Apr 11, 2021

1471

Internetzugriff via openVPN (pfSense)

Hallo zusammen,

hinter einem Router setze ich eine pfSense mit openVPN ein. (Auf dem Router ist port forwarding auf die pfSense aktiv.)

Ich kann mich mit einem Windows-Client von extern per VPN einloggen. Der Zugriff auf das LAN der pfSense funktioniert auch.

Nun möchte ich den ganzen Client-Traffic (auch Internet) über das VPN leiten. Folgendes mache ich dazu:

1. Beim VPNServer "force all client-generated IPv4 traffic through the tunnel" aktivieren
2. DNS-Server aus dem LAN-Netzwerk an Client pushen
3. Allen ausgehenden Traffic auf dem openVPN-Interface erlauben (Allow-All-Firewall-Regel).

Allerdings ist anschließend das Internet immer noch nicht per VPN erreichbar. Zudem funktioniert dann auch der LAN-Zugriff nicht mehr.

Auf dem Windows-Client (via ipconfig /all) sehe ich den DNS-Server korrekt eingetragen.

Hat jemand anhand der Beschreibung eine Idee, was ich noch einstellen muss?

Grüße!

Please also mark the comments that contributed to the solution of the article

Content-Key: 665623

Url: https://administrator.de/contentid/665623

Printed on: April 24, 2024 at 13:04 o'clock

12 Comments

Latest comment

Was sagt die Routing Tabelle auf dem Client bei aktivem VPN ?? (Windows: route print)
Siehe dazu auch OpenVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
(Kapitel redirect gateway)

route print liefert auf dem Windows-Client (dieser hat die lokale IP 192.168.178.33 und im VPN-Subnetz die IP 10.0.5.10):

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.33 25
0.0.0.0 128.0.0.0 10.0.5.1 10.0.5.10 281

128.0.0.0 128.0.0.0 10.0.5.1 10.0.5.10 281

Any ideas?

Siehst du doch auch selber...!!!
Deine lokale Default Route auf die 192.168.178.1 hat eine bessere Metrik. (Niedriger = Besser)
Die VPN Default Route greift also nicht.
Fazit: Passe die Metrik des VPN Interfaces an, dann klappt das auch sofort...
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/ ...

Danke für den Hinweis zur Metrik. Ich muss es ausprobieren und berichte dann.

Heißt das, dass die Metrik höher gewichtet wird als die spezifischere Regel?

Denn durch das Splitten des gesamten IP-Bereichs in zwei Häflten:

0.0.0.0/128.0.0.0 = 0.0.0.0 - 127.255.255.255
128.0.0.0/128.0.0.0 = 128.0.0.0 - 255.255.255.255

ist doch für jede (nicht von der Routing-Tabelle erfasste) IP-Adresse die Regel für das Routing über das VPN-Gateway (10.0.5.1) spezifischer (und müsste damit greifen), als die Regel

0.0.0.0/0

für das Routing über die lokale default Route (192.168.178.1)?!

Heißt das, dass die Metrik höher gewichtet wird als die spezifischere Regel?

Regel ?? Was meinst du mit "Regel" ??
"0.0.0.0 128.0.0.0" ist eine 1 Bit Subnetz Maske die besagt alles von 0.0.0.0 bis 127.255.255.254.
Die zeigt das du irgendwo einen Tippfehler in der Konfig bzw. bei deinen Subnetzmasken gemacht hast denn es ist schon komisch das der Client die Default Route als 2 getrennte Routen mit jeweils einer 1 Bit Subnetzmaske anzeigt. Ist immer Zeichen eines Konfig Fehlers....
Aber was genau meinst du nun mit Regel ?

Bei einer openVPN-Verbindung wird ja der IP-Bereich in 2 gleiche Teile aufgeteilt, 0.0.0.0-127.255.255.254 und 128.0.0.0-255.255.255.254. Deshalb kann die ursprüngliche default-Route (0.0.0.0/0) ja unverändert bestehen bleiben.

Denn wenn nun eine IP-Adresse aufgerufen wird, greift die spezifischere (VPN-Default-Route) vor der allgemeineren (ursprüngliche default-Route) Route.

Nach deiner Meinung greift die allgemeinere Route mit niedrigerer Metrik (0.0.0.0/0, 25) vor der spezifischeren Regel mit höherer Metrik.

Ich weiß es schlicht nicht, wie Metrik und spezifischere Regel von Windows zueinander gewichtet werden. Was also Vorrang hat.

