ak-47.2
Goto Top

PFSense OPENVPN, kein Zugriff auf WAN

Liebes Forum,

ich habe leider weder in diesem Forum noch im Internet eine Lösung zu MEINEM Problem gefunden, oftmals lag es hier an anderen DNS-Servern, die benutzt werden oder meiner Meinung nach sinnfreien NAT-Regeln, die ich mal getestet habe jedoch keine Lösung brachten.

Aktuell habe ich ein Problem mit dem VPN der PFSense, bei dem ich eine Hilfestellung benötige.
Zuvor vielleicht ein paar Infos zum aktuellen Netzwerk.

Als Modem im Bridge-Modus wird der Draytek Vigor 165 verwendet, als Firewall mit Routing-Funktion die PFSense, die die Einwahl ins Internet per PPPoE übernimmt.
Es gibt im lokalen Netzwerk bis jetzt nur den 172.16.1.X Bereich, bei Verbindung per VPN bekommen die Clients eine Adresse aus dem Subnetz 172.16.100.X.

DHCP und DNS im lokalen Netzwerk übernimmt ein Windows Server, DHCP beim VPN macht die PFSense, primärer DNS -Server ist hier auch wieder der WIndows Server, sekundärer DNS ist wiederum die PFSense.
Wenn ich einen Client über den OPENVPN-Client per VPN verbinde habe ich Zugriff auf das lokale Netzwerk, kann jedoch in anderen IP-Netzen wie dem Internet keinen Zugriff erlangen.
Jetzt habe ich jedoch auch schon einiges ausprobiert und herumgetestet, bin jedoch mit meinem Latein am Ende und würde gerne mit Hilfe von Vorne anfangen.

Wie zuvor erläutert, ich bin Anfänger beim Thema VPN und hoffe ebenso auf einen Anfängerfehler, den ich leider übersehe.
In der hier geposteten Anleitung zum Thema VPN mit PFSense bin ich leider ebenfalls nicht schlauer geworden, vielleicht liegt aber auch nur ein Verständnisproblem vor.
Sollten Informationen fehlen könnt ihr ruhig schimpfen, diese reiche ich dann nachface-smile

Zum Schluss noch die Screenshots zu den Settings vom VPN-Server und den Firewall-Regeln.

1
2
3
4
5
6

Content-ID: 495315

Url: https://administrator.de/contentid/495315

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Looser27
Looser27 15.09.2019 um 12:27:23 Uhr
Goto Top
Moin,

nimm mal die Häkchen bei "Redirect Gateway" raus. Diese erzwingen den gesamten Traffic über den Tunnel.
Genau das willst Du aber nicht.

Gruß

Looser
ChriBo
ChriBo 15.09.2019 um 12:29:28 Uhr
Goto Top
Hallo,
Es sieht soweit alles OK aus, bis auf: die benutzerdefinierten Optionen sind überflüssig.
auf dem Client:
was gibt eine "route -print" aus ?
was gibt ein nslookup www.administrator.de aus ?
was gibt ein tracert www.administrator.de aus ?
Mit den Informationen lässt sich die Ursche des Fehlers weiter eingrenzen

CH
AK-47.2
AK-47.2 15.09.2019 um 13:11:42 Uhr
Goto Top
7

Hier mal die tracert und nslookup Ergebnisse. DNS funktioniert auf jeden Fall und es scheint am Routing zu scheitern?
Die benutzerdefinierten Optionen nehme ich dann gleich rausface-smile
AK-47.2
AK-47.2 15.09.2019 um 13:16:55 Uhr
Goto Top
Aber sollte es nicht funktionieren den gesamten Traffic über den Tunnel laufen zu lassen und die PFSense als Gateway zu benutzen statt des "Auswärts-"Routers?
aqui
aqui 15.09.2019 aktualisiert um 13:51:11 Uhr
Goto Top
Ja, das klappt natürlich. Du musst das aber in der OpenVPN Server konfig auch so einstellen (Default Gateway Redirect). Siehe dazu:
https://openvpn.net/community-resources/how-to/#redirect
Dann wird sämtlicher Traffic vom Client in den Tunnel geroutet.

Die Firewall Regel am OpenVPN Tunnel Interface ist etwas sinnfrei. Erst erlaubst du nur den Traffic von überall her aufs lokale LAN Netz. Dann mit der Schrotschussregel sowieso alles.
Die erste Regel ist dann mehr oder minder überflüssig und kann komplett gelöscht werden wenn du erstmal mit der Schrotschuss Regel any zu any leben willst !
AK-47.2
AK-47.2 15.09.2019 um 22:06:35 Uhr
Goto Top
Da hast du natürlich Recht, die Regel stammt noch aus der "Bastelstunde" mit zum Teil auch abenteurlichen NAT-Regeln, aber was versucht man in der Not nicht doch alles. Ich habe sie rausgenommen.

Also, wenn ich dich bzw. den Artikel jetzt richtig verstanden habe, sollte ich die CFG wie folgt anpassen?
9

Wenn ich das tue, kann ich mich nicht mehr beim VPN-Client anmelden, da der TLS-Handshake failed, bekomme also einen TLS-Error.

Hast du eine Idee, was ich da jetzt verbockt habe?
aqui
aqui 16.09.2019 aktualisiert um 09:30:51 Uhr
Goto Top
mit zum Teil auch abenteurlichen NAT-Regeln,
Solche NAT Regeln braucht man niemals. Der Default ist allemal genug.
Besser also du resettest das Teil nochmal auf den Werkszustand und fängst sauber neu an face-wink
den Artikel jetzt richtig verstanden habe, sollte ich die CFG wie folgt anpassen?
Nein !
Denke mal bitte selber etwas nach ! Was steht da ??
Du pushst einmal die Route ins 172.16.1.0er Netz an den Client und danach pushst du zusätzlich dann nochmal die Default Route an den Client.
Dieser Unsinn wird vermutlich auch dir selber klar, oder ??
Wozu also die 172.16.1er Route pushen wenn man so oder so die Default Route pusht die ALLES routet...?! Ersteres ist also überflüssger Blödsinn !
Der Rest ist OK.
kann ich mich nicht mehr beim VPN-Client anmelden
Wen oder was musst du beim VPN "Client" anmelden ??? Unverständlich...sorry.
TLS Handshake weist ja auch auf eine falsche OpenVPN Konfig !!
Ggf. bitte hier nochmal die genauen Steps lesen und genau danach verfahren:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router