123788
Sep 03, 2015, updated at Sep 05, 2015 (UTC)
4684
10
0
PfSense, Routing von VPN in lokales Netz
Hallo!
Ich betreibe ein pfSense-System, auf dem ein VPN-Server (openVPN) läuft.
Momentan ist das Ganze so konfiguriert, dass sich die Clients nur zu pfSense verbinden können, an diesem Endpunkt werden aber keine Dienste angeboten.
Wohl aber auf einem Server, der "hinter" pfSense hängt.
Zu diesen Diensten möchte ich nun über den VPN-Tunnel Zugang ermöglichen.
Wie mache ich das?
Nach Möglichkeit möchte ich auch wirklich nur einzelne Ports weiterleiten.
z.B. so:
VPN-Client -> pfSense -> über Port 80/tcp auf Webserver im LAN
VPN-Client -> pfSense -> über Port 21/tcp auf FTP-Server im LAN
Grüße
Ich betreibe ein pfSense-System, auf dem ein VPN-Server (openVPN) läuft.
Momentan ist das Ganze so konfiguriert, dass sich die Clients nur zu pfSense verbinden können, an diesem Endpunkt werden aber keine Dienste angeboten.
Wohl aber auf einem Server, der "hinter" pfSense hängt.
Zu diesen Diensten möchte ich nun über den VPN-Tunnel Zugang ermöglichen.
Wie mache ich das?
Nach Möglichkeit möchte ich auch wirklich nur einzelne Ports weiterleiten.
z.B. so:
VPN-Client -> pfSense -> über Port 80/tcp auf Webserver im LAN
VPN-Client -> pfSense -> über Port 21/tcp auf FTP-Server im LAN
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281909
Url: https://administrator.de/contentid/281909
Printed on: April 19, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hallo,
erstelle einfach eine Firewall Regel welche es dem OpenVPN Interface auf gewisse Ports im LAN zuzugreifen.
Gruß
erstelle einfach eine Firewall Regel welche es dem OpenVPN Interface auf gewisse Ports im LAN zuzugreifen.
Gruß
Hi,
Gruß orcape
erstelle einfach eine Firewall Regel welche es dem OpenVPN Interface auf gewisse Ports im LAN zuzugreifen.
...ausserdem muss zwingend ein push route Eintrag in die Server.config, der auf das LAN verweist.Gruß orcape
Guten Morgen,
ok, ich gehe also unter Firewall -> Rules auf den Punkt "OpenVPN" und lege dort die passende Regel an?
Und der Client benötigt in der openVPN-config ein pull, während auf dem Server etwas in der Art "push route 192.168.0.1 255.255.255.252" eingetragen wird?
(der zugänglich zu machende Server hängt direkt an der pfSense-Maschine, mehr Clients sind in dem LAN nicht).
Grüße
ok, ich gehe also unter Firewall -> Rules auf den Punkt "OpenVPN" und lege dort die passende Regel an?
Und der Client benötigt in der openVPN-config ein pull, während auf dem Server etwas in der Art "push route 192.168.0.1 255.255.255.252" eingetragen wird?
(der zugänglich zu machende Server hängt direkt an der pfSense-Maschine, mehr Clients sind in dem LAN nicht).
Grüße
Zitat von @123788:
Guten Morgen,
ok, ich gehe also unter Firewall -> Rules auf den Punkt "OpenVPN" und lege dort die passende Regel an?
Guten Morgen,
ok, ich gehe also unter Firewall -> Rules auf den Punkt "OpenVPN" und lege dort die passende Regel an?
Nein, du gehst zu LAN, da Firewall Regeln immer nur Inbound gelten und du willst ja vom VPN ins LAN etwas erlauben.
Gruß
Wie mache ich das?
Du machst wie immer den klassischen Anfängerfehler, denn du hast vermutlich vergessen eine Firewall Regel sowohl auf dem VPN Interface (virtuell) als auch auf dem LAN Interface einzurichten.Vergiss nicht das du hier eine Firewall hast wo alles verboten ist was nicht explizit erlaubt ist !
Du musst dort die entsprechenden IP Netz oder IP Hosts und die zugehörigen Applikationsports öffen und das wars dann.
Tip:
Du solltest hier zuallererst mit einer "Scheunentor" Regel angangen, das du was OVPN Netzwerk komplett aufs LAN erlaubst und vice versa.
