OPNsense Forum
International Forums => German - Deutsch => Topic started by: atomique on February 17, 2020, 09:25:16 pm
-
Hallo zusammen,
ich habe hier ein "kleines" Problem, welches mich momentan noch ein bisschen an meine Grenzen bringt. Ich erkläre erstmal meine Umgebung:
WAN / Internet
:
: VDSL
:
: WAN IP
:
.-----+-----. LAN 10.5.0.0/24
| Gateway | --- LANCOM --------------+-------------- ... (Clients / Server) ...
'-----+-----'
|
| "DMZ" - 172.16.10.0/24
|
|
.-----+------.
| OPNsense + OpenVPN über VPN-Dienst (VPN-Adresse wechselt, bspw.: 10.1.194.243)
'-----+------'
|
VPN-LAN | 10.11.0.1/24
|
|
...-----+------... (Clients/Servers)
Einstellungen:
Firewall > Rules > LAN: Eine Regel die den ganzen Netzwerktraffic von LAN in den Tunnel leitet (Policy based Routing)
Interface: LAN
Direction: In
TCP/IP Version: IPv4
Protocol: any
Source: LAN net
Source port range: any
Destination: any
Destination port range: any
Gateway: OPT1_VPN4: (Gateway des VPN)
Firewall > NAT > Outbound: Manual - Eine Regel die das komplette LAN-Netz vom Interface OpenVPN auf die Interface-Adresse des Interface OpenVPN übersetzt.
Interface: OpenVPN
TCP/IP: IPv4
Protocol: any
source address: lan net
source port: any
destination address: any
destination port: any
translation / target: interface address
static-port: true
pool options: default
Hinweis: static port habe ich absichtlich gesetzt gehabt. Dies scheint auch zu funktionieren, sobald ich dies aktiviere passiert folgendes:
10.11.0.90:563 --> 10.1.194.243:563 --> zielserver:563
Und hier beginnt das Problem: Das Paket kommt nicht mehr zurück (mittels Package Capture / Wireshark herausgefunden). Ich kann den Server von 10.11.0.90 aus pingen, ich kann auf dessen Website usw. weswegen ich davon ausgehe, dass das ein NAT-Problem zu sein scheint. Leider sind meine Skills bezüglich OPNSense / pfsense noch nicht die ausgereiftesten, weswegen ich hier frage.
Aber nochmal zurück zur Erklärung - ich versuche folgendes: Ich würde gerne im VPN Netz hinter meiner OPNSense, 2-3 Clients nutzen können, die nur über den OpenVPN-Dienst ins Internet können. Die VPN-Verbindung funktioniert auch soweit, ich kann ins Internet, ICMP (Ping), DNS, HTTP/S funktioniert alles. Sobald ich aber versuche einen bestimmten Dienst (bspw. 563) über einen Port zu erreichen, rennt dieser in Timeouts, es scheint als würde das Paket nicht mehr zurückfinden.
Hinweise zum Netzwerk: Der LANCOM lässt im Netz "DMZ" - 172.16.10.0/24 alles raus und rein, da hier nur Firewalls platziert sind / wurden. Wenn Ports geöffnet werden müssen, aktiviere ich hier ein NAT von der WAN-Adresse auf die DMZ-Adresse der jeweiligen Firewall, welche den Service hostet.
Hat hier jemand eine Idee? Ich scheine alles soweit nutzen zu können, nur der Weg zurück schient teilweise nicht zu funktionieren. Braucht Ihr noch Infos? Habe ich etwas vergessen? Ich hoffe ich habe soweit auch alles recht übersichtlich illustriert, wenn eine Netzwerkzeichnugn benötigt wird, dann fertige ich diese eben an :)
Euch einen schönen Abend!
