8
OpenVPN auf PfSense: Site2Site klappt, Remote Access nicht
Hallo zusammen
Ich habe seit einiger Zeit folgende Config am Laufen:
<WANIP>
Speedport
192.168.178.1
192.168.178.2
Cisco ASA5505 ----> Webserver
192.168.100.1
192.168.100.4
PFSense
192.168.1.0/24
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP beziehen muss.
Gestern muss wohl ein DHCP-Lease abgelaufen sein und die Asa entschied sich der PfSense einfach mal die 192.168.100.2 statt der 4 zu geben.
In der Folge funktionierten die eingerichteten Portfreigaben für die OVPN-Server nicht mehr.
Nach getaner Arbeit funktioniert der Site2Site-VPN wieder, der RemoteAccess prallt irgendwie an der PFsense ab. Zumindest sagt mir das Firewall-Log der PFsense, dass es auf dem Port (43114) des RemoteAccess-Servers den Trafic blockt.
Bevor ich das mit der WAN-IP via DHCP entdeckt hatte (soll mir eine Lehre sein), hatte ich den Remote-Server zeitweise deaktiviert, und einen weiteren mit gleichen Parametern aufgesetzt.
Verschluckt PfSense sich vielleicht hier?
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Macht die ASA hier Bockmist?
Ich meine hier nur die DHCP-Range geändert zu haben.
Bin für jeden Ratschlag dankbar.
Vielen Dank und viele Grüße
Ich habe seit einiger Zeit folgende Config am Laufen:
<WANIP>
Speedport
192.168.178.1
192.168.178.2
Cisco ASA5505 ----> Webserver
192.168.100.1
192.168.100.4
PFSense
192.168.1.0/24
An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP beziehen muss.
Gestern muss wohl ein DHCP-Lease abgelaufen sein und die Asa entschied sich der PfSense einfach mal die 192.168.100.2 statt der 4 zu geben.
In der Folge funktionierten die eingerichteten Portfreigaben für die OVPN-Server nicht mehr.
Nach getaner Arbeit funktioniert der Site2Site-VPN wieder, der RemoteAccess prallt irgendwie an der PFsense ab. Zumindest sagt mir das Firewall-Log der PFsense, dass es auf dem Port (43114) des RemoteAccess-Servers den Trafic blockt.
Bevor ich das mit der WAN-IP via DHCP entdeckt hatte (soll mir eine Lehre sein), hatte ich den Remote-Server zeitweise deaktiviert, und einen weiteren mit gleichen Parametern aufgesetzt.
Verschluckt PfSense sich vielleicht hier?
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Macht die ASA hier Bockmist?
Ich meine hier nur die DHCP-Range geändert zu haben.
Bin für jeden Ratschlag dankbar.
Vielen Dank und viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285653
Url: https://administrator.de/contentid/285653
Ausgedruckt am: 05.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
warum terminierst du das VPN nicht direkt am ASA?
Oder ersetzt den ASA einfach druch die PfSense von mir aus.
Aber warum die PfSense hinter der ASA??
Gruß
warum terminierst du das VPN nicht direkt am ASA?
Oder ersetzt den ASA einfach druch die PfSense von mir aus.
Aber warum die PfSense hinter der ASA??
Gruß
Hi,
Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP
Das ist doch Blödsinn, natürlich funktioniert eine statische IP. DHCP ist hier absolut kontraproduktiv.An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
..und wieso dann das ?...hatte ich den Remote-Server zeitweise deaktiviert,
Was nun, pfSense mit 2 OpenVPN Servern, dann ist remote der Client und kein Server.???Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Wenn der Remote-Access-Server auf der pfSense läuft, dann braucht da weder die IP vom Speedport, noch die vom remoten Standort eingegeben werden. Da gehört nur das Tunnelnetzwerk, Dein lokales Netzwerk und der Port angegeben.Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Zitat von @orcape:
Hi,
Ja, abolut Kontraproduktiv! Das habe ich ja jetzt am eigenen Leibe erfahren. Ich dachte mir das damals auch, aber ich hatte damals im Netz schon gesehen, dass ich nicht der einzige war. Sobald ich die IP Statisch gesetzt hatte, war die Kiste offline. Doof, aber ich glaube, dass das auch nur am Rande mit meinem aktuellen Problem zu tun hat, oder?Hi,
Leider bekam ich die PfSense nicht mit einer statischen IP an WAN-Interface zum laufen , sodass sie ihre IP von der ASA per DHCP
Das ist doch Blödsinn, natürlich funktioniert eine statische IP. DHCP ist hier absolut kontraproduktiv.An der PfSense läufen zwei OpenVPN-Server: ein Site2Site und ein RemoteAccess.
..und wieso dann das ?...hatte ich den Remote-Server zeitweise deaktiviert,
Was nun, pfSense mit 2 OpenVPN Servern, dann ist remote der Client und kein Server.???Ich hatte zum testen einen Laptop dabei, der immer wieder versucht hat von draussen via UMTS auf den RemoteAccess zu connecten.
