aranha
Goto Top

OpenVPN auf PfSense: Site2Site klappt, Remote Access nicht

Hallo zusammen

Ich habe seit einiger Zeit folgende Config am Laufen:

<WANIP>
Speedport
192.168.178.1

192.168.178.2
Cisco ASA5505 ----> Webserver
192.168.100.1

192.168.100.4
PFSense
192.168.1.0/24

An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP beziehen muss.

Gestern muss wohl ein DHCP-Lease abgelaufen sein und die Asa entschied sich der PfSense einfach mal die 192.168.100.2 statt der 4 zu geben.
In der Folge funktionierten die eingerichteten Portfreigaben für die OVPN-Server nicht mehr.

Nach getaner Arbeit funktioniert der Site2Site-VPN wieder, der RemoteAccess prallt irgendwie an der PFsense ab. Zumindest sagt mir das Firewall-Log der PFsense, dass es auf dem Port (43114) des RemoteAccess-Servers den Trafic blockt.

Bevor ich das mit der WAN-IP via DHCP entdeckt hatte (soll mir eine Lehre sein), hatte ich den Remote-Server zeitweise deaktiviert, und einen weiteren mit gleichen Parametern aufgesetzt.
Verschluckt PfSense sich vielleicht hier?
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Macht die ASA hier Bockmist?
Ich meine hier nur die DHCP-Range geändert zu haben.

Bin für jeden Ratschlag dankbar.
Vielen Dank und viele Grüße

e7dfe08eba9c2738af289703e892a222

cc3a2dd21e9562c1877c8762bac240ff

06f501ff0965255d626cddfa2fc9dce4

17aa12a75c142916b5f69bb3f4cdcd6e

Content-ID: 285653

Url: https://administrator.de/contentid/285653

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

michi1983
michi1983 15.10.2015 um 16:22:02 Uhr
Goto Top
Hallo,

warum terminierst du das VPN nicht direkt am ASA?
Oder ersetzt den ASA einfach druch die PfSense von mir aus.
Aber warum die PfSense hinter der ASA??

Gruß
orcape
orcape 15.10.2015 um 19:31:29 Uhr
Goto Top
Hi,
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP
Das ist doch Blödsinn, natürlich funktioniert eine statische IP. DHCP ist hier absolut kontraproduktiv.
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
..und wieso dann das ?
...hatte ich den Remote-Server zeitweise deaktiviert,
Was nun, pfSense mit 2 OpenVPN Servern, dann ist remote der Client und kein Server.???
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Wenn der Remote-Access-Server auf der pfSense läuft, dann braucht da weder die IP vom Speedport, noch die vom remoten Standort eingegeben werden. Da gehört nur das Tunnelnetzwerk, Dein lokales Netzwerk und der Port angegeben.
Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Aranha
Aranha 16.10.2015 um 09:21:47 Uhr
Goto Top
Zitat von @orcape:

Hi,
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP
Das ist doch Blödsinn, natürlich funktioniert eine statische IP. DHCP ist hier absolut kontraproduktiv.
Ja, abolut Kontraproduktiv! Das habe ich ja jetzt am eigenen Leibe erfahren. Ich dachte mir das damals auch, aber ich hatte damals im Netz schon gesehen, dass ich nicht der einzige war. Sobald ich die IP Statisch gesetzt hatte, war die Kiste offline. Doof, aber ich glaube, dass das auch nur am Rande mit meinem aktuellen Problem zu tun hat, oder?
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
..und wieso dann das ?
Site2Site für eine Außenstelle, RemoteAccess für die Road-Warrior. Normal, oder?
...hatte ich den Remote-Server zeitweise deaktiviert,
Was nun, pfSense mit 2 OpenVPN Servern, dann ist remote der Client und kein Server.???
Auf der PFSense betreibe ich zwei Server (ein Dritter wird momentan nicht aktiv genutzt)
Ich hatte zum testen einen Laptop dabei, der immer wieder versucht hat von draussen via UMTS auf den RemoteAccess zu connecten.
Bevor ich geschnallt hatte, dass das Problem die falsch zugewiesenen IP war, hatte ich mal probiert, den Remote-Access-Server zu deaktivieren, und flux einen neuen aufzusetzen. diesen neu aufgesetzten habe ich nun wieder gelöscht, und den alten wieder aktiviert.

Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Wenn der Remote-Access-Server auf der pfSense läuft, dann braucht da weder die IP vom Speedport, noch die vom remoten Standort eingegeben werden. Da gehört nur das Tunnelnetzwerk, Dein lokales Netzwerk und der Port angegeben.
Nee, das meine ich nicht. Sorry, nicht klar ausgedrückt. Guck mal:
17aa12a75c142916b5f69bb3f4cdcd6e
Das ist aus dem PfSense-Dashboard, und zeigt mir die aktuellen VPN-Verbindungen an. Hier steht jetzt die IP vom Speedport, als ob die VPN-Verbindung vom Speedport käme.
Hier stand sonst immer die WAN-IP von der Außenstelle
Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Ok, Cool. Hier ein kleine Übersicht:
b3adb0ac732937933208e9fe3434a0e4
Und hier ein Liste der OVPN-Server mit IPs (Der auf Port 55205 wird z.Z nicht benötigt, daher spreche ich imer von zwei Servern, statt von dreien)
3f5b887f98b608b957cd1f7da2c23160

Gruß orcape

Vielen Dank und viele Grüße
Aranha
Aranha
Aranha 16.10.2015 aktualisiert um 09:43:33 Uhr
Goto Top
@michi83
Hiho.

1. Ich habe mich aus viellerei Gründen für Open-VPN entschieden (OpenSource, Clients, Konfigurierbarkeit
2. Ich habe PfSense als VPN-Clients für Site2Site-VPN in Außenstelln im Einsatz, das lässt sich nicht Flux umstellen
Warum zwei Firewall?
Es macht durchaus Sinn, und wird vom BSI empfohlen, zwei Firewalls von unterschiedlichen Herrstellern zwischen Produktiv-Netz und i-Net zu schalten. Außerdem betreibe ich hinter der ASA noch einen Webserver. Ob sich das dann noch DMZ nennt weiß ich nicht.
Was macht dann der Speedport da noch, wa?
Als ich noch ADSL2+ hatte war da ne Fritzbox, die nur als Modem dienste (ASA via PPPoe)
Nun habe ich VDSL und habe den Router gefressen, den mir die Telekom gab.

Viele Grüße
Aranha
108012
Lösung 108012 16.10.2015, aktualisiert am 17.12.2015 um 10:39:00 Uhr
Goto Top
Hallo,

Ich habe seit einiger Zeit folgende Config am Laufen:
Als was ist denn der Speedport unterwegs? Als Router oder nur Modem im so genannten "bridged mode"?
Wenn als Router hast Du eine Tripple NAT Situation und das wird so nichts!

Gruß
Dobby
orcape
orcape 18.10.2015 aktualisiert um 09:31:10 Uhr
Goto Top
Das ist aus dem PfSense-Dashboard, und zeigt mir die aktuellen VPN-Verbindungen an. Hier steht jetzt die IP vom Speedport, als ob die VPN-Verbindung vom Speedport käme.
...und genau das sollte nicht sein. Dort steht normalerweise die öffentliche WAN-IP des remoten Routers.
Hast Du auf dem Speedport und auf der ASA das Portforwarding für den Tunnel aktiviert?
Sinnvoller wäre allerdings, die Speedport-Gurke als Modem zu betreiben und nur auf der ASA den Port freizugeben.
Gruß orcape
Aranha
Aranha 22.10.2015 um 23:53:55 Uhr
Goto Top
Yep, und genau das werde ich mal probieren. Hatte es ja auch a früher mit der alten FritzBox so.
@108012: Der Punkt ist nur, dass es in dieser Trippel-NAT schon über nen halbes Jahr lief.
Wie dem auch sei, ich werde das DIng mal in den Route-Mode switchen, mal gucken obs dann klappt.

Danke und viele Grüße
Aranha
Aranha
Aranha 17.12.2015 um 10:38:39 Uhr
Goto Top
So, späte Rückmeldung:

Speedport an die Wand geballert, und nen Zyxel-Modem rangehangen...
PROBLEM GELÖST!

Vielen Dank nochmal an alle!
Aranha