Forumdelen sponsras av

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

PfSense och portforward över vpn

Tja,

jag har en virtuell PfSense med enbart 1 nic, den maskinen agerar openvpn klient för ett nät.

vpn och så fungerar bra, maskinerna som har pfsense som default gw surfar ut via vpn.
jag har floating rules som bara tillåter udp 1194, så om vpn går ner kommer klienterna inte ut på internet.

mitt problem är nu när jag vill köra portforward på en port till en maskin, men jag får bara CLOSED:SYN_SENT i state.

kollar jag loggar på regler så är dom godkända, source -> opt1 ip -> klient ip.

det verkar på nåt sätt som allt är grönt på vägen in, men svaret går inte tillbaka ut, men inga drops enligt loggar.

jag tycker att jag även följt guiden för portforward till punk och pricka.

några tips?

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Vill du NAT:a ut den över VPN eller vill du NAT:a ut den på WAN-sidan utan att gå över VPN? Oavsett tror jag du behöver tillåta svar utåt

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@jocke92: jag vill ju NATa ut den via via vpn.

på wan interface tillåter jag som sagt bara udp 1194 via en floating rule, så tunneln kommer upp.

på otp1 interface har jag en NAT för ingående (port forward) som tillåter en viss TCP port från any till destination OTP1, med en redirect till bakomliggande klient.
detta skapar automatiskt en FW rule på interface OPT1 från ANY till min klient och den specifika porten.

i detta skede så ser jag inga drops på inkommande.

jag har även en utgående NAT på interface OTP1 för hela mitt nät som source, till destination any med any port.

så jag vet inte riktigt vart jag måste tillåta eller skapa mer för att få det att fungera.

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

Förstår inte riktigt vad du menar med att du bara har ett NIC, har du ingen LAN-sida i pfsense?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av issue:

@jocke92: jag vill ju NATa ut den via via vpn.

på wan interface tillåter jag som sagt bara udp 1194 via en floating rule, så tunneln kommer upp.

på otp1 interface har jag en NAT för ingående (port forward) som tillåter en viss TCP port från any till destination OTP1, med en redirect till bakomliggande klient.
detta skapar automatiskt en FW rule på interface OPT1 från ANY till min klient och den specifika porten.

i detta skede så ser jag inga drops på inkommande.

jag har även en utgående NAT på interface OTP1 för hela mitt nät som source, till destination any med any port.

så jag vet inte riktigt vart jag måste tillåta eller skapa mer för att få det att fungera.

Jag har inte så mycket erfarenhet av just pfsense. Men opt1 är ditt "wan"? Jag tänker att du behöver lägga VPN på det Interface som är VPN. I en del brandväggar blir det tun1

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

@jocke92: OPT1 är det extra interface som är själva VPN-tunneln, motsvarande tun0 i linux.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu: jag kör wan och lan på samma nic.
denna maskin är inte min primära router/brandvägg utan används bara för att ge vpn åt ett nät då min USG är för klen för att ha vpn i sig.

så X antal maskiner har pfsense som gateway där det sedan tunnlas genom min USG tills min vpn provider.

detta fungerar ju riktigt bra, ända fram tills nu när jag vill ha en port forward

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

@issue: Men det är två olika interface fortfarande?

Jag kör samma setup av samma anledning, WAN och LAN är två virtio-interface som jag skickat in till pfsense-VM som utanför hosten ligger på varsitt VLAN.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu: faktiskt inte, har bara wan och sedan opt1, inget virtuell lan interface.
Tror du att det kan vara det dom spökar med port forward?

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

@issue: Yep, tror det blir knas internt med hur pfsense genererar reglerna.

Trädvy Permalänk
Medlem
Registrerad
Aug 2010

Har du öppnat porten hos din VPN-provider?

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@kempes: yes. Om jag kör vpn klient direkt på en av maskinerna ifråga så fungerar det perfekt. Men så fort jag kopplar ner och låter pfsense sköta det fungerar det inte

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu: ok, då testar att skapa ett virtuellt lan interface

edit: måste bara dubbelkolla då jag är ny med pfsense.

har du 2 olika interface tilldelade din VM?
har du 2 olika vlan assignat till ditt WAN interface?
eller har du skapat ett virtuell nic inne i pfsense?

kan även lägga till att jag kör detta på unraid, vilket är helt nytt för mig sen i onsdags. tidigare hade jag windows server och där hade jag inga problem att assigna femtioelva nätverksadaptrar till en vm. men har inte lyckats hitta hur jag gör samma lika i unraid.

