10
Pfsense: OpenVPN-Clients erhalten gleiche IP-Adresse am Gateway
Moin moin,
ich habe ein Paket bei einem VPN-Anbieter gebucht, welcher - wie nun einmal üblich - mehrere Server bereitstellt. Es ist mir erlaubt, dass ich zu jedem Server eine aktive Verbindung aufbaue und so kam ich auf den Plan folgendes in pfsense einzurichten:
Ich stecke vier kleine /29er Netze ab und lasse jedes Netz auf einen speziellen Server zeigen, indem ich vier OpenVPN-Clients einrichte und über eine Firewall-Regel dann je nach Source auf das korrekte Gateway leite. Ich wurde auf folgenden Link aufmerksam gemacht, welcher dies für einen anderen VPN-Anbieter beschriebt. Die Beschreibung scheint nicht mehr top aktuell zu sein, erfüllt jedoch seien Zweck: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-throug ...
Nun zu meinem Problem. Richtige ich einen OpenVPN-Client ein, dann klappt es super. Jeden Client, welche ich per IP auf das jeweilige Netz umstelle, geht durch das VPN.
Richtige ich jedoch einen zweiten Client ein, dann beginnt das Problem: Offenbar bekommen beide Gateways die selbe IP zugewiesen und blockieren sich dadurch gegenseitig. Sobald ich den zweiten Client aktiviere, geht auf der zuvor funktionierende nicht mehr. Mir wurde schon einmal als Tipp Virtual IP Addresses genannt, hier lese ich mich nun ein - ob dies eine Lösung sein kann, weiß ich leider noch nicht.
Die Frage ist nun, ob man dieses Problem irgendwie beheben kann? Auf Wunsch können natürlich noch andere Konfigurationen bereitgestellt werden.
Nachtrag: Ein Screenshot für orcape zur besseren Verdeutlichung was ich mit den /29er Netzen meine.
ich habe ein Paket bei einem VPN-Anbieter gebucht, welcher - wie nun einmal üblich - mehrere Server bereitstellt. Es ist mir erlaubt, dass ich zu jedem Server eine aktive Verbindung aufbaue und so kam ich auf den Plan folgendes in pfsense einzurichten:
Ich stecke vier kleine /29er Netze ab und lasse jedes Netz auf einen speziellen Server zeigen, indem ich vier OpenVPN-Clients einrichte und über eine Firewall-Regel dann je nach Source auf das korrekte Gateway leite. Ich wurde auf folgenden Link aufmerksam gemacht, welcher dies für einen anderen VPN-Anbieter beschriebt. Die Beschreibung scheint nicht mehr top aktuell zu sein, erfüllt jedoch seien Zweck: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-throug ...
Nun zu meinem Problem. Richtige ich einen OpenVPN-Client ein, dann klappt es super. Jeden Client, welche ich per IP auf das jeweilige Netz umstelle, geht durch das VPN.
Richtige ich jedoch einen zweiten Client ein, dann beginnt das Problem: Offenbar bekommen beide Gateways die selbe IP zugewiesen und blockieren sich dadurch gegenseitig. Sobald ich den zweiten Client aktiviere, geht auf der zuvor funktionierende nicht mehr. Mir wurde schon einmal als Tipp Virtual IP Addresses genannt, hier lese ich mich nun ein - ob dies eine Lösung sein kann, weiß ich leider noch nicht.
Die Frage ist nun, ob man dieses Problem irgendwie beheben kann? Auf Wunsch können natürlich noch andere Konfigurationen bereitgestellt werden.
Nachtrag: Ein Screenshot für orcape zur besseren Verdeutlichung was ich mit den /29er Netzen meine.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267712
Url: https://administrator.de/contentid/267712
Ausgedruckt am: 15.11.2024 um 23:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
.
Interface für alle VPN-Clients ist das WAN-Interface, oder hast Du mehrere IP's vom DSL-Provider erhalten.
Hier im Forum gibt es einige Tutorials, das Thema betreffend. Einfach mal die Suchfunktion nutzen.
Gruß orcape
Ich stecke vier kleine /29er Netze ab und lasse jedes Netz auf einen speziellen Server zeigen, indem ich vier OpenVPN-Clients einrichte und über eine Firewall-Regel dann je nach Source auf das korrekte Gateway leite.
..kann ich nicht wirklich nachvollziehen, was Du da treibst..Interface für alle VPN-Clients ist das WAN-Interface, oder hast Du mehrere IP's vom DSL-Provider erhalten.
