GUI Zugriff über OpenVPN

[kosta]

Hallo liebe Community,

bisher war es so:
GUI Zugriff ist nur für LAN / 192.168.1.0/24 erlaubt, Gateway 192.168.1.254. Port 1234.
Extern verbinde ich per OpenVPN, bekomme damit die IP 192.168.10.1.
Und kann mich direkt auf 192.168.1.254:1234 verbinden.

Heute festgestellt: starte ich meinen Switch der direkt am LAN Port der Firewall hängt neu, komme ich nicht mehr auf die Firewall, bis der Switch Neustart durch ist.

An den Rules wird es nicht liegen, ich habe versucht alles zu öffnen, sowohl auf OpenVPN und LAN Interfaces.
Zusätzlich habe ich versucht ein Outbound NAT zu erstellen, LAN Int., Source OpenVPN, NAT Dest. LAN Address.

Kann mir jemand bitte sagen warum, und was muss ich auf der OPNsense einstellen, damit es ohne Switch auch klappt?

Danke
Srdan

[hsiewert]

Hallo Kosta,

vielleicht den VPN-Endpunkt an einen virtuellen Interface binden. Dann fällt die Abhängigkeit zum phys. Interface weg.

Wäre meine erste Idee ...

[kosta]

Wenn man über VPN-Endpunkte spricht, denke ich erstmal an IPsec. Mit OpenVPN gibt es meines Wissens nach keinen fixen Endpunkt, sondern eine für den Client dynamisch zugewiesen IP-Adresse aus dem vorgegebenen Bereich.
NAT dachte ich schon mal zu versuchen, aber dafür ist eigentlich nicht gedacht. Müsste NAT'en auf die IP des GUIs, wenn ich das richtig verstehe.

[Maurice]

Greif doch einfach über die IP-Adresse eines anderen Interfaces auf das GUI zu, z. B. des OpenVPN-Interfaces oder eines zusätzlichen Loopback-Interfaces.

[Patrick M. Hausen]

Heute festgestellt: starte ich meinen Switch der direkt am LAN Port der Firewall hängt neu, komme ich nicht mehr auf die Firewall, bis der Switch Neustart durch ist.

Ja klar. So lange der Switch bootet, ist das Interface der OPNsense down. Und so lange das down ist, ist die IP-Adresse nicht aktiv, bis das Interface wieder hoch kommt.

Abhilfe: IP-Adresse der Sense im OpenVPN nehmen zum UI aufrufen.

Gruß
Patrick

[kosta]

Ahh, OK. Logisch eigentlich dass das eine mit dem anderen zusammenhängt.

Und was wäre die IP-Adresse des OPNsense GUIs im OpenVPN? OpenVPN hat keinen Interface an sich, nur ein Subnet und das war's.

[Patrick M. Hausen]

Die erste in dem VPN-Subnetz, wenn ich mich recht erinnere.

[hsiewert]

Ja, das ist so.

[kosta]

Ahh, danke. Der Puzzle geht zu Ende, wie immer, die richtige Kombination an Einstellungen tut's:
- Erstellt ein Intf am OpenVPN Adapter, Intf aktiviert, keine IP (geht ja auch nicht)
- OpenVPN Intf für GUI erlauben

Zugriff auf xxx.xxx.xxx.1 (OpenVPN Subnet) funktioniert!

Danke euch!

[vpx]

Ja klar. So lange der Switch bootet, ist das Interface der OPNsense down. Und so lange das down ist, ist die IP-Adresse nicht aktiv, bis das Interface wieder hoch kommt.

Nur weil ein Link-State down ist heißt doch nicht, dass das Interface down ist?

Zieh das Netzwerkkabel aus deinem PC und du kannst deine eigene IP immer noch anpingen.

Die Verbindung kommt ja von Internet->OpenVPN(WAN)->LAN. Hört sich nach einer falschen Route an.

[Patrick M. Hausen]

Nur weil ein Link-State down ist heißt doch nicht, dass das Interface down ist?
Zieh das Netzwerkkabel aus deinem PC und du kannst deine eigene IP immer noch anpingen.

Bei FreeBSD nicht. Link down --> Interface down --> Routen weg.

Bei Cisco IOS übrigens auch. Es sei denn, man konfiguriert "loopback local".