Netgate SG-1000 microFirewall

Author Topic: Openvpn Client  (Read 418 times)

0 Members and 1 Guest are viewing this topic.

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Openvpn Client
« on: December 28, 2017, 08:30:42 am »
Hallo Zusammen!

Nach tagelangem suchen und probieren komme ich einfach nicht mehr weiter
und muss hier nun um Rat fragen.

Mein Problem ist folgendes:

Es gibt einen VPN-Server auf einem OpenWRT Router (Nachbar)
und ich habe bei meiner PFSense nun einen Openvpn client angelegt.
Dieser verbindet sich auch und im Diagnostic Menü kann ich die IP (192.168.3.1 = lokales Netz)
des Openwrt Router auch pingen.
Aber von meinen Clients hinter der PFSense nicht mehr.

Das ganze sieht in etwa so aus:

192.168.3.0 ->openwrt -> inet-> fritzbox -> pfsense ->192.168.0.0

da meine pfsense hinter einer fritzbox läuft habe ich da nat. eine statische Route eingetragen. Das funktioniert auch schon lange so.
Nur bei diesem Openvpn Problem hänge ich nun.

Falls mir hier jemand Tips geben kann, wäre ich seeeehhhr dankbar!

lg
Stiffmeister








Offline viragomann

  • Hero Member
  • *****
  • Posts: 2826
  • Karma: +311/-1
    • View Profile
Re: Openvpn Client
« Reply #1 on: December 28, 2017, 08:36:24 am »
Hallo,

wie sieht diese statische Route aus? Und wofür wird diese überhaupt benötigt?
Es sollte doch reichen die FB als Default-Gateway anzugeben.

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #2 on: December 28, 2017, 08:42:07 am »
Die Frtizbox ist da Modem und fürs Telefon zuständig,
die PFSense hängt mit fixer IP (Wan Port) hinter der FB.
Die PFSense ist auch das Gateway für alle anderen Geräte...

Die Route: 192.168.0.0 -> 192.168.100.254
                 Lan               -> Gateway (Wan IP PFSense)

lg

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2826
  • Karma: +311/-1
    • View Profile
Re: Openvpn Client
« Reply #3 on: December 28, 2017, 08:57:00 am »
Möglicherweise stehe ich gerade völlig am Schlauch, aber ich sehe immer noch keinen Grund für eine statische Route.
Eine solche ist doch nur nötig, wenn hinter einem anderen Gerät, das nicht das Default-Gateway ist, hier hinter der FB, ein Netz liegt, das man erreichen möchte.

Auch die Route erschließt sich mir nicht, ohne die IPs zu kennen. 192.168.0.0 routest du auf 192.168.100.254. Letztere ist vermutlich die FB, aber was ist die erste und wie ist die Beschreibung zu deuten?

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #4 on: December 28, 2017, 10:02:53 am »
Lassen wir die statische Route Mal weg. Vielleicht hat wer für das von Problem einen Vorschlag?

Stiffmeister

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3336
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Openvpn Client
« Reply #5 on: December 28, 2017, 10:09:16 am »
ich mutmaße mal, die Route ist (/16? /24?) so angelegt, dass die FB einfach alles was nicht ihr eigenes 192.168.178.x ist an die pfSense zurück schickt, damit ggf. auch vorne an der FB was hängen kann, was man aber (teils) wie eine DMZ quasi nach hinten ins LAN lassen kann. Ist jetzt nicht so ungewöhnlich, die Frage aber berechtigt, denn an der Route könne es ja mitunter auch klemmen was schief geht.
Und da dein Remote LAN ja 192.168.3.0 hat, könnte das schon zusammenhängen.

Nochmal in Kürze:

Dein Netz hat 192.168.0.0/24?
Nachbar ist 192.168.3.0/24?

Von dir aus von der pfSense geht ein Ping nach 192.168.3.1 (WRT gegenüber) sauber durch. Auch auf eine andere IP als nur den Router? also .3.z?
Von dir aus HINTER der pfSense also von .0.xy nach .3.1 geht nicht? Auch nicht auf eine IP .3.z?

Gruß Jens
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #6 on: December 28, 2017, 11:00:29 am »
Hallo, ja das trifft es eigentlich genau. Nur ist im Moment noch kein Gerät hinter dem Openwert, da Neubau.
Lg

edit:
haben nun noch ein Endgerät aktiviert und das kann man auch von der pfSense pingen....
ist vielleicht eine Kleinigkeit, die ich falsch gemacht habe. Nur was??
« Last Edit: December 28, 2017, 04:53:01 pm by stiffmeister »

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3336
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Openvpn Client
« Reply #7 on: December 29, 2017, 04:03:54 am »
Was für ein Endgerät und wo? Und ein Gerät hinter deiner pfSense kann trotzdem weder den WRT noch das Gerät pingen (wenn es hinter dem WRT sein sollte)?

Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #8 on: December 29, 2017, 04:33:40 am »
Ich meinte ein Gerät im 192.168.3.0er Netz hinter dem Openwrt.
Das kann ich von der pfsense aus pingen, nicht aber von meinem PC aus.
Lg

Edit:
Habe nun auf dem Notebook OpenVpn installiert und wenn ich mich da auf den Openwrt Router verbinde,
dann komme ich überall hin.
Muss also irgendwas mi den Routen auf der pfsense sein.
Im Anhang mal ein Screenshot von den Routes auf der pfSense.

lg
« Last Edit: December 29, 2017, 06:52:29 am by stiffmeister »

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2826
  • Karma: +311/-1
    • View Profile
Re: Openvpn Client
« Reply #9 on: December 29, 2017, 07:06:48 am »
Ist die pfSense das Standard-Gateway am Rechner?

Der Screenshot stellt ja nur einen partiellen Ausschnitt der Routing-Tabelle dar; laufen auf der pfSense weitere OpenVPN Instanzen, Server oder Clients?

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #10 on: December 29, 2017, 07:10:50 am »
ja die pfsense ist das Standart Gateway.
kann später die ganze Routing table posten

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2826
  • Karma: +311/-1
    • View Profile
Re: Openvpn Client
« Reply #11 on: December 29, 2017, 07:20:20 am »
Die Beantwortung der Frage nach weiteren OpenVPN Instanzen würde auch reichen.

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #12 on: December 29, 2017, 08:01:31 am »
Sorry, hab ich zuerst überlesen :-/
Ja es gibt noch eine serverinstanz auf der pfsense.

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2826
  • Karma: +311/-1
    • View Profile
Re: Openvpn Client
« Reply #13 on: December 29, 2017, 08:12:21 am »
In diesem Fall solltest du jeder Instanz ein eigenes Interface zuweisen. Hast du das gemacht?
Die Rechte kannst du dann auf den jeweiligen Interfaces definieren.

Edit:
Noch eine Sache: Die VPN sollte als Site-to-Site eingerichtet werden. Das scheint es bei dir nicht der Fall zu sein.
Das Tunnel-Subnetz sollte dabei ein /30er sein, so dass nur ein Client ins Netz passt.
« Last Edit: December 29, 2017, 08:16:41 am by viragomann »

Offline stiffmeister

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Openvpn Client
« Reply #14 on: December 29, 2017, 08:16:56 am »
Nein hab der 2. instanz noch kein eigenes interface zugewiesen.
Das wäre dann z.b. "OPT1"?
Wenn ich das zugewiesen hab, was muss ich dann noch machen?
Hab mit den zusätzlichen interfaces noch keine erfahrung sammeln können.

lg