shutterfly
Goto Top

Pfsense: OpenVPN-Clients erhalten gleiche IP-Adresse am Gateway

Moin moin,

ich habe ein Paket bei einem VPN-Anbieter gebucht, welcher - wie nun einmal üblich - mehrere Server bereitstellt. Es ist mir erlaubt, dass ich zu jedem Server eine aktive Verbindung aufbaue und so kam ich auf den Plan folgendes in pfsense einzurichten:

Ich stecke vier kleine /29er Netze ab und lasse jedes Netz auf einen speziellen Server zeigen, indem ich vier OpenVPN-Clients einrichte und über eine Firewall-Regel dann je nach Source auf das korrekte Gateway leite. Ich wurde auf folgenden Link aufmerksam gemacht, welcher dies für einen anderen VPN-Anbieter beschriebt. Die Beschreibung scheint nicht mehr top aktuell zu sein, erfüllt jedoch seien Zweck: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-throug ...

Nun zu meinem Problem. Richtige ich einen OpenVPN-Client ein, dann klappt es super. Jeden Client, welche ich per IP auf das jeweilige Netz umstelle, geht durch das VPN.

Richtige ich jedoch einen zweiten Client ein, dann beginnt das Problem: Offenbar bekommen beide Gateways die selbe IP zugewiesen und blockieren sich dadurch gegenseitig. Sobald ich den zweiten Client aktiviere, geht auf der zuvor funktionierende nicht mehr. Mir wurde schon einmal als Tipp Virtual IP Addresses genannt, hier lese ich mich nun ein - ob dies eine Lösung sein kann, weiß ich leider noch nicht.

214e201f2d02c68fe5927f67a6b7718d

Die Frage ist nun, ob man dieses Problem irgendwie beheben kann? Auf Wunsch können natürlich noch andere Konfigurationen bereitgestellt werden.

Nachtrag: Ein Screenshot für orcape zur besseren Verdeutlichung was ich mit den /29er Netzen meine.

7dfaf0c4327695a9bf422107d3a0d8f1

Content-ID: 267712

Url: https://administrator.de/forum/pfsense-openvpn-clients-erhalten-gleiche-ip-adresse-am-gateway-267712.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

orcape
orcape 28.03.2015 um 16:37:31 Uhr
Goto Top
Hi,
Ich stecke vier kleine /29er Netze ab und lasse jedes Netz auf einen speziellen Server zeigen, indem ich vier OpenVPN-Clients einrichte und über eine Firewall-Regel dann je nach Source auf das korrekte Gateway leite.
..kann ich nicht wirklich nachvollziehen, was Du da treibst.face-wink.
Interface für alle VPN-Clients ist das WAN-Interface, oder hast Du mehrere IP's vom DSL-Provider erhalten.
Hier im Forum gibt es einige Tutorials, das Thema betreffend. Einfach mal die Suchfunktion nutzen.
Gruß orcape
aqui
aqui 28.03.2015 um 18:12:14 Uhr
Goto Top
Shutterfly
Shutterfly 28.03.2015 um 20:26:55 Uhr
Goto Top
Ich habe dir einmal einen Screenshot (gekürzt um andere Regeln) nachgereicht, da der wohl mehr sagt als wenn ich es versuche zu erklären. Natürlich gehen alle auf der pfsense eingerichteten VPN-Clients über das selbe WAN-Interface.

Jedoch habe ich in den LAN-Regeln die besagten Netze definiert und sofern eine IP in diesem Netz ist, schicke ich diese über einen VPN-Client. Verständlicher?

Im Endeffekt möchte ich bzw. kann ich damit je nach IP der PCs im Netzwerk steuern, ob diese per VPN raus gehen bzw. über welches VPN sie raus gehen.
Shutterfly
Shutterfly 28.03.2015 um 20:32:30 Uhr
Goto Top
Das eigentliche Tutorial ja, die Kommentare nicht. Persönlich verstehe ich jedoch nicht was es mir genau sagen soll bzw. hilft es mir in meinen Augen nicht. Was übersehe ich?

Immerhin will ich ja keinen VPN-Server betreiben sondern habe mir ja einen Zugang zu einem Server bei einem Anbieter wie z.B. HideMyAss, CyberGhost oder IPVanish.

