10
HomeAssistant und OpenVPN
Guten Tag,
ich bastel zuhause an einer kleinen SmartHome-Lösung mit HomeAssistant.
Jetzt möchte ich die Lösung gerne nur über mein OpenVPN von aussen erreichen können.
Und genau hier sehe ich gerade den Wald vor lauter Bäumen nicht mehr:
Richte ich auf der pfSense eine Portweiterleitung ein auf die Webseite des HomeAssistant, rennt das sofort.
Versuche ich aber über VPN auf die Webseite zu kommen, so bekomme ich keine Verbindung.
Für das OpenVPN habe ich aktuell eine any-any Regel ohne Einschränkungen....auf eine zweite Webseite im Netz funktioniert das auch (die HP der pfsense).
Hat das jemand von Euch im Einsatz und hier einen Lösungsansatz für mich?
Gruß
Looser
ich bastel zuhause an einer kleinen SmartHome-Lösung mit HomeAssistant.
Jetzt möchte ich die Lösung gerne nur über mein OpenVPN von aussen erreichen können.
Und genau hier sehe ich gerade den Wald vor lauter Bäumen nicht mehr:
Richte ich auf der pfSense eine Portweiterleitung ein auf die Webseite des HomeAssistant, rennt das sofort.
Versuche ich aber über VPN auf die Webseite zu kommen, so bekomme ich keine Verbindung.
Für das OpenVPN habe ich aktuell eine any-any Regel ohne Einschränkungen....auf eine zweite Webseite im Netz funktioniert das auch (die HP der pfsense).
Hat das jemand von Euch im Einsatz und hier einen Lösungsansatz für mich?
Gruß
Looser
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63882340190
Url: https://administrator.de/contentid/63882340190
Ausgedruckt am: 19.10.2024 um 17:10 Uhr
10 Kommentare
Neuester Kommentar
Moin,
hast wie schaut die FW Regel auf dem OVPN Internface aus?
Hat dein HomeAssistant auch ein Gateway?
Gruß
Spirit
hast wie schaut die FW Regel auf dem OVPN Internface aus?
Hat dein HomeAssistant auch ein Gateway?
Gruß
Spirit
Hi,
Der HoneAssistant läuft als VM auf nem ESXi. In der pfsense sind keine Regeln ausser einer any-any Regel. Zugriff auf andere Komponenten in den unterschiedlichen VLANs klappt auch. Nur der HA zickt rum.
Gruß Looser
Der HoneAssistant läuft als VM auf nem ESXi. In der pfsense sind keine Regeln ausser einer any-any Regel. Zugriff auf andere Komponenten in den unterschiedlichen VLANs klappt auch. Nur der HA zickt rum.
Gruß Looser
Das OpenVPN Tutorial mit den weiterführenden Links hast du zu der Thematik gelesen und entsprechend umgesetzt in deinem Setup?!
Wichtig ist das der VM Host über das Diagnostics Menü der pfSense pingbar ist! Idealerweise indem man die Source IP auf das entsprechende LAN Interface setzt!
Versteht man dich richtig ist die pfSense der OpenVPN Responder also der Server, richtig?
Wenn ja wäre noch wichtig zu wissen ob du die pfSense direkt am Internet hast mit einem NUR Modem oder ob du eine Router Kaskade mit einem NAT Router davor betreibst??
Port Forwarding (UDP 1194) ist nur in einer Router Kaskade erforderlich. Dort muss dann auch das im Default aktive RFC 1918 Blocking am WAN deaktiviert sein.
Was aber immer im WAN Port Regelwerk erforderlich ist ist eine Regel die von Source any auf die Destination WAN IP address und Destination Port UDP 1194 den Traffic erlaubt.
Leider fehlen hier entsprechende Screenshots deines Setups.
Letztendlich solltest du dich ernsthaft fragen ob du überhaupt noch das etwas in die Jahre gekommene und wenig skalierende OVPN verwenden willst wo dir die pfSense 2 deutlich bessere VPN Alternativen mit den bordeigenen VPN Clients bietet die dann auch noch die überflüssige Frickelei mit externer VPN Clientsoftware obsolet macht.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wichtig ist das der VM Host über das Diagnostics Menü der pfSense pingbar ist! Idealerweise indem man die Source IP auf das entsprechende LAN Interface setzt!
Versteht man dich richtig ist die pfSense der OpenVPN Responder also der Server, richtig?
Wenn ja wäre noch wichtig zu wissen ob du die pfSense direkt am Internet hast mit einem NUR Modem oder ob du eine Router Kaskade mit einem NAT Router davor betreibst??
Port Forwarding (UDP 1194) ist nur in einer Router Kaskade erforderlich. Dort muss dann auch das im Default aktive RFC 1918 Blocking am WAN deaktiviert sein.
Was aber immer im WAN Port Regelwerk erforderlich ist ist eine Regel die von Source any auf die Destination WAN IP address und Destination Port UDP 1194 den Traffic erlaubt.
Leider fehlen hier entsprechende Screenshots deines Setups.
Letztendlich solltest du dich ernsthaft fragen ob du überhaupt noch das etwas in die Jahre gekommene und wenig skalierende OVPN verwenden willst wo dir die pfSense 2 deutlich bessere VPN Alternativen mit den bordeigenen VPN Clients bietet die dann auch noch die überflüssige Frickelei mit externer VPN Clientsoftware obsolet macht.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
HI,
Die pfSense hängt hinter einem Draytek Modem.
Das VPN an sich funktioniert woe oben beschrieben ja auch und ich kann auf diverse Clients zugreifen.
