looser27
Goto Top

HomeAssistant und OpenVPN

Guten Tag,

ich bastel zuhause an einer kleinen SmartHome-Lösung mit HomeAssistant.
Jetzt möchte ich die Lösung gerne nur über mein OpenVPN von aussen erreichen können.

Und genau hier sehe ich gerade den Wald vor lauter Bäumen nicht mehr:

Richte ich auf der pfSense eine Portweiterleitung ein auf die Webseite des HomeAssistant, rennt das sofort.
Versuche ich aber über VPN auf die Webseite zu kommen, so bekomme ich keine Verbindung.

Für das OpenVPN habe ich aktuell eine any-any Regel ohne Einschränkungen....auf eine zweite Webseite im Netz funktioniert das auch (die HP der pfsense).

Hat das jemand von Euch im Einsatz und hier einen Lösungsansatz für mich?

Gruß

Looser

Content-ID: 63882340190

Url: https://administrator.de/contentid/63882340190

Ausgedruckt am: 19.12.2024 um 04:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 16.08.2024 um 15:07:01 Uhr
Goto Top
Moin,

hast wie schaut die FW Regel auf dem OVPN Internface aus?
Hat dein HomeAssistant auch ein Gateway?

Gruß
Spirit
Looser27
Looser27 16.08.2024 um 16:00:08 Uhr
Goto Top
Hi,

Der HoneAssistant läuft als VM auf nem ESXi. In der pfsense sind keine Regeln ausser einer any-any Regel. Zugriff auf andere Komponenten in den unterschiedlichen VLANs klappt auch. Nur der HA zickt rum.

Gruß Looser
aqui
aqui 16.08.2024 aktualisiert um 16:28:07 Uhr
Goto Top
Das OpenVPN Tutorial mit den weiterführenden Links hast du zu der Thematik gelesen und entsprechend umgesetzt in deinem Setup?!

Wichtig ist das der VM Host über das Diagnostics Menü der pfSense pingbar ist! Idealerweise indem man die Source IP auf das entsprechende LAN Interface setzt!
Versteht man dich richtig ist die pfSense der OpenVPN Responder also der Server, richtig?
Wenn ja wäre noch wichtig zu wissen ob du die pfSense direkt am Internet hast mit einem NUR Modem oder ob du eine Router Kaskade mit einem NAT Router davor betreibst??
Port Forwarding (UDP 1194) ist nur in einer Router Kaskade erforderlich. Dort muss dann auch das im Default aktive RFC 1918 Blocking am WAN deaktiviert sein.
Was aber immer im WAN Port Regelwerk erforderlich ist ist eine Regel die von Source any auf die Destination WAN IP address und Destination Port UDP 1194 den Traffic erlaubt.
Leider fehlen hier entsprechende Screenshots deines Setups. face-sad

Letztendlich solltest du dich ernsthaft fragen ob du überhaupt noch das etwas in die Jahre gekommene und wenig skalierende OVPN verwenden willst wo dir die pfSense 2 deutlich bessere VPN Alternativen mit den bordeigenen VPN Clients bietet die dann auch noch die überflüssige Frickelei mit externer VPN Clientsoftware obsolet macht.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Looser27
Looser27 16.08.2024 um 18:44:51 Uhr
Goto Top
HI,

Die pfSense hängt hinter einem Draytek Modem.
Das VPN an sich funktioniert woe oben beschrieben ja auch und ich kann auf diverse Clients zugreifen.
Doch die HomeAssistant VM antwortet nur, wenn ich mich in einem der internen VLANs befinde. Baue ich einen VPN Tunnel auf und versuche dann die Webseite zu öffnen, geht nix.
aqui
aqui 16.08.2024 aktualisiert um 20:23:33 Uhr
Goto Top
Das sieht dann verdächtig danach aus das die VM kein Default Gateway konfiguriert hat.
Andere Option das dieser Host nur Connections aus dem lokalen LAN zulässt.
Rennt die VM auf einem Winblows OS? Wenn ja bedenke das die lokale Winblows Firewall ausschließlich nur Verbindungen aus dem lokalen LAN zulässt, nicht aber aus fremden IP Netzen wie z.B. deinem VPN Client IP Netz. Würde sich auch daran manifestieren das du die VM nicht pingen kannst, denn ICMP (Ping) ist bei Winblows bekannt per Default auch gesperrt.
Auch das kannst du wunderbar selber über die pfSense Diagnostics Seite testen im Ping Menü indem du einmal eine andere Source IP verwendest. All das sollte geblockt werden wenn du ein Winblows OS hast.
Ansonsten das Default Gateway checken. Bein Winblows mit ipconfig -all bei unixoiden OS mit ip r.
Ebenso hilfreich ist ein Traceroute (tracert bei Winblows). Da wo es nicht mehr weitergeht ist meistens der Fehler.
Looser27
Looser27 16.08.2024 um 20:47:22 Uhr
Goto Top
Soeas dachte ich auch zuerst, doch der Zugriff aus einem anderen VLAN auf die VM funktioniert problemlos.
Und der Unterbau ist nur ein ESXi ohne besondere Einstellungen.
Und da das funktioniert, müsste der Zugriff über VPN eigentlich auch rennen, doch da hapert es.
Ich suche Anfang der Woche nochmal....trotzdem erstmal danke fürs mitgrübeln und ein schickes Wochenende.
aqui
aqui 17.08.2024 um 10:11:42 Uhr
Goto Top
Wie bereits gesagt, wenn das OS der VM Winblows ist, ist das das ganz normale Verhalten der lokalen Winblows Firewall. Diese musst du dann immer customizen! (Windows Firewall mit erweiterter Sicherheit im Suchfeld eingeben).
In Bezug auf ICMP (Ping) wird das z.B. hier beschrieben.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Looser27
Lösung Looser27 17.08.2024 um 10:54:49 Uhr
Goto Top
Es hat mir keine Ruhe gelassen.....

Ich habe den Fehler gefunden:

In der Konfiguration des VPN-Servers fehlte lediglich das Netz, auf welches man per VPN zugreifen darf. Dieses habe ich nun nachgetragen und jetzt funktioniert es.

Gruß

Looser
aqui
aqui 18.08.2024, aktualisiert am 19.08.2024 um 15:43:14 Uhr
Goto Top
Oha...solche banalen Basics hat man gar nicht mehr auf den Radar. face-wink Da kannst du auch mal wieder sehen wie sinnvoll es ist ein Screenshot der Konfig zu posten. Das erspart dann allen hier bis in die einfachsten Anfängfertiefen umständlich nachzufragen und nachzuforschen.

Dennoch solltest du dir überlegen ggf. vom altersschwachen OpenVPN auf einen der modernen Default VPN Clients zu wechseln die jedes Betriebssystem und Smartphone gleich an Bord hat.
Wie das einfach und kinderleicht geht beschreiben die o.a. Tutorials.
bitnarrator
bitnarrator 19.08.2024 um 08:50:34 Uhr
Goto Top
Für diese konstruktiven Diskussion mag ich dieses Forum ;)