Damit testest du dann sauber die Funktionalität der Erreichbarkeit und dann modifizierst du die FW Regeln entsprechend deinen Vorgaben.
So weisst du immer das das VPN sauber funktioniert und irgendeine Nichterreichbarkeit dann aussschliesslich an einer fehlerhaften FW Regel liegt.
Dort gilt wie immer:
- Regeln gelden nur INBOUND !
- First Match wins ! Greift also eine Regel werden folgende NICHT mehr abgearbeitet ! Reihenfolge zählt hier also !
Weitere Hilfen findest du wie immer hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hallo,
ich arbeite schon seit Jahren mit Firewalls, bisher allerdings immer nur mit selbst geschriebenen Skripts für iptables, dort finde ich das aufgrund meiner Erfahrung "einfacher"
Ok, ich erledige das also unter "LAN", dort muss ich dann ja das Interface auswählen, um das es geht.
Dort wird mir nur "openVPN" angezeigt, obwohl auf dem Server - auch jetzt schon - mehrere VPNs laufen.
Ich fänd's schöner, ich könnte jedes VPN-Interface einzeln auswählen, so geht das z.B. mit iptables.
Gibt's da ne Möglichkeit, oder muss ich damit leben? Über den Source-IP-Bereich kann ich es ja zumindest ein bisschen weiter einschränken, da die VPNs alle verschiedene Adressbereiche verwenden.
ich arbeite schon seit Jahren mit Firewalls, bisher allerdings immer nur mit selbst geschriebenen Skripts für iptables, dort finde ich das aufgrund meiner Erfahrung "einfacher"
Ok, ich erledige das also unter "LAN", dort muss ich dann ja das Interface auswählen, um das es geht.
Dort wird mir nur "openVPN" angezeigt, obwohl auf dem Server - auch jetzt schon - mehrere VPNs laufen.
Ich fänd's schöner, ich könnte jedes VPN-Interface einzeln auswählen, so geht das z.B. mit iptables.
Gibt's da ne Möglichkeit, oder muss ich damit leben? Über den Source-IP-Bereich kann ich es ja zumindest ein bisschen weiter einschränken, da die VPNs alle verschiedene Adressbereiche verwenden.
Oha...dann bist du mit einem Klicki Bunti GUI der pfSense sicher unterfordert 
Spaß beiseite...
Dort wählst du das OVPN Interface, und erlaubst hier Inbound Traffic des remoten IP Netzwerks nach any (Scheunentor).
Am LAN Port hast du eh ein Lan network to any Regel als Default sofern du diese nicht verändert hast. Dort musst du also nichts machen es sei denn wie gesagt du hast die Default LAN Regel modifiziert.
Wenns kneift sieh immer ins Firewall Log. Das sagt dir genau wo Pakete geblockt werden.
Spaß beiseite...
Ok, ich erledige das also unter "LAN", dort muss ich dann ja das Interface auswählen, um das es geht.
Nein vollkommen falsch... Du erledigst das unter Firewall -> RulesDort wählst du das OVPN Interface, und erlaubst hier Inbound Traffic des remoten IP Netzwerks nach any (Scheunentor).
Am LAN Port hast du eh ein Lan network to any Regel als Default sofern du diese nicht verändert hast. Dort musst du also nichts machen es sei denn wie gesagt du hast die Default LAN Regel modifiziert.
Wenns kneift sieh immer ins Firewall Log. Das sagt dir genau wo Pakete geblockt werden.
Ah, ich beginne es zu verstehen, danke
Also habe ich aber keine Möglichkeit, das exakte ovpn-Interface auszuwählen?
Mir bleibt nur, den Source-IP-Bereich entsprechend anzupassen?
Also habe ich aber keine Möglichkeit, das exakte ovpn-Interface auszuwählen?
Mir bleibt nur, den Source-IP-Bereich entsprechend anzupassen?
Zitat von @123788:
Ah, ich beginne es zu verstehen, danke
Also habe ich aber keine Möglichkeit, das exakte ovpn-Interface auszuwählen?
Mir bleibt nur, den Source-IP-Bereich entsprechend anzupassen?
Ah, ich beginne es zu verstehen, danke
Also habe ich aber keine Möglichkeit, das exakte ovpn-Interface auszuwählen?
Mir bleibt nur, den Source-IP-Bereich entsprechend anzupassen?
Wie viele OpenVPN Instanzen laufen denn auf deiner PfSense?
1
Momentan sind's 2, es dürften dann so 5 werden.
