Hallo zusammen,
Ich switche gerade von pf zu OPNsense (21.1-amd64).
Ich hatte gestern schon einmal auf reddit gepostet, aber die vorgeschlagene Lösung ist nicht so meines.
Ich betreibe in meinem Netzwerk einen Traefik-Reverse-Proxy, der auf verschiedene Webservices zeigt. Je nachdem was aufgerufen wird. Die Ports 80/443 habe ich via NAT nach drinnen ggbn. Das funktioniert auch. Ich kann aus dem Internet wie auch aus dem LAN mit dem externen Namen auf meine Services aufrufen.
Bin ich jetzt jedoch via VPN verbunden, klappt das nicht mehr. Ich hätte hier erwartet, das es sich genau so verhält, als wenn ich im LAN stehe. Sprich LAN --> OPNsense --> interner Server. In meinen NAT-Rules steht SRC auf ANY.
Was funktioniert ist, wenn ich in unbound eine DNS-Override *.domain.com einrichte, die auf meinen internen Server zeigt. Dann falle ich aus dem VPN direkt auf den Server. Aber das kann meiner Meinung nach ja nicht die Lösung sein.
Ich habe den OpenVPN-Server via Wizard eingerichtet. Outbound-Nat steht auf Hybrid und das Netzsegmet steht auch in der Automatic Rule. Ich bin echt überfragt wo ich noch schauen kann/soll. Meiner Meinung nach ist alles richtig eingerichtet.
Vllt. habt Ihr ja noch einen Tip für mich.
Wie sieht denn die VPN Config aus? Machst Du Redirect-GW oder wird nur das lokale Netz in den VPN Tunnel geroutet. DNS scheint der VPN Client ja die OPNsense zu nehmen, wenn das mit der Split-DNS Lösung klappt.
Hast Du mal mit einem Traceroute geschaut, ob die Pakete vom Client in den VPN Tunnel laufen?
Jap, ich mache "redirect-gateway". Ich kann über VPN ins Internet und auch lokale Adressen kann ich aufrufen. DNS ging erst, nachdem ich "Network Interfaces" auf LAN und OpenVPN-Server geändert hatte.
Was mir noch einfällt. Wenn ich im VPN versuche eine meiner Sub-Domains aufzurufen falle ich offensichtlich auf der OPNsense raus. Ich bekomme im Chrome & Firefox einen Zertikatsfehler. Was ja auch correct ist, weile das OPNsense-Zertifikat nicht zur aufgerufenen Domain passt. Also ob das NAT nicht zieht, sobald ich ausm VPN komme ...
Das war dann anscheinend auch schon die passende Idee.
Ich habe ich die NAT-Rules das OpenVPN-Interface mit aufgenommen, und siehe da, nun geht es ...