
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> Connected on port 21, sending welcome message...
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> 220-FileZilla Server version 0.9.47 beta
(000018)09.10.2014 14:57:13 - (not logged in) (192.168.0.62)> could not send reply, disconnected.

So problem gefunden...

Die Route die am 192.168.0.254 gesetzt wurde (10.0.9.0/24 -> 192.168.0.250) hat (warum auch immer) den TCP (sequence number) geändert.
Somit hat der Remote Client ein "reset package" zurück gesendet (da er mit der falschen sequence number nichts anfangen konnte.)

Route statisch am Client im LAN gesetzt, perfekt. Alle probleme gelöst..

Anmerkung: der ICMP (Ping) hat funktioniert weil dieser keine 3-Fach-TCP-ACK, ACKs... benötigt.

Lg
Bitte warten ..
Mitglied: aqui
20.10.2014 um 19:46 Uhr
Die Route die am 192.168.0.254 gesetzt wurde (10.0.9.0/24 -> 192.168.0.250) hat (warum auch immer) den TCP (sequence number) geändert.
Sorry aber das ist technischer Unsinn wie jeder netzwerker weiss ! Kann niemals sein und darf natürlich auch nicht. Das muss etwas anderes gewesen sein !
Routen soll auch niemals der Client sondern IMMER der Router, deshalb heisst er ja auch so.
Da ist bei dir also immer noch irgendwo ein Wurm versteckt. aber wenns mit dem übelne Workaround so geht ist ja erstmal gut....lassen solltest du es nicht so und rausfinden wo der wirkliche Fehler ist !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Router & Routing
gelöst OpenVPN Server - Kein Zugriff auf Server LAN (2)

Frage von PeterH96 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Fritzbox 7490 - WLAN Geräte zugriff auf LAN Kamera hinter SONICWALL (25)

Frage von GoriBoy zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...