OpenVPN-Server hinter der Firewall (im LAN)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

OpenVPN-Server hinter der Firewall (im LAN)

Beitrag von isential gmbh »

Hallo!

Ich lerne gerade die Firewall kennen. Dazu habe ich eine Black Dwarf UTM WiFi Edition im Einsatz.

Bisher hatten wir lediglich eine FritzBox 7490 im Einsatz. Diese dient auch als kleine Telefonanlage und soll daher bleiben. Sie macht auch die VDSL-Einwahl.

Unter anderem betreiben wir in unserem internen Netz einen eigenen OpenVPN-Server. Um ihn zu erreichen, hatten wir in der FritzBox eine einfache Portweiterleitung (Portfreigabe in AVM-Jargon) von UDP 1194 auf die IP-Adresse des OpenVPN-Servers eingerichtet. Funktioniert auch tadellos.

Zunächst aber die aktuelle Konfiguration:

Die Black-Dwarf-Firewall (ich nenne sie im weiteren Verlauf nur Firewall) habe ich hinter der FritzBox, beide in einem eigenen Netz:

Firewall (LAN1 bzw. WAN-Port): 192.168.254.254
FritzBox (LAN1): 192.168.254.253

Die FritzBox hat nur eine einzige Portweiterleitung:

Exposed Host: 192.168.254.254

Also alles was von draußen kommt, bläst die FritzBox über die 192.168.254.253 an die Firewall (192.168.254.254) ungefiltert durch.

Das interne Netz ist 192.168.70.0/24 und an die Firewall über LAN2 (192.168.70.254) angebunden. Die Firewall ist gleichzeitig Default-Gateway für das 70er Netz.

Die Firewall hat wiederum als Default-Gateway 192.168.254.253 (FritzBox) mit Zielnetzwerk 0.0.0.0/0.

Mit diesen Einstellungen erreicht das ganze interne Netzwerk (192.168.70.0/24) das Internet.

Nun zu meinem Problem:

Der vorhandene OpenVPN-Server soll bleiben, so dass der von der Firewall nicht zum Einsatz kommt. Dazu habe ich folgendes gemacht:

Ein neues Netzwerkobjekt das den OpenVPN-Server beschreibt:

Name: OpenVPN-Server
Zone: internal
Adresse (IP-Adresse des OpenVPN-Servers): 192.168.70.205/32

Im Anschluss folgenden Portfilter:

Quelle: internet
Ziel: OpenVPN-Server (das gerade eben erstellte Netzwerkobjekt)
Dienst: openvpn-udp (war bereits vorhanden und richtig eingestellt)
NAT: DESTNAT / internal-interface / openvpn-udp

Mit diesen Einstellungen kann sich jedoch kein Client aus dem Internet über OpenVPN einwählen.

Was mache ich hier falsch?

Für jede Anregung herzlichen Dank!

René
Zuletzt geändert von isential gmbh am Fr 12.06.2015, 10:44, insgesamt 1-mal geändert.

Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Halt! Mein Fehler...

So viel geschrieben und beschrieben. Der Fehler lag am Portfilter:

Quelle: internet
Ziel: OpenVPN-Server (das gerade eben erstellte Netzwerkobjekt)
Dienst: openvpn-udp (war bereits vorhanden und richtig eingestellt)
NAT: DESTNAT / external-interface / openvpn-udp

Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

soweit alles richtig, nur eine kleine Korrektur:

NAT: DESTNAT / external-interface / openvpn-udp

Hier wählen Sie die externe Schnittstelle über die die Pakete reinkommen.

Gruß

Benutzeravatar
isential gmbh
Beiträge: 156
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Danke sehr! Bin selber nur Augenblicke vor Ihrer Antwort drauf gekommen. Es funktioniert wieder tadellos.

Ich muss etwas umdenken, denn bisher hatte ich außer mit der kleinen FB ausschließlich mit Fortinet zu tun. Da ist strukturell einiges anders und auch die Begrifflichkeit ist unterschiedlich. Darüber hinaus auch sehr teuer... Daher werde ich sicherlich in den nächsten Stunden/Tagen die eine oder andere Frage stellen.

Nochmals herzlichen Dank und Grüße aus Trossingen!

René

Antworten