justas
Jan 14, 2021
view1327
view7
0
Goto Top

Zugriff auf den NAT-Router vom pfSense VPN-Client

GermansolvedQuestionRouters, RoutingNetworks
Ich habe einen Setup, wie in der Anleitung:
IPsec VPN für mobile Benutzer auf der pfSense

Das Bild unter "Lösung mit Router Kaskade" passt wunderbar zu meinem Setup.

Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 640507

Url: https://administrator.de/contentid/640507

Printed on: April 19, 2024 at 17:04 o'clock

7 Comments
Latest comment
Goto Top
Member: tech-flare
tech-flare Jan 14, 2021 updated at 17:26:46 (UTC)
Goto Top
Der Zugriff auf alle LAN-Ressourcen vom VPN-Client ( IPSec oder OpenVPN ) funktioniert. Aber leider nicht auf den NAT-Router (FritzBox).
Im LAN funktioniert dieser problemlos. Brauche ich eine FW-Regel für den VPN-Client? Wenn ja, welche?
Hallo

Die FW muss den Traffic erlauben, ja

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.
Member: aqui
aqui Jan 15, 2021 at 07:35:10 (UTC)
Goto Top
Aber leider nicht auf den NAT-Router (FritzBox).
Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?
wan
Machst du das nicht blockt die Firewall sämtlichen Return Traffic der FB.
Member: justas
justas Jan 15, 2021 updated at 08:56:54 (UTC)
Goto Top
Zitat von @aqui:

Vermutlich hast du in deiner Kaskade auf dem WAN Port der pfSense vergessen das Blocking der RFC 1918 IP Netze freizugeben, kann das sein ?

Dieses Setting ist korrekt. Sonst würde vermutlich der Zugriff vom LAN auf den NAT-Router auch nicht funktionieren.
Member: justas
justas Jan 15, 2021 updated at 08:57:17 (UTC)
Goto Top
Zitat von @tech-flare:

Du brauchst aber auch eine zusätzliche Route von der FB zur Sense, wenn dein VPN Netz von der vorhandenen Route abweicht.

Es ist aus meiner Sicht immer noch die gleiche Route. Nur einmal ist der Client direkt im LAN und geht über den WAN-Port der pfSense auf den NAT-Router. Im anderen Fall kommt der Client über IPSec und will genauso über den WAN-Port auf die gleiche IP zugreifen.
Ist es nicht diegleiche Route?
Member: aqui
aqui Jan 15, 2021 updated at 09:17:26 (UTC)
Goto Top
Du brauchst aber auch eine zusätzliche Route von der FB zur Sense
Das ist auch falsch, die Route braucht man nicht. Die pfSense macht ja NAT (IP Adress Translation) am WAN Port also am Koppelport zur FB. Sprich alle IP Netze und Adressen hinter der pfSense werden von ihr zentral auf ihre WAN IP Adresse als Absender Adresse umgesetzt.
Folglich "sieht" die FritzBox damit dann diese fremden IP Netze gar nicht und "denkt" das alles was da kommt aus ihrem eigenen LAN kommt. Logisch, denn alle IP Pakete haben als Absender IP die WAN Port IP der pfSense. Sie hat damit durch das NAT an der pfSense also keinerlei Ahnung von anderen IP Netzen an der pfSense.
In sofern ist eine IP Route auf der FB also sinnfrei.
Der Zugriff auf eine FritzBox in einem Kaskaden Design klappt hier fehlerlos und das sogar mit einer nackten pfSense Default Konfig allerdings natürlich mit Freigabe der RFC 1918 IPs.
Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. face-sad
Member: justas
justas Jan 15, 2021 at 09:53:34 (UTC)
Goto Top
Zitat von @aqui:

Sollte es bei dir dennoch nicht gehen, dann kann es ja einzig nur am Regelwerk deines LAN Ports liegen das du das das IP Netz des Koppelnetzes blockierst weil du z.B. den Zugriff zu anderen RFC 1918 IP Netzen blockierst.
Das mag möglich sein kann man aber nur raten weil man dein Regelwerk nicht kennt. face-sad

Danke! Habe den Fehler gefunden. Lag tatsächlich am Regelwerk.
Member: aqui
aqui Jan 15, 2021 updated at 10:15:30 (UTC)
Goto Top
PEBKAC Problem ! 😉
Mit einem Blick in das Firewall Log wäre der Thread vermutlich überflüssig gewesen aber nun denn. Das übt ja !
Case closed.
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment