Guten Abend, oder Morgen je nachdem wie man es sehen möchte.

Aktuell leite ich mit einem seperaten V-Server alle Webanfragen an meine Domains an eine subdomain der jeweiligen, meistens www, um damit ich dahinter wiederrum einen CNAME auf meinen dyndns Eintrag legen kann.

Ich wollte mal was neues ausprobieren und unter anderem auch mehr Systeme konsolidieren IPv6 anschliessen usw.

Eigentlich haben 3 Arbeitskollegen zu verantworten dass ich mich mit diesem Thema beschäftigt habe. Zwei haben einen DS-Lite/IPv6 Only anschluss (Diese bezeichnung ist etwas falsch wird aber oft dafür genutzt, technisch gesehen ist es ein Carrier-Grade NAT).

Und der letzte hat sowas schonmal eingerichtet.

Die ganze Idee dahinter ist das ich keine Port-Freigaben DynDNS usw. machen muss und meine pfSense alle externen Routen durchführt. Um dies zu bewerkstelligen muss natürlich eine Feste IP auf meinen Anschluss gelegt werden.

Der VPS Anbieter Hetzner bietet zum relativ günstigen Preis von ~4€ im Monat einen VPS mit 20TB Transfervolumen an und hat auch pfSense im ISO Portfolio!

Folgendes Szenario habe ich nun im Kopf.

Hetzner VPS <--- FritzBox --- Unifi USG ---> pfSense

Die Verbindung wird via OpenVPN aufgebaut zwischen der pfSense und dem HetznerVPS als Peer-to-Peer. Wie ihr ja wisst habe ich auf meiner pfSense eine HA-Proxy mit LE SSL Terminierung bereits laufen deswegen wollte ich hier einfach nur die Ports Weiterleiten anstelle direkt Online den HAProxy neu aufzubauen.

Ich habe also auf dem Hetzner VPS pfSense installiert und einen OpenVPN Server angelegt:

Dieser hat folgende Einstellungen, wobei ich nur das Tunnel Netzwerk und den Typ eingestellt habe.

Nun füge ich das VPN Interface auch als Interface hinzu (Notwendig fürs Routing Gateway).

Das keine IP Settings angezeigt werden ist korrekt, diese werden durch OpenVPN gesetzt. Apropo Gateway schauen wir mal da nach.

Das Gateway sollte automatisch angelegt werden sofern im Server auch Unter Gateway der Radio Button gewählt wurde.

Probleme die auftauchen werden ist dass das neue Interface als LAN erkannt wird, bitte vorher eine WAN Regel anlegen um die Weboberfläche zu erlauben, die Anti-Lockout Regel schwänkt nämlich um auf das LAN Interface. Nachdem man das Interface angelegt hat muss man ggf. den DHCPv6 Server abschalten.

Unter der den Routing Regeln trägt man nun die Netze ein die man durch dieses VPN Gateway schicken möchte:

Nachdem man dies sichergestellt hat geht man auf die Outbound NAT Regeln und legt folgende fest:

Und dazu noch die normalen NAT Regeln in das eigene Netz:

Dann fehlen noch die Firewall Regeln für OpenVPN (Nicht das VPN Interface!!!)

Wir erlauben erstmal alles weil wir auf der Lokalen Seite Firewall Regeln setzen werden.

Auf der Lokalen Seite tragen wir folgendes im OpenVPN Client ein:

Den TLS Key bekommen wir aus dem Server Profil von dem Hetzner pfSense, bitte keinen neuen generieren.

Und auch hier das Gateway anlegen lassen.

Die VPN Verbindung sollte noch aufgebaut werden.

Jetzt kommt auch hier ein VPN Interface hinzu, bitte wie o.g. vorgehen und dann in die Firewall Regeln wechseln.

Diese Regeln reichen meinerseits aus um dem VPN Tunnel nur den zugriff auf die HAProxy Instanz und Ping für den Keepalive zu erlauben.