Zugriff auf den NAT-Router vom pfSense VPN-Client

Mitglied: justas

justas (Level 1) - Jetzt verbinden

14.01.2021 um 17:12 Uhr, 310 Aufrufe, 7 Kommentare

Ich habe einen Setup, wie in der Anleitung:
IPsec VPN für mobile Benutzer auf der pfSense

Das Bild unter "Lösung mit Router Kaskade" passt wunderbar zu meinem Setup.

Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
Mitglied: tech-flare
14.01.2021, aktualisiert um 18:26 Uhr
Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
Hallo

Die FW muss den Traffic erlauben, ja

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.
Bitte warten ..
Mitglied: aqui
15.01.2021 um 08:35 Uhr
Aber leider nicht auf den NAT-Router (FritzBox).
Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?
wan - Klicke auf das Bild, um es zu vergrößern
Machst du das nicht blockt die Firewall sämtlichen Return Traffic der FB.
Bitte warten ..
Mitglied: justas
15.01.2021, aktualisiert um 09:56 Uhr
Zitat von aqui:

Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?

Dieses Setting ist korrekt. Sonst würde vermutlich der Zugriff vom LAN auf den NAT-Router auch nicht funktionieren.
Bitte warten ..
Mitglied: justas
15.01.2021, aktualisiert um 09:57 Uhr
Zitat von tech-flare:

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.

Es ist aus meiner Sicht immer noch die gleiche Route. Nur einmal ist der Client direkt im LAN und geht über den WAN-Port der pfSense auf den NAT-Router. Im anderen Fall kommt der Client über IPSec und will genauso über den WAN-Port auf die gleiche IP zugreifen.
Ist es nicht diegleiche Route?
Bitte warten ..
Mitglied: aqui
15.01.2021, aktualisiert um 10:17 Uhr
Du brauchst aber auch eine zusätzliche Route von der FB zur Sense
Das ist auch falsch, die Route braucht man nicht. Die pfSense macht ja NAT (IP Adress Translation) am WAN Port also am Koppelport zur FB. Sprich alle IP Netze und Adressen hinter der pfSense werden von ihr zentral auf ihre WAN IP Adresse als Absender Adresse umgesetzt.
Folglich "sieht" die FritzBox damit dann diese fremden IP Netze gar nicht und "denkt" das alles was da kommt aus ihrem eigenen LAN kommt. Logisch, denn alle IP Pakete haben als Absender IP die WAN Port IP der pfSense. Sie hat damit durch das NAT an der pfSense also keinerlei Ahnung von anderen IP Netzen an der pfSense.
In sofern ist eine IP Route auf der FB also sinnfrei.
Der Zugriff auf eine FritzBox in einem Kaskaden Design klappt hier fehlerlos und das sogar mit einer nackten pfSense Default Konfig allerdings natürlich mit Freigabe der RFC 1918 IPs.
Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. :-( face-sad
Bitte warten ..
Mitglied: justas
15.01.2021 um 10:53 Uhr
Zitat von aqui:

Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. :-( face-sad

Danke! Habe den Fehler gefunden. Lag tatsächlich am Regelwerk.
Bitte warten ..
Mitglied: aqui
15.01.2021, aktualisiert um 11:15 Uhr
PEBKAC Problem ! 😉
Mit einem Blick in das Firewall Log wäre der Thread vermutlich überflüssig gewesen aber nun denn. Das übt ja !
Case closed.
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 13 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 15 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Hardware
Cisco C9300 - zwei Kabel und nur 1 verbindet?
gelöst PeterGygerVor 1 TagFrageHardware14 Kommentare

Hallo Wir haben gestern ein paar C9300 im Lab aufgestellt. Spasseshalber haben wir mit 2 seriellen Kabeln über Win 10 / Putty uns mit ...