Diese Dienste stellen mir je Server eigene Zertifikate zur Verfügung, welche ich dann in pfsense im Zertifikatsmanager einspiele und den VPN-Client entsprechend parametriere. Über mehrere Clients kann ich dann (theoretisch) unter Zuhilfenahme der in meinem Beitrag nachgereichten Firewall-Rule Clients meines Netzwerk je nach IP-Adresse des Clients über ein jeweiliges VPN-Netz schicken.

Also muss meine Freundin in ihrem PC nur ihre IP von X auf Y ändern und kommt automatisch in den USA per VPN raus, sollte sie mal ein GeoBlocking umgehen müssen - zu zumindest der Plan. Scheitert halt daran, dass intern wohl die VPN-Clients auf der pfsense sich gegenseitig stören.
108012
108012 29.03.2015 um 05:26:40 Uhr
Goto Top
Hallo zusammen,

ist das immer noch die selbe Frage die Du auch schon im pfSense Forum zweimal
gestellt hast?

OpenVPN-Clients erhalten gleiche IP-Adresse am Gateway
OpenVPN gateways will get the same IP address and interfere with each other.

Gruß
Dobby
Shutterfly
Shutterfly 29.03.2015 um 11:31:16 Uhr
Goto Top
Moin moin,

die Frage ändert sich ja nicht anhand der Menge der Personen, welche ich frage ;)
stefaan
stefaan 29.03.2015 um 11:32:55 Uhr
Goto Top
Servus,

zwei Hinweise:
-) ev. ist es vom VPN-Anbieter so gewollt (eher unwahrscheinlich)?
-) ist bei mir nachvollziehbar, wenn ich mit demselben Zertifikat von PC und Laptop eine Verbindung zu einem meiner Netze herstelle.

Ev. hilft:
https://doc.pfsense.org/index.php/Why_do_my_OpenVPN_clients_all_get_the_ ...

Grüße, Stefan
orcape
orcape 29.03.2015 um 20:10:42 Uhr
Goto Top
Du solltest nach der OpenVPN-Clienteinrichtung keine zusätzlichen Interfaces für OpenVPN unter Interfaces: Assign network ports einrichten.
Die OpenVPN-Verbindungen laufen über die WAN-Verbindung, jede OpenVPN-Instanz benötigt eine Rule auf dem WAN-Interface.
Die Rules vom LAN ausgehend zum OpenVPN und unter Firewall-Rules OpenVPN dann die eingehenden Rules für jede VPN-Verbindung einrichten (falls notwendig).
Gruß orcape
Shutterfly
Shutterfly 29.03.2015 um 20:57:44 Uhr
Goto Top
Klingt interessant. Wenn ich dies ohne zusätzliche Interfaces und somit Gateways lösen soll, dann verstehe ich derzeit nicht wie ich intern gewissen LAN-Verkehr über die VPN-Clients nach außen schicke.

Derzeit habe ich ja die besagten LAN Rules, welche dann gewisse IPs über die anderen Gateways schicken. Diese hätte ich dann aber nicht mehr.

Das eigentliche Problem hat sich übrigens etwas verlagert inzwischen: Die gleichen angezeigten IPs am Gateway sind nicht das Problem. Ich habe mit jemanden gesprochen, welcher sich seine(n) Router/Firewall mit Debian selbst aufgesetzt hat. Er macht das gleiche wie ich, nur mit über 6 OpenVPN-Clients. Alle interfaces haben bei ihm die gleiche IP.

Problem liegt eher daran, dass ich vom VPN-Server ein route-gateway gepusht bekomme, welches bei jedem openvpn-client identisch ist. Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.

BSD bzw. pfsense soll seiner Aussage nach Probleme mit dieser Art von Umsetzung haben - wurde mir zumindest so gesagt.
orcape
orcape 30.03.2015 um 20:21:27 Uhr
Goto Top
Problem liegt eher daran, dass ich vom VPN-Server ein route-gateway gepusht bekomme, welches bei jedem openvpn-client identisch ist.
Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.
Das erklärt zumindest Deine Probleme und vom Provider ist das wohl auch nicht so gedacht, wie Du das umsetzen willst.
Du bist nun mal von der Konfiguration des Server abhängig, die sich wohl auch nicht ändern lässt.
Da hilft wohl nur ein Gespräch mit dem Support.face-wink
Gruß orcape