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Jul 2001
Skrivet av issue:

@thu: ok, då testar att skapa ett virtuellt lan interface

edit: måste bara dubbelkolla då jag är ny med pfsense.

har du 2 olika interface tilldelade din VM?
har du 2 olika vlan assignat till ditt WAN interface?
eller har du skapat ett virtuell nic inne i pfsense?

kan även lägga till att jag kör detta på unraid, vilket är helt nytt för mig sen i onsdags. tidigare hade jag windows server och där hade jag inga problem att assigna femtioelva nätverksadaptrar till en vm. men har inte lyckats hitta hur jag gör samma lika i unraid.

Angående unraid så är det samma sak där.. Det är jättelätt att aasigna fler virtuella nätverkskort..

Skickades från m.sweclockers.com

WS: AMD Ryzen 7 1700 | 48 GB DDR4 @3000 MT/s | Geforce GTX 1060 OC 6GB | 1TB SSD + 480 (nvme) + 256 + 240 GB SSD | Manjaro Linux + Win10 Pro
Bärbar: Macbook Pro Retina 13" | Intel Core I5 2,4Ghz | 16GB RAM | 256GB Flash
Server: 3x HP Proliant microserver Gen8 | 16 GB DDR3 ECC ram | Sammanlagt 26TB HDD | Esxi

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@-=fredrik=-: jag har googlat och googlat, men jag hittar inte hur man gör det

edit: eller rättare sagt, jag har hittat plustecknet för att lägga till en nic, väljer bridge br0, men sen när jag bootar pfsense så säger den att den inte hittar några nics

edit2: nu så, tydligen lirar pfsense dåligt med virtio, så jag fick skapa maskinen och sen ändra model type på nic via xml från virtio till vmxnet3, nu ser pfsense mina virtuella nic.

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu:

nu har jag fipplat om pfsense på nytt, har nu wan + lan + opt1 interface.
jag skapade om portforward men jag får samma problem.

jag antar att det har med mina floating rules att göra. för disablar jag dem fungerar portforward.

jag har 3 floating rules
interface wan, Pass - source/destination any på udp 1194
interface wan, Pass - source/destination any på udp 53
interface wan, Reject eny any

detta är ju för att om vpn kopplar ner ska inga maskiner kunna komma ut på internet, men otp1 interfacet ska kunna koppla upp sig igen.

jag har försökt skapa fler floating rules och då på interface opt1, för fan, när tunneln väl är uppe då är det ju på det interfacet min trafik termineras enligt mig.
men försöker jag mig på en floating på interface opt1 men typ source any, destination en klient och sen min specifika port så fungerar det ändå inte.

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

@issue: Jag har inga floating rules.
På LAN har jag en regel för access utåt via VPN:
Pass, IPV4, source: LAN NET, Destination: invert 172.16.0.0/12 och sen nere under advanced så har jag gateway satt till OVPN_VPNV4.
En Outbound NAT-regel för mitt OVPN-interface (OPT1 i ditt fall), ska funka för dig redan eftersom du har fungerande tunnel.
Sen Portforward precis som jag uppfattade den beskrivning.

Jag har i själva verket 8 interface i pfsense, allt internt ligger i olika subnät av ovan, så invert-matchningen är för att se till att inget internt trillar ut via VPN. Ändra till 192.168.0.0/16 eller vad som nu passar dig

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu: den där regeln borde ju uppnå precis det mina floating gör.

jag vill ju inte att klienterna ska kunna gå ut ifall vpn inte är uppe. men eftersom du specar att den bara får gå ut via vpn_gw så borde dom ju inte komma ut ifall vpn är nere.

ska testa det där ikväll

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@thu: jag gjorde som du sa men det fungerade ändå inte, så fort jag stängde vpn anslutningen så surfade jag via vanliga IPn.

men jag följde denna guide och så fick jag det att fungera precis som jag ville

https://www.reddit.com/r/PFSENSE/comments/6edsav/how_to_prope...

Hemma hos mig är det numera en Apple-fri miljö..
Nätverk: UniFi Security Gateway, UniFi US-8, UniFi AP AC PRO... sen en äldre managerbar D-Link 18p.
Ljud: Pioneer SC-LX501. Triangle Plaisir 5.1. Onkyo Atmos Add-ons
Konsol: Xbox One X och PS4 Pro

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

@issue: Glömde du kvar allow-all-regeln för trafik på LAN-interfacet kanske? Tvärstopp här då tunneln är nere. Men fint att det löst sig iaf:)