Gruß Atomique
Additional Info:
Wenn ich via Test-NetConnection hostip -port 563 aus dem VPN-Netz versuche den Port zu erreichen, schlägt dies fehl. Während dieses Vorgangs habe ich einen Statedump (Firewall > Diagnostics > States Dump) laufen lassen. Dieser zeigt zur Zieladresse folgendes an:
int Proto Soruce > Router > Destination State
all tcp 10.1.194.243:57481 (10.11.0.90:57481) -> hostip:563 SYN_SENT:CLOSED
all tcp hostip:563 <- 10.11.0.90:57481 CLOSED:SYN_SENT
Das zeigt mir, dass der Source-Port 57481 static bleibt, wie in der Config eingestellt. So sollte ja der Host den Weg zurückfinden.
-
Ich habe noch fragen:
- bist du dir sicher das die VPN funktioniert?
- kannst du deine Konfiguration als Bild posten
Ich habe es bei mir mit einer LAN Regel am laufen.
Gesendet von iPhone mit Tapatalk Pro
-
hier wie ich es bei mir gelöst habe
-
Hallo zusammen,
danke für deine Antworten. Ich bin mir ziemlich sicher, dass der VPN funktioniert. Wenn ich bei perfect-privacy auf die Website geht, kann ich meine externe IP (Niederlande) sehen. Ein Traceroute von der OPNSense und von meinem Client hinter der OPNSense geht über das VPN-Gateway hinaus ins Internet über die Niederlande (Rotterdam).
Anbei meine Konfigurationen. Ich teile das in zwei Posts auf, wegen der maximalen Anzahl von 4 Uploads pro Post.
EDIT: Ich habe die Bilder bei Imgur hochgeladen, ich hoff ihr könnt sie sehen: https://imgur.com/a/tWjk2F6
-
Dann geht doch alles oder nicht?
Dein Client geht über den VPN Provider ins Internet
Gesendet von iPhone mit Tapatalk Pro
-
Nein, leider nicht. Normale Webserveranfragen und so weiter scheinen zu funktionieren. Versuche ich aber bspw. einen Server über einen bestimmten Port zu erreichen, so scheint das Natting nicht mehr so zu funktionieren, wie es soll. Eine Rückantwort kommt vom Server nicht an. Wenn ich das gleiche auf einem Rechner versuche, welcher nicht im VPN ist: Funktioniert. Wenn ich die VPN-Software direkt auf einem Rechner installiere, den VPN starte und den Portverbindungsversuch starte: funktioniert. Das sagt mir, dass irgendwas an der Konstellation OpenVPN und OPNSense nicht ordentlich funktioniert.
Ich verstehe doch richtig: Das komplette LAN wird ja hinter der VPN-IP genattet. Das bedeutet: LANIP -> NAT -> VPN-INTERNEIP -> VPN-WAN-IP (Austritt aus dem Tunnel) -> SERVER-MIT-SERVICEPORT
Wie kann ich herausfinden, wo genau der Fehler liegt, hat jemand Erfahrung mit Wireshark in diese Richtung? Das Problem muss ja irgendwie zu lösen sein, ich weiß bloß momentan noch nicht ganz wo ich ansetzen soll :)
Gruß Atomique
-
Hey Leute!
erstmal danke für eure Hilfe! Ich habe mal meine Windows 10 VM direkt ins WAN-Netz gehangen, dort direkt OpenVPN mit Config vom VPN-Provider installiert und herausgefunden, dass ich hier auch nicht auf den entsprechenden Dienst komme. Ich habe dann einmal auf meinen anderen VPN-Provider (Cyberghost nutze ich momentan zum testen) zurückgegriffen und siehe da - der Dienst ist sofort erreichbar. Ich habe nun direkt beim VPN-Provider angefragt, ob diese meinen Port oder ähnliches blockieren. Die von euch vorgeschlagenen Konfigurationen deckten sich mit meiner, weshalb ich hier etwas misstrauisch wurde. Ich denke das Problem liegt nicht an der OPNSense-Konfiguration sondern an der VPN-Verbindung.
Ich danke euch nochmals für eure Hilfe - es funktioniert wirklich alles wie es soll!
Euch noch eine schöne Woche
Atomique