VPN mit redirect Gateway

[guest18611]

Hallo,

Ich habe es jetzt geschafft einen VPN Tunnel aufzubauen mit folgender Anleitung: https://docs.opnsense.org/manual/how-tos/sslvpn_client.html.

Dann dachte ich mir, ich will ja mit dem VPN auch alles darüber leiten um in fremden WLAN's sicherer zu sein...

Als ich dann den Punkt "Redirect Gateway" auswählte, stand der VPN Tunnel zwar noch und ich hatte auch noch zugriff auf mein LAN aber ich kam nicht mehr raus...obwohl unter Firewall: NAT: Outbound das Netz eingetragen war.

Als Firewall Regeln hatte ich erst mal Any Any Any genommen aber auch das half nichts.

Ich habe dann zufällig gesehen das unter Interfaces: Assignments ein neues Interface für SSL VPN war. Als ich das aktiviert habe (ohne Statische IP oder DHCP) und auch eine Firewall Regel Any Any Any hinzugefügt habe konnte ich endlich über den VPN surfen...

Ich versteh aber nicht wieso ich jetzt bei den Firewall Regeln einmal OpenVPN und einmal mein Interface "VPN" sehe...habe ich etwas falsch gemacht oder muss ich dem Interface auch eine IP geben!? Aber welche IP trage ich dann im VPN Server als Tunnel Network ein? Die gleiche!? Leer sein darf Sie jedenfalls nichts...

Ich hoffe jemand versteht mich oder kann mir eine genauere Anleitung geben wie man einen OpenVPN Tunnel mit der Funktion "Redirect Gateway" aufbaut.

Vielen Dank schonmal vorab!

[guest18611]

Guten Abend nochmal

Ich stehe auf dem Schlauch und komme einfach nicht weiter...
Ich erzähle jetzt einfach mal genau was ich gemacht habe und vielleicht kann mir ja jemand helfen...

1. VPN nach dieser Anleitung eingerichtet: https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Roadwarrior_einrichten geändert habe ich den Port auf 443 TCP damit ich den VPN Tunnel überall aufbauen kann.
Außerdem "Redirect Gateway" ausgewählt und die Firewall IP als DNS Server eingetragen.

2. Unter Interfaces das Ovpns1 Interface hinzugefügt und aktiviert. Ansonsten haben ich dort nichts aktiviert.

3. Firewall Regeln
WAN: "Source=Any Port=443 TCP Destination=WAN Net"
OVPNS1:  Source=Any Port=Any TCP Destination=Any"
NAT Outbound: Auto (Tunnel IP Range vom OpenVPN Server ist auch eingetragen)

4. Unter Services Unbound DNS das Ovpns1 Interface hinzugefügt und das "OpenVPN Server Interface" entfernt.
Unter Access Lists das Tunnel Netzwerk 10.10.0.0/24 als Custom Eintrag hinzugefügt, da automatisch nur 10.10.0.1/32 angelegt wurde.

Jetzt läuft der VPN Tunnel erst einmal und ich komme auch in das Internet und LAN. Ich verstehe zwar immer noch nicht warum ich das Interface "einfach so" anlegen muss aber ohne funktioniert es nicht...

Der letzte Schritt der mir jetzt noch fehlt ist, Web Filter über VPN...dafür habe ich dann wie in der Anleitung https://wiki.opnsense.org/manual/how-tos/proxytransparent.html die NAT Regeln auf dem Ovpns1 Interface erstellt und im Web filter das Ovpns1 Interface unter Proxy Interfaces hinzugefügt. Zusätzlich habe ich noch die Range  10.10.0.1/32 zu den  Allowed Subnets hinzugefügt und hatte gehofft es würde funktionieren...leider nicht...

Kann mir jemand vielleicht einen Tipp geben? Ich habe die letzten Tage schon soviel am VPN Tunnel rumprobiert das ich jetzt scheinbar auf dem Schlauch stehe und nicht weiter komme...

Vielen Dank schon mal für jeglichen Tipp 

[JeGr]

> WAN: "Source=Any Port=443 TCP Destination=WAN Net"

Nein, da sollte WAN Address rein nicht das Netz Ist nicht großartig schlimm, öffnet aber mehr als es muss und macht auch wenig Sinn.

> OVPNS1:  Source=Any Port=Any TCP Destination=Any"

Auch nicht so ganz, damit erlaubst du kein UDP oder ICMP (Ping), ohne UDP wirds da mit DNS oder NTP SEHR schwierig da diese auf udp/53 bzw. udp/123 laufen. Auch ein Ping wird nicht gehen, daher wäre (erstmal für Tests) any any any (auch Protokoll any) erstmal besser.

Mit dem Webfilter kann ich erstmal nicht dienen, aber evtl. fehlt dir hier auch ein Port bzw. das DNS oben.

[guest18611]

Nein, da sollte WAN Address rein nicht das Netz Ist nicht großartig schlimm, öffnet aber mehr als es muss und macht auch wenig Sinn.

Da hast du Recht, Danke.

Auch nicht so ganz, damit erlaubst du kein UDP oder ICMP (Ping), ohne UDP wirds da mit DNS oder NTP SEHR schwierig da diese auf udp/53 bzw. udp/123 laufen. Auch ein Ping wird nicht gehen, daher wäre (erstmal für Tests) any any any (auch Protokoll any) erstmal besser..

Ups ja Protokoll steht auch auf any, war wohl gestern schon zu spät. Sorry hab ich nicht gut aufgepasst.

Aber ich habe jetzt die Lösung gefunden...Im Web Proxy muss weder das VPN interface noch der VPN Server angegeben werden dann klappt es auch mit dem Proxy. Die Port Forward Regeln braucht man aber schon auf dem VPN Interface.

Außerdem unter Access Lists im DNS Resolver das Tunnel Netzwerk vom VPN Server (z.B. 10.10.0.0/24) als Custom Eintrag hinzufügen.

Und bei den Firewall Regeln funktioniert das "VPN Interface" NET nicht, dort musste ich die VPN Tunnel Range (z.B. 10.10.0.0/24) angeben.

Vielleicht hilft es ja jemanden 

Grüße

[JeGr]

Super, danke fürs Feedback, so hilft es garantiert jemand!

[Mathias]

Danke für deine Hilfe, jetzt habe ich mein DNS über OpenVPN auch endlich zum laufen bekommen. Wusste auch nicht das man dort nochmal extra das Netz eintragen muss.

Außerdem unter Access Lists im DNS Resolver das Tunnel Netzwerk vom VPN Server (z.B. 10.10.0.0/24) als Custom Eintrag hinzufügen.

[servusli]

Hallo zusammen

Kann mir hier Jemand Hilfestellung geben wie ich eine Regel erstelle damit ich auch "redirect Gateway" nutzen kann ohni die Firewall komplett öffnen zu müssen.

Aktuell habe ich bein OpenVPN interface eine Any, Any, Any Regel mit welcher alles klappt.
Mit o.e. Regeln krieg ich abet keinen Internetzugang. Ich habe lediglich Zugriff auf das interne Netzwerk.