zweites Netz (VPN) zum WAN routen / naten / Firewall

Started by istler, October 21, 2022, 10:11:13 AM

Previous topic - Next topic
Hallo,

ich bin dabei OpnSense statt einer FritzBox einzurichten. In meiner Konfiguration steht ein Server er OpenVPN macht im LAN und erhält per Portforwarding den Zugang vom WAN. Per VPN kann ich mich verbinden und auf das LAN zugreifen. Eine statische Route ist in OPNsense für das VPN angelegt.


  WAN / Internet
            :
            :
            :
      .-----+-----.
      |  Gateway  |  (FTTH)
      '-----+-----'
            |
        WAN
            |
      .-----+------. 
      |  OPNsense  |
      '-----+------'   
            |
        LAN | 192.168.1/24
            |
            |
            |                               .-------------.   10.8.0.0/24
  ...-----+-----------------------+ OpenVPN +----------
                    192.168.1.200   '-------------'




Was aber nicht funktioniert ist, dass ich vom VPN-Client über das VPN in WAN gehen kann.
Der VPN-WAN-Verkehr scheint an der LAN Firewall zu scheitern. (s. Screenshot ).





Mir ist aber nicht ganz klar, welche Firewall Regel hier zum Problem wird (s. Screenshot).






Beim NAT habe ich in den Hybrid-Modus gewechselt und ich habe eine Regel für den ausgehenden VPN-Verkehr angelegt.






Wo ist mein Fehler? Was muss ich anders konfigurieren?

Grüße
Maik

1. bin mir nicht sicher, aber dein outbound nat sieht komisch aus
2. bitte mal deine openvpn config als screenshot
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

Der OpenVPN Server läuft nicht auf der OPNsense, der läuft auf einer extra Maschine.

Hier die Konfiguration des OpenVPN-Servers (nicht OPNsense)

Mal ganz doof nebenbei gefragt:
Wieso einen VPN Server im LAN, wenn der auch auf der Sense direkt am WAN betrieben werden kann?
i am not an expert... just trying to help...

Historie! Die OPNsense ist gerade neu, und eigentlich nur eine Übergangslösung (läuft auch als VM mit single NIC und VLAN, alles nicht so optimal...). Bei mir wurde gerade er Glasfaser-Anschluss geschaltet und die FritzBox muss aber am alten VDSL noch die Telefonie-Managen, deshalb brauchte ich einen zweiten Router. Der OpenVPN-Server lief zuletzt hinter der FritzBox am VDSL. Wenn der VDSL-Anschluss gekündigt ist und die Telefonie über die GF läuft, dann kann eigentlich auch die FB wieder den Router-Part übernehmen. Oder ich habe an der OPNsense gefallen gefunden, dann... hmm.. bräuchte ich aber evtl eine eigene Hardware für die OPNsense. Und diverse Endgeräte haben die Konfiguration der des extra OpenVPN Servers....