Zugriff auf den NAT-Router vom pfSense VPN-Client

Mitglied: justas

justas (Level 1) - Jetzt verbinden

14.01.2021 um 17:12 Uhr, 280 Aufrufe, 7 Kommentare

Ich habe einen Setup, wie in der Anleitung:
IPsec VPN für mobile Benutzer auf der pfSense

Das Bild unter "Lösung mit Router Kaskade" passt wunderbar zu meinem Setup.

Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
Mitglied: tech-flare
14.01.2021, aktualisiert um 18:26 Uhr
Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
Hallo

Die FW muss den Traffic erlauben, ja

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.
Bitte warten ..
Mitglied: aqui
15.01.2021 um 08:35 Uhr
Aber leider nicht auf den NAT-Router (FritzBox).
Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?
wan - Klicke auf das Bild, um es zu vergrößern
Machst du das nicht blockt die Firewall sämtlichen Return Traffic der FB.
Bitte warten ..
Mitglied: justas
15.01.2021, aktualisiert um 09:56 Uhr
Zitat von aqui:

Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?

Dieses Setting ist korrekt. Sonst würde vermutlich der Zugriff vom LAN auf den NAT-Router auch nicht funktionieren.
Bitte warten ..
Mitglied: justas
15.01.2021, aktualisiert um 09:57 Uhr
Zitat von tech-flare:

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.

Es ist aus meiner Sicht immer noch die gleiche Route. Nur einmal ist der Client direkt im LAN und geht über den WAN-Port der pfSense auf den NAT-Router. Im anderen Fall kommt der Client über IPSec und will genauso über den WAN-Port auf die gleiche IP zugreifen.
Ist es nicht diegleiche Route?
Bitte warten ..
Mitglied: aqui
15.01.2021, aktualisiert um 10:17 Uhr
Du brauchst aber auch eine zusätzliche Route von der FB zur Sense
Das ist auch falsch, die Route braucht man nicht. Die pfSense macht ja NAT (IP Adress Translation) am WAN Port also am Koppelport zur FB. Sprich alle IP Netze und Adressen hinter der pfSense werden von ihr zentral auf ihre WAN IP Adresse als Absender Adresse umgesetzt.
Folglich "sieht" die FritzBox damit dann diese fremden IP Netze gar nicht und "denkt" das alles was da kommt aus ihrem eigenen LAN kommt. Logisch, denn alle IP Pakete haben als Absender IP die WAN Port IP der pfSense. Sie hat damit durch das NAT an der pfSense also keinerlei Ahnung von anderen IP Netzen an der pfSense.
In sofern ist eine IP Route auf der FB also sinnfrei.
Der Zugriff auf eine FritzBox in einem Kaskaden Design klappt hier fehlerlos und das sogar mit einer nackten pfSense Default Konfig allerdings natürlich mit Freigabe der RFC 1918 IPs.
Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. :-( face-sad
Bitte warten ..
Mitglied: justas
15.01.2021 um 10:53 Uhr
Zitat von aqui:

Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. :-( face-sad

Danke! Habe den Fehler gefunden. Lag tatsächlich am Regelwerk.
Bitte warten ..
Mitglied: aqui
15.01.2021, aktualisiert um 11:15 Uhr
PEBKAC Problem ! 😉
Mit einem Blick in das Firewall Log wäre der Thread vermutlich überflüssig gewesen aber nun denn. Das übt ja !
Case closed.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 18 StundenFrageWindows Server26 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 20 StundenFrageDatenschutz30 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1014 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...