123788
Jun 01, 2019 at 14:36:44 (UTC)
8497
12
0
PfSense: Routing von LAN in openVPN
Hallo zusammen,
habe eine pfSense, diese ist als Client an einen entfernten openVPN-Server angeschlossen.
Auf diesem Server läuft freeradius, das ich für's Auth in einem WLAN benutzen möchte (die zugehörigen APs hängen wiederum im Netz, in dem sich die pfSense befindet).
Also quasi so:
AP -> pfSense -> (per openVPN) Server
Wie bekomme ich das hin? Die Verbindungen stehen wie gesagt alle. Die Frage ist: Wie richte ich dieses Routing an pfSense ein?
habe eine pfSense, diese ist als Client an einen entfernten openVPN-Server angeschlossen.
Auf diesem Server läuft freeradius, das ich für's Auth in einem WLAN benutzen möchte (die zugehörigen APs hängen wiederum im Netz, in dem sich die pfSense befindet).
Also quasi so:
AP -> pfSense -> (per openVPN) Server
Wie bekomme ich das hin? Die Verbindungen stehen wie gesagt alle. Die Frage ist: Wie richte ich dieses Routing an pfSense ein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458019
Url: https://administrator.de/contentid/458019
Printed on: April 26, 2024 at 14:04 o'clock
12 Comments
Latest comment
Edit: Ich bin inzwischen so weit, einfach eine passende Firewall-Regel hinzugefügt zu haben. Damit sehe ich auch, dass die Verbindung vom AP grundsätzlich auf dem Server ankommt... allerdings scheint es danach irgendwo zu harken. Jedenfalls funktioniert der Login nicht.
Radius-Server habe ich von einer anderen Instanz kopiert, dort lief alles...
Radius-Server habe ich von einer anderen Instanz kopiert, dort lief alles...
Im Grunde ist das ganz einfach !
3 Dinge sind wichtig !
Grundlagen dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://de.wikipedia.org/wiki/Harke_(Werkzeug)
Was hat das jetzt damit zu tun ???
3 Dinge sind wichtig !
- Im Server gibst du in der Konfig Datei über das push ... Kommando an welche IP Netz du an den Client übergibst. Ob diese IP Netze bei deiner pfSense (die ja Client ist) angekommen sind kannst du in der Routing Tabelle sehen bei aktiver OVPN Verbindung.
- FW Regel: Auf dem virtuellen OVPN Interface musst du zwingend eine Regel erstellen die diese Netze durchlässt. Zum Testen tuts dort eine any any Regel, die du aber später besser anbassen solltest !
- Der Server muss IPv4 Forwarding aktiviert haben sonst routet er die VPN Pakete NICHT in das lokale LAN ! Bei Linux ist das Entkommentieren der Zeile #net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf
Grundlagen dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
irgendwo zu harken
harken ???https://de.wikipedia.org/wiki/Harke_(Werkzeug)
Was hat das jetzt damit zu tun ???
Jau ich glaub, da hapert's bei mir noch am Verständnis zu "push"... ich geb mal mehr Infos:
Der Server ist'n V-Server, der ist dementsprechend nur per openVPN erreichbar (172.16.0.1/24)
Der AP hängt in irgendeinem VLAN an der pfSense rum (10.0.0.2/24), pfSense (10.0.0.1/24).
Was genau muss ich nun wo pushen und konfigurieren?
Und die Harken... die erklär ich dir dann später
Ich hab bisher:
Im WLAN-Controller die VPN-IP des V-Servers eingetragen in der Radius-config
An der pfSense auf dem VLAN, an dem der AP hängt ne Regel eingefügt:
Erlaube 1812/udp von AP an 172.16.0.1
Über iptstate sehe ich auf dem V-Server auf Port 1812 auch von 10.0.0.2 was ankommen... das war's dann aber auch.
Ist Routing und Forwarding dann nötig? Denn 172.16.0.1 ist ja quasi die korrekte (VPN)-IP des Radius-Dienstes.
Der Server ist'n V-Server, der ist dementsprechend nur per openVPN erreichbar (172.16.0.1/24)
Der AP hängt in irgendeinem VLAN an der pfSense rum (10.0.0.2/24), pfSense (10.0.0.1/24).
Was genau muss ich nun wo pushen und konfigurieren?
Und die Harken... die erklär ich dir dann später
Ich hab bisher:
Im WLAN-Controller die VPN-IP des V-Servers eingetragen in der Radius-config
An der pfSense auf dem VLAN, an dem der AP hängt ne Regel eingefügt:
Erlaube 1812/udp von AP an 172.16.0.1
Über iptstate sehe ich auf dem V-Server auf Port 1812 auch von 10.0.0.2 was ankommen... das war's dann aber auch.
Ist Routing und Forwarding dann nötig? Denn 172.16.0.1 ist ja quasi die korrekte (VPN)-IP des Radius-Dienstes.
Interessant ist:
Setze ich in der clients.conf die IP des AP mal bewusst auf eine Falsche, so erhalte ich auf meine Login-Versuche sogar eine Meldung:
Korrekte Login-Versuche werden jedoch nicht angezeigt, der Test-Client kann sich nicht einloggen... kann er aber, wenn ich wieder den Radius-Server hier im LAN verwende (der identisch ist).
Setze ich in der clients.conf die IP des AP mal bewusst auf eine Falsche, so erhalte ich auf meine Login-Versuche sogar eine Meldung:
Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 10.0.0.222 port 38297 proto udpKorrekte Login-Versuche werden jedoch nicht angezeigt, der Test-Client kann sich nicht einloggen... kann er aber, wenn ich wieder den Radius-Server hier im LAN verwende (der identisch ist).
Hallo mrserious73,
Wie aqui schon sagte musst du forwarding in JEDEM FALL aktivieren auf dem vServer.
Außerdem braucht der vServer eine Route in dein LAN (sonst weis er ja nicht, wo die Antworten hingehören).
Das geht mittels client-config und einer iroute im openVPN-Server.
In der openvpn-server.conf musst du "route 10.0.0.0 255.255.255.0" hinzufügen und im client-config-dir (ggf. vorher in der server.conf aktivieren) eine datei für deine pfsense anlegen (name=common-name des x509 Zertifikats), in die kommt dann "iroute 10.0.0.0 255.255.255.0".
Da etwas auf dem vServer ankommt, gehe ich davon aus, dass das Routing zum vServer passt, sonst hätte ich noch darauf getippt, dass die PfSense zwar Routen kann aber für den AP nicht das Default-Gateway ist.
Und wie gesagt, die Firewallregeln gehören rein.
Gruß
Ketanest
Wie aqui schon sagte musst du forwarding in JEDEM FALL aktivieren auf dem vServer.
Außerdem braucht der vServer eine Route in dein LAN (sonst weis er ja nicht, wo die Antworten hingehören).
Das geht mittels client-config und einer iroute im openVPN-Server.
In der openvpn-server.conf musst du "route 10.0.0.0 255.255.255.0" hinzufügen und im client-config-dir (ggf. vorher in der server.conf aktivieren) eine datei für deine pfsense anlegen (name=common-name des x509 Zertifikats), in die kommt dann "iroute 10.0.0.0 255.255.255.0".
Da etwas auf dem vServer ankommt, gehe ich davon aus, dass das Routing zum vServer passt, sonst hätte ich noch darauf getippt, dass die PfSense zwar Routen kann aber für den AP nicht das Default-Gateway ist.
Und wie gesagt, die Firewallregeln gehören rein.
Gruß
Ketanest
Ein Blick in die Routing Tabelle der pfSense hilft wie immer...
Moin!
Habe ich genau wie von dir vorgeschlagen gemacht...
Resultat beim Starten von openVPN:
und ja, die pfSense ist Gateway für den AP, ne passende Firewallregel habe ich wie gesagt erstellt.
in der server.conf:
Im ccd-File mit dem passenden CN-Namen:
Habe ich genau wie von dir vorgeschlagen gemacht...
Resultat beim Starten von openVPN:
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.0.0.0und ja, die pfSense ist Gateway für den AP, ne passende Firewallregel habe ich wie gesagt erstellt.
in der server.conf:
route 10.0.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccdIm ccd-File mit dem passenden CN-Namen:
ifconfig-push 172.16.0.2 255.255.255.0
iroute 10.0.0.0 255.255.255.0
Hier kannst du dir das nochmal genau ansehen wie es richtig gemacht wird.
https://community.openvpn.net/openvpn/wiki/RoutedLans
Essentiell ist auch das der Server IPv4 Forwarding aktiviert hat. Ist das der Fall ??
https://community.openvpn.net/openvpn/wiki/RoutedLans
Essentiell ist auch das der Server IPv4 Forwarding aktiviert hat. Ist das der Fall ??
Nach dem ausklammern des statements in der /etc/sysconfig (Edit: sysctl.conf) muss der Server auch mal rebootet werden sonst aktiviert er es nicht.
Oder alternativ dann ohne reboot:
Oder alternativ dann ohne reboot:
echo 1 > /proc/sys/net/ipv4/ip_forward
Moin Leute,
habe es in der sysctl.conf angepasst und dann sysctl -p durchgeführt... das sollte es ja aktivieren?
Jegliches iptables-Setting war derweil aus.
Ich kann aber später mal rebooten und sehen, ob es dann klappt.
Mich irritiert aber die openVPN-Fehlermeldung? Die sollte doch nicht sein?
In der Routing-Tabelle des vServers sah ich nämlich auch nichts für 10.0.0.0/24.
habe es in der sysctl.conf angepasst und dann sysctl -p durchgeführt... das sollte es ja aktivieren?
Jegliches iptables-Setting war derweil aus.
Ich kann aber später mal rebooten und sehen, ob es dann klappt.
Mich irritiert aber die openVPN-Fehlermeldung? Die sollte doch nicht sein?
In der Routing-Tabelle des vServers sah ich nämlich auch nichts für 10.0.0.0/24.
Wie Aqui schon schrieb:
https://community.openvpn.net/openvpn/wiki/RoutedLans
Ich hab meine Variante aus meiner Erinnerung gepostet. Ob alles so zu 100 % stimmt, kann ich jetzt nicht garantieren. Es sollte aber weitgehend richtig sein.
Gruß ketanest
https://community.openvpn.net/openvpn/wiki/RoutedLans
Ich hab meine Variante aus meiner Erinnerung gepostet. Ob alles so zu 100 % stimmt, kann ich jetzt nicht garantieren. Es sollte aber weitgehend richtig sein.
Gruß ketanest
Mich irritiert aber die openVPN-Fehlermeldung? Die sollte doch nicht sein?
Ja, da ist irgendwas noch faul !Du verwendest dort vermutlich ein Route Kommando was in einer Server Konfig Datei oder vice versa in einer Client Konfig Datei nichts zu suchen hat ?!