Port forward über OpenVPN Tunnel Problem

[chrs]

Guten Tag,

ich habe das Problem, daß ein port forward zu einem lokalen Recher (Mailserver) nicht funktioniert, wenn die Verbindung über einen OpenVPN Tunnel reinkommt:

Code: [Select]

                WAN                      WAN
                 :                        :
                 : Glasfaser              : DSL-Provider
                 :                        :
             .---+---.                 .--+--.
        WAN1 | GPON  |     Modems      | DSL | WAN2         WAN
             '---+---'                 '--+--'              :
                 |                        |                 :
        PPPoE1   |                        | PPPoE0    ( OpenVPN-Provider )
                 |      .----------.      |                 |
                 +------| OPNsense |------+                 |
                        |          | - - - - - - - - - - - -+
                        '----+-----'                 ovpnc1
                             |
                         LAN | 192.168.44.0/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-------------+-----...
                     (Clients/Servers)     |
                                     192.168.44.51 (Mail Server)

Entsprechende NAT und Port forward Regeln hab ich eingerichtet.
Der Tunnel funktioniert ausgehend ohne Probleme. Die eingehende Verbindung auf ovpnc1 kommt auch beim Mailserver an, aber die Antwort Pakete werden über pppoe1 (default gateway) gesendet. Damit scheitert der TCP Verbindungsaufbau; kann man per Packet Capture sehen.

Zum Vergleich hab ich testweise ein port forward  für pppoe0 eingerichtet, das funktioniert. Im GUI sehen die Regeln identisch aus, wenn man die erzeugten Regeln anguckt, ist da ein Unterschied: beim VPN fehlt das replay-to, ich vermute hier die Ursache.

Aber warum? Und wo liegt der Fehler?

Danke für jeden Hinweis!

[Monviech (Cedrik)]

Über welches Gateway wird der Mailserver ins WAN geroutet? Wenn in der Firewallregel des Mailservers "default" steht, und das Standardgateway der Opnsense PPPoE0 ist, dann wird der Mailserver Antwortpakete darüber ins WAN senden.

Ich würde dem Mailserver das Gateway des OpenVPN-Providers durch eine extra Firewallregel zuteilen, sodass er alle Antwortpakete über das OpenVPN senden MUSS.

Das vermute ich mal so auf die schnelle, ob es genau auf deinen Fall zutrifft weiß ich nicht, vielleicht hilft es aber.

[chrs]

Der Mail Sever get über ovpnc1 nach draußen. Diese Regel habe ich bei Firewall: NAT: Outbound stehen:

Code: [Select]

PASS PortunityVPN 192.168.44.51/32  * * * PortunityVPN address * NO Mail OUT 
Das funktioniert ja auch. Ich kann Mail versenden. Aber diese Regel greift nicht für die Pakete ausgehend einer eingehenden Verbindung. Leider.

[Monviech (Cedrik)]

Ich meinte eher ob du in "System: Gateways: Single" das Gateway deines OpenVPN Providers konfiguriert hast.

Und ob du dann in "Firewall: Rules: Mailserver Netzwerks" eine Firewall Regel angelegt hast die so aussieht:

Source: Interne IPv4 Adresse des Mailservers
Destination: Any
Gateway: "OpenVPN Gateway"

Das ist dann sozusagen eine SD-WAN Regel die allen Traffic des Mailservers über das OpenVPN umleitet. Nur Outbound NAT reicht nicht.

[chrs]

Ja, das Gateway ist eingerichtet, Upstream ist angekreuzt.

Bei Firewall: Rules: LAN hab ich das passende Gateway ausgehend:

Code: [Select]

PASS IPv4 TCP/UDP 192.168.44.51 * * * PORTUNITYVPN_VPNV4 * Mail auswaerts

Aber die Regel greift hier auch nicht, die ist nur für ausgehende Verbindungen zuständig.

Eingehend greifen nur die Filterregel auf dem VPN Interface, die Port25 nach außen öffnet, und die forward Regel.

Trotzdem, Danke fürs mitdenken!

[chrs]

Beim letzten Post ist mir gerade die Idee gekommen: Die Filterregel eingehend auf dem VPN Interface ist der Kandidat, hier muß unter Advanced features: reply-to  das VPN Interface gesezt werden. Die Filterregel wird nach der redirection Regel bearbeitet und reply-to stand natürlich auf default.

Jetzt funktionierts, nachdem ich drei Abende damit verbracht habe zu verstehen, was passiert. 

Nochmals Danke fürs mitdenken,

chrs

[Monviech (Cedrik)]

Ich habs gerade gelesen als ich das auch vorschlagen wollte weil ich es nachgestellt habe mit einem anderen Interface. Super dass du es geschafft hast.