Hier im Forum gibt es einige Tutorials, das Thema betreffend. Einfach mal die Suchfunktion nutzen.
Gruß orcape
Das hiesige Tutorial zu dem Thema hast du gelesen ??:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ich habe dir einmal einen Screenshot (gekürzt um andere Regeln) nachgereicht, da der wohl mehr sagt als wenn ich es versuche zu erklären. Natürlich gehen alle auf der pfsense eingerichteten VPN-Clients über das selbe WAN-Interface.
Jedoch habe ich in den LAN-Regeln die besagten Netze definiert und sofern eine IP in diesem Netz ist, schicke ich diese über einen VPN-Client. Verständlicher?
Im Endeffekt möchte ich bzw. kann ich damit je nach IP der PCs im Netzwerk steuern, ob diese per VPN raus gehen bzw. über welches VPN sie raus gehen.
Jedoch habe ich in den LAN-Regeln die besagten Netze definiert und sofern eine IP in diesem Netz ist, schicke ich diese über einen VPN-Client. Verständlicher?
Im Endeffekt möchte ich bzw. kann ich damit je nach IP der PCs im Netzwerk steuern, ob diese per VPN raus gehen bzw. über welches VPN sie raus gehen.
Das eigentliche Tutorial ja, die Kommentare nicht. Persönlich verstehe ich jedoch nicht was es mir genau sagen soll bzw. hilft es mir in meinen Augen nicht. Was übersehe ich?
Immerhin will ich ja keinen VPN-Server betreiben sondern habe mir ja einen Zugang zu einem Server bei einem Anbieter wie z.B. HideMyAss, CyberGhost oder IPVanish.
Diese Dienste stellen mir je Server eigene Zertifikate zur Verfügung, welche ich dann in pfsense im Zertifikatsmanager einspiele und den VPN-Client entsprechend parametriere. Über mehrere Clients kann ich dann (theoretisch) unter Zuhilfenahme der in meinem Beitrag nachgereichten Firewall-Rule Clients meines Netzwerk je nach IP-Adresse des Clients über ein jeweiliges VPN-Netz schicken.
Also muss meine Freundin in ihrem PC nur ihre IP von X auf Y ändern und kommt automatisch in den USA per VPN raus, sollte sie mal ein GeoBlocking umgehen müssen - zu zumindest der Plan. Scheitert halt daran, dass intern wohl die VPN-Clients auf der pfsense sich gegenseitig stören.
Immerhin will ich ja keinen VPN-Server betreiben sondern habe mir ja einen Zugang zu einem Server bei einem Anbieter wie z.B. HideMyAss, CyberGhost oder IPVanish.
Diese Dienste stellen mir je Server eigene Zertifikate zur Verfügung, welche ich dann in pfsense im Zertifikatsmanager einspiele und den VPN-Client entsprechend parametriere. Über mehrere Clients kann ich dann (theoretisch) unter Zuhilfenahme der in meinem Beitrag nachgereichten Firewall-Rule Clients meines Netzwerk je nach IP-Adresse des Clients über ein jeweiliges VPN-Netz schicken.
Also muss meine Freundin in ihrem PC nur ihre IP von X auf Y ändern und kommt automatisch in den USA per VPN raus, sollte sie mal ein GeoBlocking umgehen müssen - zu zumindest der Plan. Scheitert halt daran, dass intern wohl die VPN-Clients auf der pfsense sich gegenseitig stören.
Hallo zusammen,
ist das immer noch die selbe Frage die Du auch schon im pfSense Forum zweimal
gestellt hast?
OpenVPN-Clients erhalten gleiche IP-Adresse am Gateway
OpenVPN gateways will get the same IP address and interfere with each other.
Gruß
Dobby
ist das immer noch die selbe Frage die Du auch schon im pfSense Forum zweimal
gestellt hast?
OpenVPN-Clients erhalten gleiche IP-Adresse am Gateway
OpenVPN gateways will get the same IP address and interfere with each other.
Gruß
Dobby
Moin moin,
die Frage ändert sich ja nicht anhand der Menge der Personen, welche ich frage ;)
die Frage ändert sich ja nicht anhand der Menge der Personen, welche ich frage ;)
Servus,
zwei Hinweise:
-) ev. ist es vom VPN-Anbieter so gewollt (eher unwahrscheinlich)?
-) ist bei mir nachvollziehbar, wenn ich mit demselben Zertifikat von PC und Laptop eine Verbindung zu einem meiner Netze herstelle.
Ev. hilft:
https://doc.pfsense.org/index.php/Why_do_my_OpenVPN_clients_all_get_the_ ...
Grüße, Stefan
zwei Hinweise:
-) ev. ist es vom VPN-Anbieter so gewollt (eher unwahrscheinlich)?
-) ist bei mir nachvollziehbar, wenn ich mit demselben Zertifikat von PC und Laptop eine Verbindung zu einem meiner Netze herstelle.
Ev. hilft:
https://doc.pfsense.org/index.php/Why_do_my_OpenVPN_clients_all_get_the_ ...
Grüße, Stefan
Du solltest nach der OpenVPN-Clienteinrichtung keine zusätzlichen Interfaces für OpenVPN unter Interfaces: Assign network ports einrichten.
Die OpenVPN-Verbindungen laufen über die WAN-Verbindung, jede OpenVPN-Instanz benötigt eine Rule auf dem WAN-Interface.
Die Rules vom LAN ausgehend zum OpenVPN und unter Firewall-Rules OpenVPN dann die eingehenden Rules für jede VPN-Verbindung einrichten (falls notwendig).
Gruß orcape
Die OpenVPN-Verbindungen laufen über die WAN-Verbindung, jede OpenVPN-Instanz benötigt eine Rule auf dem WAN-Interface.
Die Rules vom LAN ausgehend zum OpenVPN und unter Firewall-Rules OpenVPN dann die eingehenden Rules für jede VPN-Verbindung einrichten (falls notwendig).
Gruß orcape
Klingt interessant. Wenn ich dies ohne zusätzliche Interfaces und somit Gateways lösen soll, dann verstehe ich derzeit nicht wie ich intern gewissen LAN-Verkehr über die VPN-Clients nach außen schicke.
Derzeit habe ich ja die besagten LAN Rules, welche dann gewisse IPs über die anderen Gateways schicken. Diese hätte ich dann aber nicht mehr.
Das eigentliche Problem hat sich übrigens etwas verlagert inzwischen: Die gleichen angezeigten IPs am Gateway sind nicht das Problem. Ich habe mit jemanden gesprochen, welcher sich seine(n) Router/Firewall mit Debian selbst aufgesetzt hat. Er macht das gleiche wie ich, nur mit über 6 OpenVPN-Clients. Alle interfaces haben bei ihm die gleiche IP.
Problem liegt eher daran, dass ich vom VPN-Server ein route-gateway gepusht bekomme, welches bei jedem openvpn-client identisch ist. Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.
BSD bzw. pfsense soll seiner Aussage nach Probleme mit dieser Art von Umsetzung haben - wurde mir zumindest so gesagt.
Derzeit habe ich ja die besagten LAN Rules, welche dann gewisse IPs über die anderen Gateways schicken. Diese hätte ich dann aber nicht mehr.
Das eigentliche Problem hat sich übrigens etwas verlagert inzwischen: Die gleichen angezeigten IPs am Gateway sind nicht das Problem. Ich habe mit jemanden gesprochen, welcher sich seine(n) Router/Firewall mit Debian selbst aufgesetzt hat. Er macht das gleiche wie ich, nur mit über 6 OpenVPN-Clients. Alle interfaces haben bei ihm die gleiche IP.
Problem liegt eher daran, dass ich vom VPN-Server ein route-gateway gepusht bekomme, welches bei jedem openvpn-client identisch ist. Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.
BSD bzw. pfsense soll seiner Aussage nach Probleme mit dieser Art von Umsetzung haben - wurde mir zumindest so gesagt.
Problem liegt eher daran, dass ich vom VPN-Server ein route-gateway gepusht bekomme, welches bei jedem openvpn-client identisch ist.
Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.
Das erklärt zumindest Deine Probleme und vom Provider ist das wohl auch nicht so gedacht, wie Du das umsetzen willst.Beim ersten VPN-Client kann pfsense entsprechende Routen korrekt setzen, beim zweiten gibt es dann aber einen entsprechenden Fehler, dass für dieses Gateway schon eine Route existiert.
Du bist nun mal von der Konfiguration des Server abhängig, die sich wohl auch nicht ändern lässt.
Da hilft wohl nur ein Gespräch mit dem Support.
Gruß orcape