Doch die HomeAssistant VM antwortet nur, wenn ich mich in einem der internen VLANs befinde. Baue ich einen VPN Tunnel auf und versuche dann die Webseite zu öffnen, geht nix.
Die pfSense hängt hinter einem Draytek Modem.
Das VPN an sich funktioniert woe oben beschrieben ja auch und ich kann auf diverse Clients zugreifen.
Doch die HomeAssistant VM antwortet nur, wenn ich mich in einem der internen VLANs befinde. Baue ich einen VPN Tunnel auf und versuche dann die Webseite zu öffnen, geht nix.
Das sieht dann verdächtig danach aus das die VM kein Default Gateway konfiguriert hat.
Andere Option das dieser Host nur Connections aus dem lokalen LAN zulässt.
Rennt die VM auf einem Winblows OS? Wenn ja bedenke das die lokale Winblows Firewall ausschließlich nur Verbindungen aus dem lokalen LAN zulässt, nicht aber aus fremden IP Netzen wie z.B. deinem VPN Client IP Netz. Würde sich auch daran manifestieren das du die VM nicht pingen kannst, denn ICMP (Ping) ist bei Winblows bekannt per Default auch gesperrt.
Auch das kannst du wunderbar selber über die pfSense Diagnostics Seite testen im Ping Menü indem du einmal eine andere Source IP verwendest. All das sollte geblockt werden wenn du ein Winblows OS hast.
Ansonsten das Default Gateway checken. Bein Winblows mit ipconfig -all bei unixoiden OS mit ip r.
Ebenso hilfreich ist ein Traceroute (tracert bei Winblows). Da wo es nicht mehr weitergeht ist meistens der Fehler.
Andere Option das dieser Host nur Connections aus dem lokalen LAN zulässt.
Rennt die VM auf einem Winblows OS? Wenn ja bedenke das die lokale Winblows Firewall ausschließlich nur Verbindungen aus dem lokalen LAN zulässt, nicht aber aus fremden IP Netzen wie z.B. deinem VPN Client IP Netz. Würde sich auch daran manifestieren das du die VM nicht pingen kannst, denn ICMP (Ping) ist bei Winblows bekannt per Default auch gesperrt.
Auch das kannst du wunderbar selber über die pfSense Diagnostics Seite testen im Ping Menü indem du einmal eine andere Source IP verwendest. All das sollte geblockt werden wenn du ein Winblows OS hast.
Ansonsten das Default Gateway checken. Bein Winblows mit ipconfig -all bei unixoiden OS mit ip r.
Ebenso hilfreich ist ein Traceroute (tracert bei Winblows). Da wo es nicht mehr weitergeht ist meistens der Fehler.
Soeas dachte ich auch zuerst, doch der Zugriff aus einem anderen VLAN auf die VM funktioniert problemlos.
Und der Unterbau ist nur ein ESXi ohne besondere Einstellungen.
Und da das funktioniert, müsste der Zugriff über VPN eigentlich auch rennen, doch da hapert es.
Ich suche Anfang der Woche nochmal....trotzdem erstmal danke fürs mitgrübeln und ein schickes Wochenende.
Und der Unterbau ist nur ein ESXi ohne besondere Einstellungen.
Und da das funktioniert, müsste der Zugriff über VPN eigentlich auch rennen, doch da hapert es.
Ich suche Anfang der Woche nochmal....trotzdem erstmal danke fürs mitgrübeln und ein schickes Wochenende.
Wie bereits gesagt, wenn das OS der VM Winblows ist, ist das das ganz normale Verhalten der lokalen Winblows Firewall. Diese musst du dann immer customizen! (Windows Firewall mit erweiterter Sicherheit im Suchfeld eingeben).
In Bezug auf ICMP (Ping) wird das z.B. hier beschrieben.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
In Bezug auf ICMP (Ping) wird das z.B. hier beschrieben.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Es hat mir keine Ruhe gelassen.....
Ich habe den Fehler gefunden:
In der Konfiguration des VPN-Servers fehlte lediglich das Netz, auf welches man per VPN zugreifen darf. Dieses habe ich nun nachgetragen und jetzt funktioniert es.
Gruß
Looser
Ich habe den Fehler gefunden:
In der Konfiguration des VPN-Servers fehlte lediglich das Netz, auf welches man per VPN zugreifen darf. Dieses habe ich nun nachgetragen und jetzt funktioniert es.
Gruß
Looser
Oha...solche banalen Basics hat man gar nicht mehr auf den Radar. 
Da kannst du auch mal wieder sehen wie sinnvoll es ist ein Screenshot der Konfig zu posten. Das erspart dann allen hier bis in die einfachsten Anfängfertiefen umständlich nachzufragen und nachzuforschen.
Dennoch solltest du dir überlegen ggf. vom altersschwachen OpenVPN auf einen der modernen Default VPN Clients zu wechseln die jedes Betriebssystem und Smartphone gleich an Bord hat.
Wie das einfach und kinderleicht geht beschreiben die o.a. Tutorials.
Da kannst du auch mal wieder sehen wie sinnvoll es ist ein Screenshot der Konfig zu posten. Das erspart dann allen hier bis in die einfachsten Anfängfertiefen umständlich nachzufragen und nachzuforschen.Dennoch solltest du dir überlegen ggf. vom altersschwachen OpenVPN auf einen der modernen Default VPN Clients zu wechseln die jedes Betriebssystem und Smartphone gleich an Bord hat.
Wie das einfach und kinderleicht geht beschreiben die o.a. Tutorials.
Für diese konstruktiven Diskussion mag ich dieses Forum ;)
