Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense: Routing von LAN in openVPN

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

01.06.2019 um 16:36 Uhr, 491 Aufrufe, 12 Kommentare

Hallo zusammen,

habe eine pfSense, diese ist als Client an einen entfernten openVPN-Server angeschlossen.
Auf diesem Server läuft freeradius, das ich für's Auth in einem WLAN benutzen möchte (die zugehörigen APs hängen wiederum im Netz, in dem sich die pfSense befindet).

Also quasi so:

AP -> pfSense -> (per openVPN) Server

Wie bekomme ich das hin? Die Verbindungen stehen wie gesagt alle. Die Frage ist: Wie richte ich dieses Routing an pfSense ein?
Mitglied: mrserious73
01.06.2019 um 18:19 Uhr
Edit: Ich bin inzwischen so weit, einfach eine passende Firewall-Regel hinzugefügt zu haben. Damit sehe ich auch, dass die Verbindung vom AP grundsätzlich auf dem Server ankommt... allerdings scheint es danach irgendwo zu harken. Jedenfalls funktioniert der Login nicht.
Radius-Server habe ich von einer anderen Instanz kopiert, dort lief alles...
Bitte warten ..
Mitglied: aqui
01.06.2019, aktualisiert um 18:34 Uhr
Im Grunde ist das ganz einfach !
3 Dinge sind wichtig !
  • Im Server gibst du in der Konfig Datei über das push ... Kommando an welche IP Netz du an den Client übergibst. Ob diese IP Netze bei deiner pfSense (die ja Client ist) angekommen sind kannst du in der Routing Tabelle sehen bei aktiver OVPN Verbindung.
  • FW Regel: Auf dem virtuellen OVPN Interface musst du zwingend eine Regel erstellen die diese Netze durchlässt. Zum Testen tuts dort eine any any Regel, die du aber später besser anbassen solltest !
  • Der Server muss IPv4 Forwarding aktiviert haben sonst routet er die VPN Pakete NICHT in das lokale LAN ! Bei Linux ist das Entkommentieren der Zeile #net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf
Wenn du das beachtest kommt das sofort zum Fliegen.
Grundlagen dazu auch hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
irgendwo zu harken
harken ???
https://de.wikipedia.org/wiki/Harke_(Werkzeug)
Was hat das jetzt damit zu tun ???
Bitte warten ..
Mitglied: mrserious73
01.06.2019, aktualisiert um 18:41 Uhr
Jau ich glaub, da hapert's bei mir noch am Verständnis zu "push"... ich geb mal mehr Infos:

Der Server ist'n V-Server, der ist dementsprechend nur per openVPN erreichbar (172.16.0.1/24)
Der AP hängt in irgendeinem VLAN an der pfSense rum (10.0.0.2/24), pfSense (10.0.0.1/24).

Was genau muss ich nun wo pushen und konfigurieren?

Und die Harken... die erklär ich dir dann später

Ich hab bisher:
Im WLAN-Controller die VPN-IP des V-Servers eingetragen in der Radius-config
An der pfSense auf dem VLAN, an dem der AP hängt ne Regel eingefügt:
Erlaube 1812/udp von AP an 172.16.0.1

Über iptstate sehe ich auf dem V-Server auf Port 1812 auch von 10.0.0.2 was ankommen... das war's dann aber auch.

Ist Routing und Forwarding dann nötig? Denn 172.16.0.1 ist ja quasi die korrekte (VPN)-IP des Radius-Dienstes.
Bitte warten ..
Mitglied: mrserious73
01.06.2019 um 19:41 Uhr
Interessant ist:
Setze ich in der clients.conf die IP des AP mal bewusst auf eine Falsche, so erhalte ich auf meine Login-Versuche sogar eine Meldung:

01.
Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 10.0.0.222 port 38297 proto udp
Korrekte Login-Versuche werden jedoch nicht angezeigt, der Test-Client kann sich nicht einloggen... kann er aber, wenn ich wieder den Radius-Server hier im LAN verwende (der identisch ist).
Bitte warten ..
Mitglied: ketanest112
02.06.2019, aktualisiert um 11:31 Uhr
Hallo mrserious73,

