OpenVPN auf PfSense: Site2Site klappt, Remote Access nicht
Hallo zusammen
Ich habe seit einiger Zeit folgende Config am Laufen:
<WANIP>
Speedport
192.168.178.1
192.168.178.2
Cisco ASA5505 ----> Webserver
192.168.100.1
192.168.100.4
PFSense
192.168.1.0/24
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP beziehen muss.
Gestern muss wohl ein DHCP-Lease abgelaufen sein und die Asa entschied sich der PfSense einfach mal die 192.168.100.2 statt der 4 zu geben.
In der Folge funktionierten die eingerichteten Portfreigaben für die OVPN-Server nicht mehr.
Nach getaner Arbeit funktioniert der Site2Site-VPN wieder, der RemoteAccess prallt irgendwie an der PFsense ab. Zumindest sagt mir das Firewall-Log der PFsense, dass es auf dem Port (43114) des RemoteAccess-Servers den Trafic blockt.
Bevor ich das mit der WAN-IP via DHCP entdeckt hatte (soll mir eine Lehre sein), hatte ich den Remote-Server zeitweise deaktiviert, und einen weiteren mit gleichen Parametern aufgesetzt.
Verschluckt PfSense sich vielleicht hier?
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Macht die ASA hier Bockmist?
Ich meine hier nur die DHCP-Range geändert zu haben.
Bin für jeden Ratschlag dankbar.
Vielen Dank und viele Grüße
Ich habe seit einiger Zeit folgende Config am Laufen:
<WANIP>
Speedport
192.168.178.1
192.168.178.2
Cisco ASA5505 ----> Webserver
192.168.100.1
192.168.100.4
PFSense
192.168.1.0/24
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP beziehen muss.
Gestern muss wohl ein DHCP-Lease abgelaufen sein und die Asa entschied sich der PfSense einfach mal die 192.168.100.2 statt der 4 zu geben.
In der Folge funktionierten die eingerichteten Portfreigaben für die OVPN-Server nicht mehr.
Nach getaner Arbeit funktioniert der Site2Site-VPN wieder, der RemoteAccess prallt irgendwie an der PFsense ab. Zumindest sagt mir das Firewall-Log der PFsense, dass es auf dem Port (43114) des RemoteAccess-Servers den Trafic blockt.
Bevor ich das mit der WAN-IP via DHCP entdeckt hatte (soll mir eine Lehre sein), hatte ich den Remote-Server zeitweise deaktiviert, und einen weiteren mit gleichen Parametern aufgesetzt.
Verschluckt PfSense sich vielleicht hier?
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Macht die ASA hier Bockmist?
Ich meine hier nur die DHCP-Range geändert zu haben.
Bin für jeden Ratschlag dankbar.
Vielen Dank und viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285653
Url: https://administrator.de/contentid/285653
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP
Das ist doch Blödsinn, natürlich funktioniert eine statische IP. DHCP ist hier absolut kontraproduktiv.An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
..und wieso dann das ?...hatte ich den Remote-Server zeitweise deaktiviert,
Was nun, pfSense mit 2 OpenVPN Servern, dann ist remote der Client und kein Server.???Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Wenn der Remote-Access-Server auf der pfSense läuft, dann braucht da weder die IP vom Speedport, noch die vom remoten Standort eingegeben werden. Da gehört nur das Tunnelnetzwerk, Dein lokales Netzwerk und der Port angegeben.Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Hallo,
Wenn als Router hast Du eine Tripple NAT Situation und das wird so nichts!
Gruß
Dobby
Ich habe seit einiger Zeit folgende Config am Laufen:
Als was ist denn der Speedport unterwegs? Als Router oder nur Modem im so genannten "bridged mode"?Wenn als Router hast Du eine Tripple NAT Situation und das wird so nichts!
Gruß
Dobby
Das ist aus dem PfSense-Dashboard, und zeigt mir die aktuellen VPN-Verbindungen an. Hier steht jetzt die IP vom Speedport, als ob die VPN-Verbindung vom Speedport käme.
...und genau das sollte nicht sein. Dort steht normalerweise die öffentliche WAN-IP des remoten Routers.Hast Du auf dem Speedport und auf der ASA das Portforwarding für den Tunnel aktiviert?
Sinnvoller wäre allerdings, die Speedport-Gurke als Modem zu betreiben und nur auf der ASA den Port freizugeben.
Gruß orcape