VPN PfSense und Synology
Moinsen zusammen!
ich versuche zunehmend verzweifelt, eine VPN Verbindung zwischen einer Synology Disk Station und einer PfSense zum laufen zu bringen, leider bisher erfolglos.
Geplant war: OpenVPN. Synology ist Server, PfSense ist Client. Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Also Fehlerbild: Ping von PfSense LAN-Interface auf Synology: Totesnstille. Ping von PfSense OpenVPN Interface auf Synology: Schnattert.
Finde ums verrecken keine Einstellung, die das bewerkstelligt.
Chris Buechler (wer den Namen kennt...) schrieb vor relativ kurzer Zeit zu einem ähnlichen Fall, dass man aufgrund der Besonderheiten des OpenVPN Protokolls unter "Client Specific Overrides" einen Eintrag "iroute" für das eigene Netz setzen muss. Hat leider nichts gebracht.
http://serverfault.com/questions/448163/trouble-with-site-to-site-openv ...
Auch wenn ich den Server auf der PfSense installiere und die Synology connecten lasse geht es nicht. Fehler: "TLS-Handshake failed". Verschiedene Settings probiert. Erfolglos. Leider im Netz nichts gefunden zu funktionierenden Beispielen.
Eine L2TP/IPSec Verbindung ginge ja auch, fällt aber flach, da ich auf der PfSense global für alle mobilen IPSec Verbindungen Einstellungen ändern muss, mit denen die vorhandenen Clients nicht mehr connecten könnten. (Es gibt nur eine "mobile Clients" Einstellung!)
Spasseshalber mal das olle PPTP ausprobiert: Siehe da, einfach zu konfigurieren (erinnert sich wer) und verbindet auf Anhieb. Das waren Zeiten...
Aber nun: Immer noch nix Netzlaufwerk auf Remote (Synology)
Auf der PfSense natürlich in den Rules PPTP und GRE gesetzt auf WAN. und auf dem PPTP auch eine Regel, die alles erlaubt. Nix. Totenstille. Nur auf dem Interface direkt wieder mal Antworten.
Wollen die mich vera... Ich weiss es grad nicht. Kann ja auch sein, dass ich auf dem dicksten aller Schläuche stehe.
Aber das ist nun wahrlich nicht meine erste VPN Verbindung und die "normale" IPSec Client Einwahl macht ja auch alles, was sie soll.
Evtl. liegt es ja auch daran, dass ich mit der Implementation der Zertifikatrsverwaltung grundsätzlich auf Kriegsfuss stehe, das ist überall komplizierter, als es sein müsste...
Ich weiss es nicht...
Sollte jemand aktiv eine VPN-Verbindung mit Synology und PfSense betreiben, wäre ich für Tips dankbar.
LG
Bug (vormals: Buc)
ich versuche zunehmend verzweifelt, eine VPN Verbindung zwischen einer Synology Disk Station und einer PfSense zum laufen zu bringen, leider bisher erfolglos.
Geplant war: OpenVPN. Synology ist Server, PfSense ist Client. Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Also Fehlerbild: Ping von PfSense LAN-Interface auf Synology: Totesnstille. Ping von PfSense OpenVPN Interface auf Synology: Schnattert.
Finde ums verrecken keine Einstellung, die das bewerkstelligt.
Chris Buechler (wer den Namen kennt...) schrieb vor relativ kurzer Zeit zu einem ähnlichen Fall, dass man aufgrund der Besonderheiten des OpenVPN Protokolls unter "Client Specific Overrides" einen Eintrag "iroute" für das eigene Netz setzen muss. Hat leider nichts gebracht.
http://serverfault.com/questions/448163/trouble-with-site-to-site-openv ...
Auch wenn ich den Server auf der PfSense installiere und die Synology connecten lasse geht es nicht. Fehler: "TLS-Handshake failed". Verschiedene Settings probiert. Erfolglos. Leider im Netz nichts gefunden zu funktionierenden Beispielen.