Wie aqui schon sagte musst du forwarding in JEDEM FALL aktivieren auf dem vServer.
Außerdem braucht der vServer eine Route in dein LAN (sonst weis er ja nicht, wo die Antworten hingehören).
Das geht mittels client-config und einer iroute im openVPN-Server.
In der openvpn-server.conf musst du "route 10.0.0.0 255.255.255.0" hinzufügen und im client-config-dir (ggf. vorher in der server.conf aktivieren) eine datei für deine pfsense anlegen (name=common-name des x509 Zertifikats), in die kommt dann "iroute 10.0.0.0 255.255.255.0".
Da etwas auf dem vServer ankommt, gehe ich davon aus, dass das Routing zum vServer passt, sonst hätte ich noch darauf getippt, dass die PfSense zwar Routen kann aber für den AP nicht das Default-Gateway ist.
Und wie gesagt, die Firewallregeln gehören rein.

Gruß
Ketanest
Bitte warten ..
Mitglied: aqui
02.06.2019 um 11:34 Uhr
Ein Blick in die Routing Tabelle der pfSense hilft wie immer...
Bitte warten ..
Mitglied: mrserious73
02.06.2019, aktualisiert um 13:02 Uhr
Moin!

Habe ich genau wie von dir vorgeschlagen gemacht...
Resultat beim Starten von openVPN:

01.
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
02.
OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.0.0.0
und ja, die pfSense ist Gateway für den AP, ne passende Firewallregel habe ich wie gesagt erstellt.

in der server.conf:

01.
route 10.0.0.0 255.255.255.0
02.
client-config-dir /etc/openvpn/ccd
Im ccd-File mit dem passenden CN-Namen:

01.
ifconfig-push 172.16.0.2 255.255.255.0
02.
iroute 10.0.0.0 255.255.255.0
Bitte warten ..
Mitglied: aqui
02.06.2019 um 13:23 Uhr
Hier kannst du dir das nochmal genau ansehen wie es richtig gemacht wird.
https://community.openvpn.net/openvpn/wiki/RoutedLans
Essentiell ist auch das der Server IPv4 Forwarding aktiviert hat. Ist das der Fall ??
Bitte warten ..
Mitglied: ketanest112
02.06.2019, aktualisiert um 13:30 Uhr
Nach dem ausklammern des statements in der /etc/sysconfig (Edit: sysctl.conf) muss der Server auch mal rebootet werden sonst aktiviert er es nicht.
Oder alternativ dann ohne reboot:
01.
echo 1 > /proc/sys/net/ipv4/ip_forward
Bitte warten ..
Mitglied: mrserious73
02.06.2019 um 13:34 Uhr
Moin Leute,

habe es in der sysctl.conf angepasst und dann sysctl -p durchgeführt... das sollte es ja aktivieren?
Jegliches iptables-Setting war derweil aus.
Ich kann aber später mal rebooten und sehen, ob es dann klappt.

Mich irritiert aber die openVPN-Fehlermeldung? Die sollte doch nicht sein?
In der Routing-Tabelle des vServers sah ich nämlich auch nichts für 10.0.0.0/24.
Bitte warten ..
Mitglied: ketanest112
02.06.2019 um 13:41 Uhr
Wie Aqui schon schrieb:
https://community.openvpn.net/openvpn/wiki/RoutedLans

Ich hab meine Variante aus meiner Erinnerung gepostet. Ob alles so zu 100 % stimmt, kann ich jetzt nicht garantieren. Es sollte aber weitgehend richtig sein.

Gruß ketanest
Bitte warten ..
Mitglied: aqui
04.06.2019, aktualisiert um 13:12 Uhr
Mich irritiert aber die openVPN-Fehlermeldung? Die sollte doch nicht sein?
Ja, da ist irgendwas noch faul !
Du verwendest dort vermutlich ein Route Kommando was in einer Server Konfig Datei oder vice versa in einer Client Konfig Datei nichts zu suchen hat ?!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OpenVPN Routing Probleme
gelöst Frage von achim222Router & Routing7 Kommentare

Hallo, ich möchte gerne das Netzwerk hinter einem Client erreichen. Der Client verbindet sich per OpenVPN mit einem Windowsserver, ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Neue Wissensbeiträge
Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 3 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 4 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server34 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android25 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen19 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Windows Server
Verbindunsproblem zwischen Klient und Wsus-Server
Frage von flashgordon78Windows Server16 Kommentare

Liebe Forum Besucher! Ich habe ein Wsus_Server (Win Server 2016) erstellt und die Update sind herunterladen worden. Aber ich ...