Bevor ich geschnallt hatte, dass das Problem die falsch zugewiesenen IP war, hatte ich mal probiert, den Remote-Access-Server zu deaktivieren, und flux einen neuen aufzusetzen. diesen neu aufgesetzten habe ich nun wieder gelöscht, und den alten wieder aktiviert.
Interessant ist auch, dass beim Remote-Access-Server nun die IP vom Speedport angegeben wird, früher war das die WAN-IP vom anderen Standort.
Wenn der Remote-Access-Server auf der pfSense läuft, dann braucht da weder die IP vom Speedport, noch die vom remoten Standort eingegeben werden. Da gehört nur das Tunnelnetzwerk, Dein lokales Netzwerk und der Port angegeben.
Hier stand sonst immer die WAN-IP von der Außenstelle
Ich kann da wirklich nicht nachvollziehen was Du da genau treibst.
Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Ok, Cool. Hier ein kleine Übersicht:Eine kleine Zeichnung Deines Netzwerk Aufbaus nebst IP-Angaben wäre sinnvoll.
Gruß orcape
Vielen Dank und viele Grüße
Aranha
@michi83
Hiho.
1. Ich habe mich aus viellerei Gründen für Open-VPN entschieden (OpenSource, Clients, Konfigurierbarkeit
2. Ich habe PfSense als VPN-Clients für Site2Site-VPN in Außenstelln im Einsatz, das lässt sich nicht Flux umstellen
Warum zwei Firewall?
Es macht durchaus Sinn, und wird vom BSI empfohlen, zwei Firewalls von unterschiedlichen Herrstellern zwischen Produktiv-Netz und i-Net zu schalten. Außerdem betreibe ich hinter der ASA noch einen Webserver. Ob sich das dann noch DMZ nennt weiß ich nicht.
Was macht dann der Speedport da noch, wa?
Als ich noch ADSL2+ hatte war da ne Fritzbox, die nur als Modem dienste (ASA via PPPoe)
Nun habe ich VDSL und habe den Router gefressen, den mir die Telekom gab.
Viele Grüße
Aranha
Hiho.
1. Ich habe mich aus viellerei Gründen für Open-VPN entschieden (OpenSource, Clients, Konfigurierbarkeit
2. Ich habe PfSense als VPN-Clients für Site2Site-VPN in Außenstelln im Einsatz, das lässt sich nicht Flux umstellen
Warum zwei Firewall?
Es macht durchaus Sinn, und wird vom BSI empfohlen, zwei Firewalls von unterschiedlichen Herrstellern zwischen Produktiv-Netz und i-Net zu schalten. Außerdem betreibe ich hinter der ASA noch einen Webserver. Ob sich das dann noch DMZ nennt weiß ich nicht.
Was macht dann der Speedport da noch, wa?
Als ich noch ADSL2+ hatte war da ne Fritzbox, die nur als Modem dienste (ASA via PPPoe)
Nun habe ich VDSL und habe den Router gefressen, den mir die Telekom gab.
Viele Grüße
Aranha
Hallo,
Wenn als Router hast Du eine Tripple NAT Situation und das wird so nichts!
Gruß
Dobby
Ich habe seit einiger Zeit folgende Config am Laufen:
Als was ist denn der Speedport unterwegs? Als Router oder nur Modem im so genannten "bridged mode"?Wenn als Router hast Du eine Tripple NAT Situation und das wird so nichts!
Gruß
Dobby
Das ist aus dem PfSense-Dashboard, und zeigt mir die aktuellen VPN-Verbindungen an. Hier steht jetzt die IP vom Speedport, als ob die VPN-Verbindung vom Speedport käme.
...und genau das sollte nicht sein. Dort steht normalerweise die öffentliche WAN-IP des remoten Routers.Hast Du auf dem Speedport und auf der ASA das Portforwarding für den Tunnel aktiviert?
Sinnvoller wäre allerdings, die Speedport-Gurke als Modem zu betreiben und nur auf der ASA den Port freizugeben.
Gruß orcape
Yep, und genau das werde ich mal probieren. Hatte es ja auch a früher mit der alten FritzBox so.
@108012: Der Punkt ist nur, dass es in dieser Trippel-NAT schon über nen halbes Jahr lief.
Wie dem auch sei, ich werde das DIng mal in den Route-Mode switchen, mal gucken obs dann klappt.
Danke und viele Grüße
Aranha
@108012: Der Punkt ist nur, dass es in dieser Trippel-NAT schon über nen halbes Jahr lief.
Wie dem auch sei, ich werde das DIng mal in den Route-Mode switchen, mal gucken obs dann klappt.
Danke und viele Grüße
Aranha
So, späte Rückmeldung:
Speedport an die Wand geballert, und nen Zyxel-Modem rangehangen...
PROBLEM GELÖST!
Vielen Dank nochmal an alle!
Aranha
Speedport an die Wand geballert, und nen Zyxel-Modem rangehangen...
PROBLEM GELÖST!
Vielen Dank nochmal an alle!
Aranha
