Zugriff auf Firewall, aber nicht in internes Netzwek - pfSense OpenVPN

Grompel

New Member
Hallo zusammen,

ich habe soeben mehrmals einen OpenVPN Server eingerichtet unter pfSense. Warum mehrmals: Jedes Mal hatte ich über den VPN Tunnel Zugriff auf die Firewall, aber wenn ich ein anderes Gerät im internen Netz der Firewall erreichen wollte, bin ich nicht durchgekommen.
Mein Vermutung ist, dass entweder auf meinem Rechner hier das default gateway nicht richtig eingetragen ist (Bei ipconfig -> kein Eintrag), oder eine Route auf der Firewall nicht richtig eingetragen ist (Meine Vermutung)

Im Folgenden sind meine Konfigurationen:

Client:
Code:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote "Ip-Internet" 1194 udp
lport 0
verify-x509-name "ServerZertifikat" name
auth-user-pass
pkcs12 firewall-udp-1194-Grompel.p12
tls-auth firewall-udp-1194-Grompel-tls.key 1
ns-cert-type server
push "redirect-gateway autolocal"
Auf dem Server sind die nennenswerten Optionen:

Protocol: UDP
Device Mode: tun
Interface: WAN
Port: 1194
IPv4-Tunnel-Network: 10.10.8.0/24
IPv4-Local-Network: 10.10.0.0/16

Die Portweiterleitungen habe ich ebenfalls eingerichtet, Details werden auf wunsch gerne gepostet.
Falls noch weitere Optionen benötigt werden poste ich diese hier gerne.

mfg
 

DRieper

New Member
Hi ,

verwendest du Snort oder wirst du geblockt? Hast du für die LAN-Zone den Zugriff für TCP/UDP aus und in dein Tunnelnetz erlaubt? Ebenso wie den Zugriff auf das localnet? Ggf. auch mal mit tcpdump auf den Schnittstellen lauschen ob ueberhaupt was ankommt.

ich werfe dir den Link einfach Mal an den Kopf;-)
https://forum.pfsense.org/index.php?board=39.0

greetz
 

Grompel

New Member
Also Snort verwende ich nicht (noch nie davon gehört).
Wie kann ich denn der Tunnelzone Zugriff auf das LAN Netz gewähren?
Ja, habe schon in diesem Forum gelesen, aber wirklich weitergeholfen hat mir noch nichts.
Ich muss auch ehrlich zugeben das dies meine erste Firewall ist die ich überhaupt eingerichtet habe. Noch dazu rein virtuell. Bitte hier um nachsehen:)
Auf jeden Fall schonmal danke für die Vorschläge!
 

danton

Debian User
Alle, die nicht mit 10.10.x.x anfangen. Die 10.10.8.0/24 ist nunmal eins der 255 Class-C Netze, die im Class-B Netz 10.10.0.0/16 liegen. Netzmaske entsprechend der Anzahl an VPN-Clients.
 

Grompel

New Member
Habe jetzt mal 10.11.0.0/16 als Tunnelnetz genommen. Jetzt funktionierts. Immer wieder solche Kleinigkeiten die einem das Leben schwer machen...

Danke für die Hilfe!
 
Top