ketanest112
Goto Top

Routing über PfSense an VPN-Gateway schlägt fehl, Ping geht aber

Hallo zusammen,

ich habe folgendes Szenario:

LAN: 192.168.10.0/24
VPN-Gateway: 192.168.10.249
PfSense: 192.168.10.254

WAN: 192.168.0.0/24
PfSense-WAN: 192.168.0.10
Fritzbox 192.168.0.1

VPN: 192.168.254.0/24
VPN-Server 192.168.0.1
VPN-Gateway: 192.168.254.5/6

Ich hab nen Server zuhause stehen zum Virtualisieren.
Auf diesem läuft ein VPN-Gateway (Ubuntu mit OpenVPN).
Jetzt wollte ne Firewall einrichten (PfSense).
Hatte das auch soweit konfiguriert gehabt. NAT fürs WAN aktiviert, statische Route über VPN-Gateway. Standard LAN-to-all aktiv. Zusätzliche Firewallregel (Floating): von VPN-to-any und any-to-VPN auf Schnittstelle LAN allow (alle Protokolle, alle Ports).
Wenn ich jetzt beispielsweise eine SMTP Verbindung vom VPN-Server (mailrelay) zum Exchange aufbauen möchte, hängts irgendwo (Timeout). Ping geht aber komischerweise in beide Richtungen.

Surfen etc. via Firewall geht einwandfrei.

Habs jetzt mal wieder zurückgestellt, die Firewall ausgeschaltet und surfen nur über die Fritzbox (Adresse ist wieder 192.168.10.254). Statische Route auf der FB ins VPN-Netz.
Das funktioniert einwandfrei nach dem Zurückstellen. Nachdem ich außer der Änderung PfSense->Fritzbox nichts geändert habe und es jetzt funktioniert, liegt meine Vermutung nahe, dass das Problem an der PfSense liegt. Hab auch schon die PfSense neugestartet und die State Tables zurückgesetzt. Ohne Erfolg.

Kann einer hier evtl. weiterhelfen?

Danke euch schonmal!

Grüße
Ketanest

Content-Key: 381256

Url: https://administrator.de/contentid/381256

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 26.07.2018 aktualisiert um 17:10:41 Uhr
Goto Top
ich habe folgendes Szenario:
Eine Router Kaskade also mit FritzBox und pfSense, richtig ?
Was meinst du mit "VPN" ?? Bzw. WELCHE Art von VPN meinst du ??
  • IPsec
  • L2TP
  • OpenVPN
  • PPTP
  • SSL
Und vor allem: WER realisiert das VPN ?? Die FritzBüx oder die pfSense ?
usw. usw. Etwas mehr Präzision in der Beschreibung würde uns allen helfen dann DIR zu helfen !
Auf diesem läuft ein VPN-Gateway (Ubuntu mit OpenVPN).
Eigentlich doch volliger Blödsinn wenn die pfSense schon OpenVPN kann oder die FB.
Warum nutzt du das VPN nicht dort ??
Wäre viel sinnvoller.
Denk mal nach...du hast einen NAT Router und eine Firewall ! sicher aus guten Grund. In beide bohrst du jetzt Löcher um das Internet ungeschützt durchzulassen auf deinen Ubuntu Gurke nur um dort VPN zu machen obwohl es logischerweise auf der pfSense besser aufgehoben wäre !!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

VPN-Server (mailrelay) zum Exchange aufbauen möchte, hängts irgendwo (Timeout)
Klar, denn wenn du sinnloserweise deinen internen VPN Server nutzt musst du den UDP Port 1194 für Open VPN (Default)
sowohl auf der FritzBüx als auch auf der pfSense auf den internen Server fprwarden per Port Forwarding. Anders kann der sonst niemals die beiden dortigen NAT Firewalls überwinden.
Wie bereits gesagt: Blödsinn, denn den OVPN Server würde man logischerweise immer auf der hinter der FritzBüx kaskadierten pfSense einrichten.
Port Forwarding von UDP 1194 auf die lokale WAN IP der pfSense dann nicht zu vergessen.
Das VPN Prinzip solcher Kaskaden ist hier explizit beschrieben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen !....
dass das Problem an der PfSense liegt.
Nein !
Genau genommen liegt das Problem an DIR !
DU hast die pfSense FALSCH konfiguriert und vermutlich niemals in deren Log gesehen. Die pfSense ist nämlich eigentlich so nett und erklärt dir immer genau im Log WAS genau falsch läuft ! Über ihre Diagnostic Tools hast du sogar mächtige Werkzeuge um die Ursachen blitzschnell zu finden. Vermutlich hast du diese auch ungenutzt verrosten lassen face-sad
Fazit:
Vergiss den sicherheitstechnischen Blödsinn mit einem internen VPN Server und löse das wie in der IT üblich über die Peripherie, sprich deine Firewall, sprich die pfSense.
Oben im Tutorial steht genau was du dafür klicken musst damit es sofort klappt.
Einfacher gehts nicht...nur lesen muss man selber face-wink