Zugriff auf Firewall, aber nicht in internes Netzwek - pfSense OpenVPN

[Grompel]

Hallo zusammen,

ich habe soeben mehrmals einen OpenVPN Server eingerichtet unter pfSense. Warum mehrmals: Jedes Mal hatte ich über den VPN Tunnel Zugriff auf die Firewall, aber wenn ich ein anderes Gerät im internen Netz der Firewall erreichen wollte, bin ich nicht durchgekommen.
Mein Vermutung ist, dass entweder auf meinem Rechner hier das default gateway nicht richtig eingetragen ist (Bei ipconfig -> kein Eintrag), oder eine Route auf der Firewall nicht richtig eingetragen ist (Meine Vermutung)

Im Folgenden sind meine Konfigurationen:

Client:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote "Ip-Internet" 1194 udp
lport 0
verify-x509-name "ServerZertifikat" name
auth-user-pass
pkcs12 firewall-udp-1194-Grompel.p12
tls-auth firewall-udp-1194-Grompel-tls.key 1
ns-cert-type server
push "redirect-gateway autolocal"

Auf dem Server sind die nennenswerten Optionen:

Protocol: UDP
Device Mode: tun
Interface: WAN
Port: 1194
IPv4-Tunnel-Network: 10.10.8.0/24
IPv4-Local-Network: 10.10.0.0/16

Die Portweiterleitungen habe ich ebenfalls eingerichtet, Details werden auf wunsch gerne gepostet.
Falls noch weitere Optionen benötigt werden poste ich diese hier gerne.

mfg

 

[DRieper]

Hi ,

verwendest du Snort oder wirst du geblockt? Hast du für die LAN-Zone den Zugriff für TCP/UDP aus und in dein Tunnelnetz erlaubt? Ebenso wie den Zugriff auf das localnet? Ggf. auch mal mit tcpdump auf den Schnittstellen lauschen ob ueberhaupt was ankommt.

ich werfe dir den Link einfach Mal an den Kopf;-)
https://forum.pfsense.org/index.php?board=39.0

greetz

 

[Grompel]

Also Snort verwende ich nicht (noch nie davon gehört).
Wie kann ich denn der Tunnelzone Zugriff auf das LAN Netz gewähren?
Ja, habe schon in diesem Forum gelesen, aber wirklich weitergeholfen hat mir noch nichts.
Ich muss auch ehrlich zugeben das dies meine erste Firewall ist die ich überhaupt eingerichtet habe. Noch dazu rein virtuell. Bitte hier um nachsehen
Auf jeden Fall schonmal danke für die Vorschläge!

 

[danton]

IPv4-Tunnel-Network: 10.10.8.0/24
IPv4-Local-Network: 10.10.0.0/16

Die beiden IP-Bereiche überlappen sich, d.h. Geräte aus dem lokalen Netz schicken nie Paket über das Gateway in den Tunnel.

 

[Grompel]

Die beiden IP-Bereiche überlappen sich, d.h. Geräte aus dem lokalen Netz schicken nie Paket über das Gateway in den Tunnel.

Okay. Kannst du mir einen IP-Bereich inklusive Maske für das Tunnelnetz empfehlen?

 

[danton]

Alle, die nicht mit 10.10.x.x anfangen. Die 10.10.8.0/24 ist nunmal eins der 255 Class-C Netze, die im Class-B Netz 10.10.0.0/16 liegen. Netzmaske entsprechend der Anzahl an VPN-Clients.

 

[Grompel]

Habe jetzt mal 10.11.0.0/16 als Tunnelnetz genommen. Jetzt funktionierts. Immer wieder solche Kleinigkeiten die einem das Leben schwer machen...

Danke für die Hilfe!