OPNsense Forum
International Forums => German - Deutsch => Topic started by: airdatec on December 08, 2017, 04:19:31 pm
-
Hallo Zusammen,
ich beschäftige mich seit einiger Zeit mit OPNsense und bin schlichtweg begeistert. Ich komme aus der IPCOP Ecke und es wird alles Farbig und Bunt =).
So jetzt zu meinem Problem, wir betreiben 2 x Opensense über Glasfaser an 2 Standorten (A 192.168.1.0 und B 192.168.2.0) über eine IPSEC Verbindung mit aktivierter Floating Regel.
Am Standort A gibt es OVPN Roadwoarrier (10.0.0.0) die auf das LAN am Standort A zugreifen, klappt soweit sehr gut.
Jetzt sollen die OVPN Roadwoarrier mit auch auf das Lan des Standorts B zugreifen:
OVPN 10.0.0.0 -> WAN Standort A (Intern 192.168.1.0) -> IPSEC-> Wan Standort B ->LAN 192.168.2.0
Bisher konnten ich das bei der IPCOP immer nur über einen zweiten IPSEC Tunnel mit dem Netzwerk 10.0.0.0 lösen.
Das ist aber keine prickelnde Lösung.
Ich hab schon Floating (OVPN/IPSEC), dem Client eine manuelle Route usw vergeben bin aber nicht weitergekommen. Eventuell hat einer von euch ja das ganze schon einmal gebaut und einen Tip für mich.
Danke
Chris
-
Theoretisch sollte es gehen, mehrere Netze im IPsec Daemon zu definieren [1], wird aber leider nicht im GUI unterstützt. Daher müssten derzeit mehrere P2-Einträge erstellt werden.
Du kannst aber einen Feature Request machen - vielleicht wird es ja implementiert (sieht ja nicht sonderlich aufwendig aus).
[1] https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection (ctrl + f -> rightsubnet)
-
Hallo Fabian
Danke für die Antwort. Wundert mich das diese Funktion bisher niemand wirklich gebraucht hat.
Den Feature Request stelle ich am besten wo ? hier im Board unter welcher Rubrik oder gibt es hier ein extra Portal ?
-
Hallöchen und willkommen! :)
Phase 2, Advanced, Manual SPD entries:
Strongswan automatically creates SPD policies for the networks defined in this phase2. If you need to allow other networks to use this ipsec tunnel, you can add them here as a comma seperated list.When configured, you can use network address translation to push packets through this tunnel from these networks.
Ist noch recht neu.
Grüsse
Franco
-
Hallo Franco,
danke für die Antwort
RE: Phase 2, Advanced, Manual SPD entries hab ich kapiert und hier das OVPN Netz 10.10.0.0/24, muss das an beiden Seiten des IPSEC Tunnels konfiguriert werden ?
RE: Strongswan automatically creates SPD policies for the networks defined in this phase2. If you need to allow other networks to use this ipsec tunnel, you can add them here as a comma seperated list.When configured, you can use network address translation to push packets through this tunnel from these networks.
Wie sollte ich hier die NAT Regel am besten aufbauen 1zu1 Nat ist es ja wahrscheinlich nicht, deshalb müsste ich hier eine Regel (FIREWALL NAT Ausgehend machen). Hier wahrscheinlich der Hybrid Modus und eine manuelle Regel.
Hab hier einiges durchprobiert jedoch geht mein PING über den OVPN Roadwoarrier nicht durch, auch hier die Frage ist das auf beiden Firewalls invertiert zu konfigurieren ?
Gibt es irgenwo ein Hotow mit einer Basiskonfiguration für diese Thematik. Wenn es bei mir funktioniert würde ich mich sehr gerne an einer Erstellung beteiligen.
Grüße Chris
-
Hallo Chris,
Jeweils auf der Seite auf der dies ausgehend zu übermitteln ist, d.h. das interne nicht-IPsec (also wenn es nicht zum selben Phase 1 gehört) Netz dort hinterlegen.
NAT ist unnötig solange die Netzbereiche nicht überlappen. Michael weiss dazu mehr...
Grüsse
Franco
-
Hallo Franco,
danke für die schnelle Antwort, hab das OVPN Netz mal über die SPD Option auf beiden Seiten erweitert um das OVPN Netz 10.11.0.0/24 hat wechselseitig/gleichzeitig nicht funktioniert.
Muss ich evtl. für den OVPN Client noch eine Route pushen ? der weiß ja nicht wirklich was er mit dem Netz anfangen soll.
Gruß Chris
-
Muss ich evtl. für den OVPN Client noch eine Route pushen ? der weiß ja nicht wirklich was er mit dem Netz anfangen soll.
[/quote]
Dem Client muss das Netz, welches er indirekt erreichen kann, als Route mitgeteilt werden.
Alternativ kann der Standardgateway gesetzt werden.
-
Hallo Fabian,
habe ich mal manuell gemacht testweise am Client manuell eine Route auf den OVPN Netz GW IP und auf die Firewall ip selbst.
Bei beiden Routen geht nichts durch.
Hat das evtl hiermit zu tun ?
https://forum.opnsense.org/index.php?topic=5927.0