Pfsense - Client kann Software nicht updaten über VPN(OpenVPN)

robcb19
Goto Top
Hallo Zusammen,

habe ein Problem. Der OpenVPN Tunnel auf der Pfsense funktioniert sehr gut bis auf: die Clients(Notebooks) können im VPN kein Softwareupdate eines Drittherstellers durchführen. In den Pfsense Einstellungen ist Redirect IPv4 Gateway angehakt. Muss ich eine Regel für den OpenVPN Server Erstellen oder woran könnte es liegen?
Hat schon Jemand damit zu tun gehabt? Für eure Hilfe wäre ich sehr dankbar.

Content-Key: 2681777054

Url: https://administrator.de/contentid/2681777054

Ausgedruckt am: 19.08.2022 um 11:08 Uhr

Mitglied: NordicMike
NordicMike 04.05.2022 um 08:47:37 Uhr
Goto Top
Es kommt darauf an "warum" sie nicht updaten können.

Ist der Update Server nicht erreichbar? (Adresse, Port, Protokoll)
Fehlen Berechtigungen? (Kontakt zum AD evtl, DNS, Routing)
Mitglied: Looser27
Looser27 04.05.2022 um 08:48:21 Uhr
Goto Top
Moin,

Mit dieser Einstellung geht der gesamte Traffic über die pfsense.
Wenn Du das änderst, nutzt der Client den Tunnel nur für die ihm bekannten Netze. Alles andere geht dann lokal über den Internetanschluss. Damit sollten die Updates dann auch funktionieren.

Gruß Looser
Mitglied: ROBCB19
ROBCB19 04.05.2022 um 09:33:40 Uhr
Goto Top
Über das eigene Netz z.B. Wlan funktioniert ein Update einwandfrei. Nur wenn die Notebooks im Tunnel sind geht es nicht.
Mitglied: aqui
aqui 04.05.2022 aktualisiert um 11:38:45 Uhr
Goto Top
Vermutlich der Klassiker: TO hat nicht gewusst was Split Tunneling und Gateway Redirect ist und Letzteres gewählt aber routet den dann durch den Tunnel laufenden gesamten Internet Traffic nicht am Ziel oder macht dafür keine DNS Auflösung. Dann scheitert, wie oben schon richtig gesagt, der Zugriff auf Ziele im Internet. Die Fehlersymptomatik spricht dafür das genau dem so ist.

Das OpenVPN Tutorial erklärt diese Konfig Varianten im Detail.
Traceroutes auf das FQDN Ziel des Update Server vom Client wäre hier zum Troubleshooting, wie immer, hilfreich gewesen aber nada... face-sad
Aus Performancegründen ist es nie sinnvoll sämtlichen Traffic durch den Tunnel zu zwingen weil es sonst zu einem Bottleneck am VPN Server kommt.

Nebenbei ist es auch wenig zielführend das schlecht skalierende OpenVPN zu nutzen wenn die pfSense zwei VPN Protokolle supportet mit denen man problemlos die onboard VPN Clients aller Endgeräte nutzen kann ohne mit zusätzlicher VPN Client Software rumfrickeln zu müssen. Damit wären die o.a. Problematiken gar nicht erst aufgetaucht.
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...