angrydad
Goto Top

HA PFSense mit Site to Site VPN, Domain nicht erreichbar

Hallo zusammen!

Ich habe wieder mal ein spezial Problem.

Meine 2 Standorte:

Zuhause:
Firewall PFSense, mit laufendem VPN Client.
Dieser VPN Client verbindet sich zum Datacenter und Routet via Outbound NAT Regel
den ganzen im LAN erzeugten Traffic durch den Tunnel. (Ja das ist so gewollt)

Datacenter:
Firewall 2x PFSense als high availability aufgebaut.
Diese Stellen den Site to Site VPN Server.
Hinter diesem PFSense Cluster sind auch alle Server, WebServer, Mailserver usw.

Soweit funktioniert alles Prima.
Verbindungen und Ping sind in beide Richtungen durch den Tunnel möglich.

Allerdings kann ich von zuhause zwar meine Domain auflösen mich aber nicht zu dieser verbinden.

Hat jemand eine Ahnung an was das Liegen könnte?

besten Dank!!

MfG.

Content-ID: 664918

Url: https://administrator.de/contentid/664918

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

aqui
aqui 19.03.2021 um 22:00:53 Uhr
Goto Top
Recht oberflächliche und magere Beschreibung. Nicht einmal zur Nennung des verwendeten VPN Protokolls hat es gereicht was eine zielführende Hilfe fast unmöglich macht. face-sad
Auch was sich hinter der Formulierung..."mit einer Domain verbinden" verbirgt bleibt leider wirr und unklar. Verbinden kann man sich nur mit einer IP Adresse niemals aber mit einer Domain an sich. Was also ist hier gemeint ?? Du kannst lokale Domainnamen nicht in IP Adressen auflösen ??
Ein Output einer nslookup Abfrage wäre hier hilfreich gewesen aber auch dazu nada... face-sad
Sehr wahrschienlich eine falsche oder fehlerhafte DNS Konfiguration. Wenns denn das DNS ist was gemeitn ist ?! Aber das nur im freien Fall geraten. Mal wieder ein typischer Freitagsthread.... face-sad
AngryDad
AngryDad 19.03.2021 aktualisiert um 22:26:48 Uhr
Goto Top
Servus aqui.

Leider habe ich derzeit keine Ahnung in welche Richtung ich den Fehler suchen soll.
Daher die Mageren angaben, würde ich die Komplette Umgebung skizzieren bliebe nichts mehr vom Wochenende.

Aber zu deinen "Fragen".

Verwendet wird OpenVPN SitetoSite shared Key UDP.

Ja sorry Domain verbinden war schlecht ausgedrückt.
Im Clientnetz kann ich die Domain auflösen, allerdings nicht zur aufgelösten IP verbinden.
Lokale Hostnamen kann ich auflösen, aber keine Hostnamen durch den Tunnel.
Sind aber auch 2 verschiedene DNS Server - - daher soweit klar.

Grundsätzlich tippe ich eher auf ein Routing Problem.

Nochmal, ich hoffe ein wenig, verständlicher:

Ich sitze vor einem Windows 10 PC der bei mir zuhause in einem Lokalen Netzwerk hängt.
Als Router ins WAN wird eine PFSense verwendet.
Diese PFSense ist gleichzeitig als VPN Client konfiguriert und verbindet sich mit einem PFSense Cluster (VPN Server) in einem Datacenter.
Von zuhause aus kann ich z.B. Virtuelle Maschinen im Datacenter Pingen und mich mit deren LAN Ip verbinden.

Ebenso wenn ich mich auf einer Windows VM im Datacenter anmelde, kann ich LAN IP Adressen von mir zuhause erreichen und mich verbinden.

Des weiteren gibt es in diesem Datacenter auf der PFSense einen HAProxy welcher anfragen von WAN auf die dazugehörigen Webserver oder andere Dienste weiter leitet.

Dies funktioniert soweit alles ohne Probleme.

Lediglich aus meinem Client Netz zuhause, wenn ich einen Browser öffne und eine Domain vom Webserver, hinter HAProxy im Datacenter erreichen will bekomme ich keine Antwort.

Ich kann die Domain zwar zur öffentlichen IP Adresse auflösen aber mich nicht zu dieser IP Adresse verbinden.

Von allen anderen Clients welche nicht über VPN zum Datacenter verbunden sind ist die Funktionalität des HAProxys und der Webserver aber gegeben.

MfG.
AngryDad
AngryDad 20.03.2021 um 00:14:44 Uhr
Goto Top
Falls jemand ein ähnliches Problem hat.

Lösung ist hier:

Forum Netgate
HansDampf06
HansDampf06 20.03.2021 um 00:27:26 Uhr
Goto Top
Hallo,

jetzt warst Du einen Moment schneller als ich. Dennoch will ich noch meinen "Senf" ergänzen:

Neben dem von @aqui vermuteten DNS-Problem offenbart Deine Fehlerbeschreibung eine typische Fehlerlage bei VPN mit Splitt-Tunneling. So letztlich ja auch der Kern der Lösung in dem von Dir genannten Link. Hilfreich kann hier übrigens zur Analyse der Befehl route print sein. Über diesen Befehl lassen sich für den Fall der Fälle ständige Routen erstellen die über den Metric-Parameter priorisiert werden können.

Viele Grüße
HansDampf06