Eine L2TP/IPSec Verbindung ginge ja auch, fällt aber flach, da ich auf der PfSense global für alle mobilen IPSec Verbindungen Einstellungen ändern muss, mit denen die vorhandenen Clients nicht mehr connecten könnten. (Es gibt nur eine "mobile Clients" Einstellung!)
Spasseshalber mal das olle PPTP ausprobiert: Siehe da, einfach zu konfigurieren (erinnert sich wer) und verbindet auf Anhieb. Das waren Zeiten...
Aber nun: Immer noch nix Netzlaufwerk auf Remote (Synology)
Auf der PfSense natürlich in den Rules PPTP und GRE gesetzt auf WAN. und auf dem PPTP auch eine Regel, die alles erlaubt. Nix. Totenstille. Nur auf dem Interface direkt wieder mal Antworten.
Wollen die mich vera... Ich weiss es grad nicht. Kann ja auch sein, dass ich auf dem dicksten aller Schläuche stehe.
Aber das ist nun wahrlich nicht meine erste VPN Verbindung und die "normale" IPSec Client Einwahl macht ja auch alles, was sie soll.
Evtl. liegt es ja auch daran, dass ich mit der Implementation der Zertifikatrsverwaltung grundsätzlich auf Kriegsfuss stehe, das ist überall komplizierter, als es sein müsste...
Ich weiss es nicht...
Sollte jemand aktiv eine VPN-Verbindung mit Synology und PfSense betreiben, wäre ich für Tips dankbar.
LG
Bug (vormals: Buc)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296697
Url: https://administrator.de/forum/vpn-pfsense-und-synology-296697.html
Ausgedruckt am: 05.04.2025 um 07:04 Uhr
3 Kommentare
Neuester Kommentar

Mal was zum Routing von OpenVPN: Das geschieht bei mir an zwei Stellen:
In der clientspezifischen ccd-Konfigurationsdatei (statische IP!) steht folgendes:
Damit sage ich dem OpenVPN-Serverdienst, auf welchem Client er die Route findet.
In der openvpn.conf habe ich folgendes stehen:
Damit sage ich dem OpenVPN-Serverdienst, dass er den Netzwerkstack vom Server anweisen soll, die Pakete zu Ihm rüberzurouten.
Vielleicht passt das ja zu deiner ursprünglichen Planung?
In der clientspezifischen ccd-Konfigurationsdatei (statische IP!) steht folgendes:
iroute 192.168.xxx.0/24
Damit sage ich dem OpenVPN-Serverdienst, auf welchem Client er die Route findet.
In der openvpn.conf habe ich folgendes stehen:
route 192.168.xxx.0 255.255.255.0
Damit sage ich dem OpenVPN-Serverdienst, dass er den Netzwerkstack vom Server anweisen soll, die Pakete zu Ihm rüberzurouten.
Vielleicht passt das ja zu deiner ursprünglichen Planung?
Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Sollte nicht so sein und weisst auf einen Konfig Fehler hin ! Was sagt die Routing Tabelle der pfSense ?Entscheidend ist wie du hier den Server konfiguriert hast, der muss ja per push Kommando die Route an den pfSense Client senden.
Zusätzlich muss auf der pfSense natürlich nch die Regeln auf dem virtuellen OVPN Interface angepasst sein !
Sieht ein bischen nach dem Fehlerbild so aus also ob du das vergessen hast..?
Ahhhrrg...OK ist ja alles gelöst... Wer lesen kann
Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist.
OK, doch noch was...Das ist kinderleicht. Knackpunkt ist hier WER das Default Gateway für die Clients ist. Ist das ein separater Router im Netz, braucht dieser eine statische Route auf den OVPN Server.
Ist OVPN Server und Router eins entfällt das natürlich.
Kann der separate Router keine statischen Routen musst du auf dem Client eine solche anlegen ala:
route add <ovpn_netz> mask <maske> <gateway_ip_adresse> -p