5
Port Forwarding durch openvpn Tunnel
Hallo Zusammen und ein gutes neues JAhr,
Ich habe über die Feiertage einen RPI4 angeschafft und mein Monitoring darauf installiert.
Dummerweise habe ich ja bei Unitymedia einen DS-Lite keine eigene IPv4 Adresse.
Also habe ich den PI ,schon aufgrund des Monitorings in den VPN Tunnel gehängt.
Ich möchte nun für Management Zwecke eine Port Weiterleitung von der öffentlichen IPv4 Adresse der PFsense durch den Tunnel auf die interne Tunnel IP des PIs machen.
Problem an der Stelle macht aktuell noch das NAT.
Also -- Public pfsense IP -- > Tunnel --> VPN IP des RPIs
Der PI hat seine default route standardmäßig über den DS-Lite Anschluss liegen.
Heißt , wenn ich durch den Tunnel das Port Forward aktiviere, funktioniert das auch.
Mittels tcpdump sehe ich auch, dass etwas am PI ankommt. Hier sehe ich allerdings die öffentliche Absende IP Adresse.
Die Antwort für das Paket schickt der PI also über die default Route.
Wenn ich redirect Route mache, geht das natürlich. Das geht natürlich auf die Performance.
Ich benötige also vollständige NAT diese Regel , bzw den Tunnel.
Hat jemand eine Idee, wie ich das am besten baue ?
Vielen Dank
Christian
Ich habe über die Feiertage einen RPI4 angeschafft und mein Monitoring darauf installiert.
Dummerweise habe ich ja bei Unitymedia einen DS-Lite keine eigene IPv4 Adresse.
Also habe ich den PI ,schon aufgrund des Monitorings in den VPN Tunnel gehängt.
Ich möchte nun für Management Zwecke eine Port Weiterleitung von der öffentlichen IPv4 Adresse der PFsense durch den Tunnel auf die interne Tunnel IP des PIs machen.
Problem an der Stelle macht aktuell noch das NAT.
Also -- Public pfsense IP -- > Tunnel --> VPN IP des RPIs
Der PI hat seine default route standardmäßig über den DS-Lite Anschluss liegen.
Heißt , wenn ich durch den Tunnel das Port Forward aktiviere, funktioniert das auch.
Mittels tcpdump sehe ich auch, dass etwas am PI ankommt. Hier sehe ich allerdings die öffentliche Absende IP Adresse.
Die Antwort für das Paket schickt der PI also über die default Route.
Wenn ich redirect Route mache, geht das natürlich. Das geht natürlich auf die Performance.
Ich benötige also vollständige NAT diese Regel , bzw den Tunnel.
Hat jemand eine Idee, wie ich das am besten baue ?
Vielen Dank
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 531432
Url: https://administrator.de/contentid/531432
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Mach in der Postrouting Chain für die Pakete die an den PI gehen einfach noch ein SRC-NAT auf die pfSense IP, fertsch.
Ich möchte nun für Management Zwecke eine Port Weiterleitung von der öffentlichen IPv4 Adresse der PFsense
Bei einem DS-Lite Anschluss hast du keine öffentliche IP Adresse !Deshalb scheitert ein VPN, egal welcher Art, grundsätzlich bei DS-Lite, jedenfalls wenn die DS-Lite Seite VPN Responder ist. Das kann technisch nicht gehen, jedenfalls nicht mit IPv4 !
Deine o.a. Beschreibung ist so oberflächlich und lückenhaft das man ohne freies Raten nicht sinnvoll und zielführend darauf antworten kann.
Gerade der Punkt wie dein VPN realisiert ist und welcher Art das VPN ist erfordert erstmal eine Kristallkugel....
@aqui, der Tunnel steht doch und wie der TO schreibt, wird der per OpenVPN vom Raspberry zur pfSense aufgebaut.
Steht alles da. Wichtig ist nur: Der Tunnel steht bereits und es fließt Traffic darüber.
Das Problem des TO ist nur, dass Traffic, welcher über den Tunnel hereinkommt aufgrund der Defaultroute über einen falschen Weg beantwortet wird.
Da hat @142232 schon angedeutet, was man dagegen tun kann, damit der Traffic symmetrisch läuft und über korrekten Weg beantwortet wird.
Steht alles da. Wichtig ist nur: Der Tunnel steht bereits und es fließt Traffic darüber.
Das Problem des TO ist nur, dass Traffic, welcher über den Tunnel hereinkommt aufgrund der Defaultroute über einen falschen Weg beantwortet wird.
Da hat @142232 schon angedeutet, was man dagegen tun kann, damit der Traffic symmetrisch läuft und über korrekten Weg beantwortet wird.
OK, sorry, überlesen ! My fault...!
Gut, das mit der Route ist ja in 3 Minuten korrigiert. Hier steht wie es geht auf dem RasPi:
Clientverbindung OpenVPN Mikrotik
Gut, das mit der Route ist ja in 3 Minuten korrigiert. Hier steht wie es geht auf dem RasPi:
Clientverbindung OpenVPN Mikrotik
Ahhhh das sieht doch schon mal besser aus.
Perfekt. Vielen Dank
Schade das ich das nicht direkt in der Port Freigabe definieren kann.
Aber eine Regel mehr ist auch nicht schlimm.
@aqui die Geschichte mit dem NAT ist wohl richtig.
Ein Openvpn funktioniert da allerdings problemlos.
IPsec nun ja, das ist so eine Sache. Da gebe ich dir recht. Das klappt nicht ganz so richtig.
Aktuell bin ich aber am überlegen, alles über IPv6 zu machen.
VG
Christian
Perfekt. Vielen Dank
Schade das ich das nicht direkt in der Port Freigabe definieren kann.
Aber eine Regel mehr ist auch nicht schlimm.
@aqui die Geschichte mit dem NAT ist wohl richtig.
Ein Openvpn funktioniert da allerdings problemlos.
IPsec nun ja, das ist so eine Sache. Da gebe ich dir recht. Das klappt nicht ganz so richtig.
Aktuell bin ich aber am überlegen, alles über IPv6 zu machen.
VG
Christian
