[Gelöst] OpenVPN Tunnel zu pfSense

[hpc-dietzi]

Hallo Leute,

nachdem ich mit IPSec kläglich gescheitert bin nutze ich nun OpenVPN um einen Tunnel zu meinem Server (via pfSense am Server) herzustellen. Der Tunnel läuft soweit und auch meine FritzBox hat Zugriff aufs Internet (Gateway ist mein Server - soll er auch sein - es ist quasi beabsichtigt den gesamten Internet-Verkehr meiner Fritzbox durch den Server zu routen). Allerdings habe ich das Problem, dass die FB die Anfragen der Clients nicht weiterleitet.

Kurz der Aufbau:

Server im RZ -> pfSense -> WWW <- FritzBox 7330 SL mit Freetz und OpenVPN <- Clients

Die FritzBox hat Zugriff auf alles in jede Richtung (getestet mit ping und traceroute). Wenn ich nun aber an einem Client ein traceroute zu google.de mache, dann endet die Verfolgung bei der Fritzbox und danach nur noch Zeitüberschreitung..... Ich behaupte jetzt mal vorsichtig, dass es an der pfSense nicht liegen kann, da ja die FB Zugriff hat. Scheinbar blockt die FB meine Clients. Hat hier jemand einen Tipp für mich?

Die Fritzbox ist loakal im Netz 192.168.178.0/24 und für den Tunnel 10.0.0.0/24
Die pfSense ist im Netz 192.168.177.0/24 und für den Tunnel 10.0.0.0/24
Die Verbindung wird mittels tun und Zertifikat aufgebaut. Im WebInterface auf der FritzBox habe ich "Optionen vom Server empfangen" und "auch IP-Adresse vom Server empfangen" aktiviert. In der Config von OpenVPN habe ich eingestellt:

push gateway-redirect def1;
push route 123.456.789.012 255.255.255.255;
push route 0.0.0.0 0.0.0.0 123.456.789.012;

123.456.789.012 entspricht der öffentlichen IP der pfSense.

Liebe Grüße
Dietzi

 

[MaxMuster]

Hi,

zunächst mal: Das "gepuschte" Routing ist nicht richtig (kann natürlich auch ein falsch übertragenes "Zitat" sein ;-)).
Die Option für das Default-Routing ist "redirect-gateway def1". Weitere Routen müssen/sollten nicht geschickt werden, speziell die Route für "0.0.0.0" auf die öffentliche IP (die nur über kaskadiertes Routing möglich wäre) ist schlecht.

Dennoch wird nach meiner Vermutung eher die Rückroute das Problem sein. einfach zu testen, indem du von der FB mit ihrer LAN-IP arbeitest:

ping 8.8.8.8 -I lan
# oder
ping 8.8.8.8 -I 192.168.178.1

Wenn das das Problem ist, dann fehlt entweder die Rückroute für 192.168.178.0 auf dem Server oder du nutze eine "Multi-Client"-Config ("mode server") und hast keinen "iroute"-Eintrag für das Netz 192.168.178.0 zu dem Fritzbox-Client.

 

[hpc-dietzi]

Danke für deine Antwort. Leider komme ich immernoch nicht weiter..... Hab jetzt mal Screenshots von meiner aktuellen Config angehängt. In der pfSense habe bei Advanced

push redirect-gateway def1;

eingetragen. Das Routing wird auch richtig in der Routingtabelle der Fritzbox eingetragen. In den Rules der pfSense habe ich testweise für jedes Interface ALLES erlaubt. Ich weiß nicht so richtig wo ich die Rückroute eintragen soll......

ping google.de -I 192.168.178.1

bringt keine Antwort. Ich verzweifel noch bald..... Hast du vielleicht noch einen Tipp für mich?

Liebe Grüße
Dietzi

 

[hpc-dietzi]

Hab's endlich hin bekommen. Entscheident war der Eintrag iroute

192.168.178.0 255.255.255.0

Trotzdem vielen Dank für die Hilfe.

Liebe Grüße
Dietzi

 

[MaxMuster]

Na, da bin ich ja beruhigt, aber zugleich doch etwa "beleidigt", weil da so ein "Trotzdem" ... steht ;-)
Ich hatte dir doch schon geschrieben, dass es ohne den iroute-Eintrag nicht geht, wenn du eine Multi-Client Config auf dem Server nutzt...

... oder du nutze eine "Multi-Client"-Config ("mode server") und hast keinen "iroute"-Eintrag für das Netz 192.168.178.0 zu dem Fritzbox-Client.

 

[hpc-dietzi]

Hi. Sorry für die versätete Antwort. War natürlich nicht so gemeint. Natürlich war das der entscheidende Hinweis. Nur musste ich noch ein wenig suchen wo genau die iroute eingetragen wird. Bei pfSense wird dies bei den Client Overrides im Feld Advanced gemacht.

Noch mal ein großes Danke an dich.

Liebe Grüße
Dietzi