Bei einer openVPN-Verbindung wird ja der IP-Bereich in 2 gleiche Teile aufgeteilt

Nööö... Wenn man mit der Topology "Subnet" im Setup arbeitet dann gilt der Bereich/Maske der durch das interne IP Netz inkl. Maske definiert ist.
Nutzt du die alte, Topology "net30" (Default) dann arbeitet OVPN im internen Netz mit einem /30er Prefix für jeden Client.
Diese Trennung mit der 1 Bit Subnetzmaske ist nicht normal und taucht so bei korrekter OVPN Konfig niemals so auf bei einem Gateway Redirect. Irgendwas stimmt da also in deinem Setup nicht.

Folgender Zwischenbericht:

Ich habe die Metrik der lokalen default Route auf 1000 erhöht. Leider geht immer noch kein Traffic über das VPN.

Was mich aber wundert ist Folgendes:

Wenn ich nun testweise auf dem openVPN-Interface allen Traffic blocke, taucht im Firewall-Log kein Eintrag zu einer geblockten Verbindung aus dem VPB-Subnetz 10.0.5.x auf. Verlässt der Traffic des Windows-Clients also gar nicht den lokalen Rechner?

Wieso ist der ganze Traffic nicht einfach über die lokale default route gegangen (ehe ich nun ihre Metrik erhöht habe)?

Zitat von @aqui:
Nööö... Wenn man mit der Topology "Subnet" im Setup arbeitet dann gilt der Bereich/Maske der durch das interne IP Netz inkl. Maske definiert ist.
Nutzt du die alte, Topology "net30" (Default) dann arbeitet OVPN im internen Netz mit einem /30er Prefix für jeden Client.

An welchen Stellen soll ich in der Server-Konfiguration demnach ansetzen zu suchen?

Unbahängig davon bezieht sich ja deine Aussage nur auf den INTERNEN IP-Bereich, nicht auf externe Adressen?!

taucht im Firewall-Log kein Eintrag zu einer geblockten Verbindung aus dem VPB-Subnetz 10.0.5.x auf.

Das klingt sehr gruselig !!
Es bedeutet das dein VPN Traffic irgendwo am VPN vorbei geroutet wird !!!
Allein der Fakt das deine Default Route mit einer 1 Bit Maske gesubnettet ist zeigt das auch schon das da generell was nicht stimmt und falsch konfiguriert wurde !!
Darauf wurde oben schon mehrfach hingewiesen das das nicht normal ist und ein sicheres Indiz das da an deinem Clinet irgendwas im Routing gründlich schiefläuft oder falsch konfiguriert ist !
Das die Metrik nicht greift ist ebenso nicht normal...wozu gibt es sie denn ?!

deine Aussage nur auf den INTERNEN IP-Bereich, nicht auf externe Adressen?!

Das ist richtig ! Du hast mit deiner Aussage "...openVPN-Verbindung wird ja der IP-Bereich in 2 gleiche Teile aufgeteilt" ja auch nicht mitgeteilt auf was das bezogen ist !!
Nirgendwo wird etwas auf "2 gleiche Teile" aufgeteilt. Das ist Quatsch in einem OVPN Setup.

Zitat von @aqui:
Das ist richtig ! Du hast mit deiner Aussage "...openVPN-Verbindung wird ja der IP-Bereich in 2 gleiche Teile aufgeteilt" ja auch nicht mitgeteilt auf was das bezogen ist !!
Nirgendwo wird etwas auf "2 gleiche Teile" aufgeteilt. Das ist Quatsch in einem OVPN Setup.

Der von dir zitierte Satz geht ja noch weiter. Und aus dem, was nach dem Komma folgt, geht hervor, dass ich mich auf den gesamten IP-Bereich beziehe, der intern+extern umfasst.

Aber wie auch immer, ich werde nochmal weiterschauen, wie ich das hier hinbekomme.

Grüße!

Ja, aber auch der ist ja schon fehlerhaft in sich. Eine Default Route, die ja immer "der gesamte" IP Bereich ist, ist ja niemals mit einer 1 Bit Maske, wie bei dir, in 2 Teile unterteilt. Sowas ist außergewöhnlich und deutet ganz sicher auf einen Fehler im IP Setup hin. In einen "normalen" Setup steht da ganz normal die Default Route so wie sie ist ohne zweigeteilt zu sein. Kannst du auf jedem normal arbeitenden aktiven OpenVPN Client mit ipconfig -all bzw. route print (Winblows) sofort sehen.
Irgendwo ist im IP Setup bei dir also der Wurm drin. Da du weder Screenshots noch Konfig Datei des Clients gepostet hast bleibt da aber erstmal nur die Kristallkugel.

German Question LAN, WAN, Wireless Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments