7
PfSense - OpenVPN - nicht alle Webseiten im LAN erreichbar
Hallo,
Ich habe für meinen Privatbereich eine Firewall auf Basis von pfSense auf einer Terra Hardware installiert. Ich möchte damit Windows und IoT -Geräte besser überwachen können.
Zusätzlich möchte ich mich über VPN in mein Heimnetzwerk einloggen.
Es funktioniert auch alles soweit ganz gut. Ich kann über VPN auf freigegebene Order meine Servers zugreifen, oder mich in meine Private- Lokale Cloud einloggen usw.
Bis auf eine Kleinigkeit. Bestimmte Seiten sind meinen Heimnetzwerk über VPN nicht zu erreichen (403 -forbidden ) oder Seiten sind prinzipiell nicht erreichbar. Oder es öffnet sich ein Anmeldebildschirm als würde ich aus einem Öffentlichen Raum darauf Zugreifen. Als wäre meine VPN-Verbindung es ein nicht Vertrauenswürdigen Netzwerk.
z.B. Konfigurationsseite der Fritz-Box oder die Plex-Server Seite. Dort kommt die Meldung Plex ist nicht erreichbar.
Mit einer OpenVPN- Verbindung auf Basis eines Rasperry-Pi (ohne pfSense und mit Fritz-Box Router) funktionieren die lokalen LAN-Inhalte problemlos über den VPN-Zugang.
Was für eine Einstellung muss ich in pfSense vornehmen das sich die VPN-Teilnehmer genau so verhalten, als wären diese Teilnehmer im Lokalen Netz.
Oder mus ich noch eine NAT-Einstellung vornehmen
Danke für euer Hilfe.
Ich habe für meinen Privatbereich eine Firewall auf Basis von pfSense auf einer Terra Hardware installiert. Ich möchte damit Windows und IoT -Geräte besser überwachen können.
Zusätzlich möchte ich mich über VPN in mein Heimnetzwerk einloggen.
Es funktioniert auch alles soweit ganz gut. Ich kann über VPN auf freigegebene Order meine Servers zugreifen, oder mich in meine Private- Lokale Cloud einloggen usw.
Bis auf eine Kleinigkeit. Bestimmte Seiten sind meinen Heimnetzwerk über VPN nicht zu erreichen (403 -forbidden ) oder Seiten sind prinzipiell nicht erreichbar. Oder es öffnet sich ein Anmeldebildschirm als würde ich aus einem Öffentlichen Raum darauf Zugreifen. Als wäre meine VPN-Verbindung es ein nicht Vertrauenswürdigen Netzwerk.
z.B. Konfigurationsseite der Fritz-Box oder die Plex-Server Seite. Dort kommt die Meldung Plex ist nicht erreichbar.
Mit einer OpenVPN- Verbindung auf Basis eines Rasperry-Pi (ohne pfSense und mit Fritz-Box Router) funktionieren die lokalen LAN-Inhalte problemlos über den VPN-Zugang.
Was für eine Einstellung muss ich in pfSense vornehmen das sich die VPN-Teilnehmer genau so verhalten, als wären diese Teilnehmer im Lokalen Netz.
Oder mus ich noch eine NAT-Einstellung vornehmen
Danke für euer Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419329
Url: https://administrator.de/contentid/419329
Printed on: April 24, 2024 at 22:04 o'clock
7 Comments
Latest comment
Moin,
das kommt daher, das du aus einem anderen Subnetz auf die Systeme zugreifst.
Dann musst du es den Servern beibringen das OpenVPN Netz als trusted zu akzeptieren.
Alternative den VPN Server auf ein tap interface stellen und die Clients direkt in das Netz bridgen.
Gruß
Spirit
das kommt daher, das du aus einem anderen Subnetz auf die Systeme zugreifst.
Dann musst du es den Servern beibringen das OpenVPN Netz als trusted zu akzeptieren.
Alternative den VPN Server auf ein tap interface stellen und die Clients direkt in das Netz bridgen.
Gruß
Spirit
Danke für die Antwort,
Das akzeptieren der trusted Netzen scheidet leider aus, da müsste ich die Fritz-Box freezen und andere Standard Webseiten (PLEX usw.) anpassen.
Das mit den TAB Interface werde ich mal probieren. Ich habe noch eine Schnittstelle an der BOX frei. Die hat dann aber auch eine eigenes Subnetz
Was ich immer noch nicht verstehe ist, was mach der OpenVPN-Server auf den Rasperry-Pi anders als der auf der pfSense.
Am Rasperry habe ich auch nur eine Weiterleitung der Pakete gemacht
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
und das Routing damit die VPN - Client's auf das LAN kommen
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Gruß
Das akzeptieren der trusted Netzen scheidet leider aus, da müsste ich die Fritz-Box freezen und andere Standard Webseiten (PLEX usw.) anpassen.
Das mit den TAB Interface werde ich mal probieren. Ich habe noch eine Schnittstelle an der BOX frei. Die hat dann aber auch eine eigenes Subnetz
Was ich immer noch nicht verstehe ist, was mach der OpenVPN-Server auf den Rasperry-Pi anders als der auf der pfSense.
Am Rasperry habe ich auch nur eine Weiterleitung der Pakete gemacht
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
und das Routing damit die VPN - Client's auf das LAN kommen
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Gruß
Was für eine Einstellung muss ich in pfSense vornehmen das sich die VPN-Teilnehmer genau so verhalten, als wären diese Teilnehmer im Lokalen Netz.
Guckst du hier für IPsec:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
oder für OpenVPN hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Einfach mal die Suchfunktion benutzen hier...!
Hallo Spirit-of-Eli,
Danke für den Hinweis.
Dieses How-TO hatte ich bereits gelesen
Mittlerweile konnte ich das Problem lösen.
Es fehlte noch eine Ausgehende NAT--Regel
Als zusätzlicher Hinweis :
Ich habe folgende Konstellation
Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24
Das LAN hat 192.168.115.0/24
OpenVPN hat 10.8.0.0/24
Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft extenden Host in der Fritz-Box
Die Fritz-Box vor der pfSense dient noch zusätzlich als IP-Telefonie
Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie
Danke für eure Hilfe
Gruß
Danke für den Hinweis.
Dieses How-TO hatte ich bereits gelesen
Mittlerweile konnte ich das Problem lösen.
Es fehlte noch eine Ausgehende NAT--Regel
Als zusätzlicher Hinweis :
Ich habe folgende Konstellation
Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24
Das LAN hat 192.168.115.0/24
OpenVPN hat 10.8.0.0/24
Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft extenden Host in der Fritz-Box
Die Fritz-Box vor der pfSense dient noch zusätzlich als IP-Telefonie
Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie
Danke für eure Hilfe
Gruß
Es fehlte noch eine Ausgehende NAT--Regel
Völlig unverständlich und kann eigentlich niemals stimmen, denn die pfSense macht ein NAT ja per Default am WAN Port.Es sei denn natürlich du hast die Default Konfig diesbezüglich manipuliert. Nur dann müsste man es natürlich nachtragen. Eigentlich ist das Verändern der Default Konfig aber Unsinn in einen simplen Standard Setup.
Fragt sich also was du da verschlimmbessert hast...?!
Aber egal wenns nun alles rennt wie es soll ist es ja gut.
Generell sieht man daran die Problematik von Router bzw. NAT Kaskaden. Technisch sinnvoller ist es immer die pfSense mit einem Nur Modem am Anschluss zu betreiben und die FB dann als VoIP Anlage im internen lokalen LAN zu betreiben.
Na ja es gibt viele Wege nach Rom !
Case closed !
Hallo Aqui,
Danke für den Hinweis.
Nun, es ist sicherlich nicht ideal wegen den doppelten NAT die Firewall zwischen Fritz-Box und Switch zu hängen.
Alternativ müsste ich zusätzlich ein reines VDSL Modem kaufen, was auch zusätzlich Strom verbraucht.
Auf die Fritz-Box kann ich wegen der IP-Telefonie leider nicht verzichten, und so macht diese gleich die Interneteinwahl und DynDNS mit.
Also am Defautl-NAT habe ich eigentlich nichts verändert. Auch glaube ich nicht das mein Problem etwas mit der NAT-Kaskade mit der Fritz-Box zu tun hat.
Ich konnte ja auf das LAN-Netzwerk zugreifen. Nur nicht auf jede Webseite im lokalen LAN (einzelne schon)
Ich kann es mir nur so erklären.
Das Problem entsteht nur dann wenn die Zieladresse des Paketes das Subnet der Quelladresse überprüft. Bei mir prüft z.B. die Fritz-Box oder die Konfigurationseite meines Servers ob die Anfrage aus dem gleichen Subnet in ./24 Notation liegt. Eine andere lokale Webseite prüft die Quelladresse in ./16 Notation.
Ich hatte herausgefunden, nachdem ich die IP-Range der OpenVPN-Servers auf den Bereich 192.168.116.0/24 legte, das ich wieder auf eine Konfigurationsseite mehr zugreifen konnte.
Nun mit diesem ausgehenden NAT habe ich eigentlich nichts anderes gemacht als die Absenderadresse des Paketes verändert.
Eigentlich das gleiche wie die Anweisung
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Gruß
dahoam
Danke für den Hinweis.
Nun, es ist sicherlich nicht ideal wegen den doppelten NAT die Firewall zwischen Fritz-Box und Switch zu hängen.
Alternativ müsste ich zusätzlich ein reines VDSL Modem kaufen, was auch zusätzlich Strom verbraucht.
Auf die Fritz-Box kann ich wegen der IP-Telefonie leider nicht verzichten, und so macht diese gleich die Interneteinwahl und DynDNS mit.
Also am Defautl-NAT habe ich eigentlich nichts verändert. Auch glaube ich nicht das mein Problem etwas mit der NAT-Kaskade mit der Fritz-Box zu tun hat.
Ich konnte ja auf das LAN-Netzwerk zugreifen. Nur nicht auf jede Webseite im lokalen LAN (einzelne schon)
Ich kann es mir nur so erklären.
Das Problem entsteht nur dann wenn die Zieladresse des Paketes das Subnet der Quelladresse überprüft. Bei mir prüft z.B. die Fritz-Box oder die Konfigurationseite meines Servers ob die Anfrage aus dem gleichen Subnet in ./24 Notation liegt. Eine andere lokale Webseite prüft die Quelladresse in ./16 Notation.
Ich hatte herausgefunden, nachdem ich die IP-Range der OpenVPN-Servers auf den Bereich 192.168.116.0/24 legte, das ich wieder auf eine Konfigurationsseite mehr zugreifen konnte.
Nun mit diesem ausgehenden NAT habe ich eigentlich nichts anderes gemacht als die Absenderadresse des Paketes verändert.
Eigentlich das gleiche wie die Anweisung
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Gruß
dahoam
wegen den doppelten NAT
Autsch !!Der Dativ ist dem Genitiv sein Tod !!
Auch glaube ich nicht das mein Problem etwas mit der NAT-Kaskade mit der Fritz-Box zu tun hat.
Hat es auch nicht !meines Servers ob die Anfrage aus dem gleichen Subnet in ./24 Notation liegt.
Ist vermutlich Blödsinn, denn kein Webserver macht eine solche Plausibilitätsprüfing nach der Maske !Welche Funktion sollte das sein und wozu sollte das gut sein. "Normale" Webserver machen sowas nicht !
Zumal wir weltweit seit langem CIDR Netzadressen haben: https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Das ist also vermutlich technischer Unsinn und kann man mit einem Wireshark Trace vermutlich auch belegen.
ich die IP-Range der OpenVPN-Servers auf den Bereich 192.168.116.0/24 legte
Das klingt plausibler und zeigt das du (vermutlich) einen grundlegenden Designfehler im VPN IP Adress Schema bei dir gemacht hast ! Guckst du dazu hier:VPNs einrichten mit PPTP
mit diesem ausgehenden NAT habe ich eigentlich nichts anderes gemacht...
Und das klingt noch viel gruseliger wenn du damit NAT im VPN Tunnel meinst ?!Das ist natürlich der allergrößte Blödsinn in einem VPN Design, denn damit schaffst du dir Routing technisch eine Einbahnstrasse im VPN und kannst nicht mehr transparent routen zw. den Netzen.
NAT im VPN Tunnel hat in einem VPN Design wie deinem NICHTS zu suchen ! Ein Fehler, denn warum sollte man intern überflüssiges NAT machen.
Das solltest du dringenst abschalten denn das ist grundfalsch !
Zumal es im VPN noch Performance frisst und es lahm macht.
Dein Problem ist also klar hier in dieser Fehlkonfiguration zu sehen und nirgendwo anders !
