OPNsense Forum

International Forums => German - Deutsch => Topic started by: SilentWarrior on April 01, 2022, 07:21:13 pm

Title: Zugriff Roadwarrior VPN auf Site2Site VPN und Internet
Post by: SilentWarrior on April 01, 2022, 07:21:13 pm

Hi,

ich habe folgende VPN Konstellation, wie in beiliegenden Bild.
Die IP-Adressen sind symbolisch dargestellt, entsprechen aber von der Struktur her der Realität.

Nun habe ich das Problem, dass ich zwar zwischen den Site2Site Verbindungen kommunizieren kann, wenn ich mich aber über den Roadwarrior VPN einwähle komme ich nicht auf z.B. das Netzwerk 30.30.30.0/24 oder ins Internet. Ich hatte dazu schon mehrfach gesucht und auch div. Anleitungen abgearbeitet.
Habe hier auch schon entsprechende Phase 2 Verbindungen angelegt, die zwischen 50.50.0.0/16 und 30.30.30.0/24 sowie 10.0.0.0/16 und 30.30.30.0/24 sind.
Am NAT habe ich mich auch schon versucht, bislang hatte mich aber alles nicht auf einen grünen Zweig gebracht.
Ich nehme mal an, dass der Internetzugriff vom Roadwarrior VPN ausschliesslich über NAT geregelt werden muss, da kann ich ja keine zusätzliche Phase2-Route einfügen.

Hätte mir da jemand ein paar Schritt für Schritt Infos, wo ich was einstellen muss bezogen auf die angegebene Konfiguration ?

Vielen Dank schon mal im voraus !

Title: Re: Zugriff Roadwarrior VPN auf Site2Site VPN und Internet
Post by: schnipp on April 01, 2022, 07:42:09 pm

Quote from: SilentWarrior on April 01, 2022, 07:21:13 pm

Ich nehme mal an, dass der Internetzugriff vom Roadwarrior VPN ausschliesslich über NAT geregelt werden muss, da kann ich ja keine zusätzliche Phase2-Route einfügen.

Doch, genau das ist zu tun:

• Du musst für den Roadwarrior entsprechende Phase2-Einträge auf der Opnsense machen.
• Die S2S benötigen ebenfalls entsprechende Phase2-Einträge auf der Opnsense und am anderen Endpunkt.
• Korrespondierende Firewalleinträge für die netzübergreifende Kommunikation der IPSec-Verbindungen auf der Opnsense erstellen
• Gegebenenfalls an den S2S-Gegenstellen noch die Firewall anpassen und die Endgeräte mit einer korrespondierenden Route zum Roadwarrior-Netz versorgen

NAT benötigst Du für die reine IPSec-Kommunikation nicht, sondern nur falls der Roadwarrior über das VPN auf das Internet zugreifen soll

Title: Re: Zugriff Roadwarrior VPN auf Site2Site VPN und Internet
Post by: SilentWarrior on April 04, 2022, 10:33:57 am

Hi,
Danke für die Antwort.

Was ich bereits schon probiert hatte:

Beim RoadWarrior Phase 2 habe ich aktuell drei Einträge
Lokales Subnetz   Fernes Subnetz
50.50.0.0/16        mobiler Client
30.30.30.0/24      mobiler Client
Internet               mobiler Client

Wobei hier der Eintrag Internet wohl eher falsch ist und der Zugang zum Internet, wie angedeutet, über NAT gehen sollte.
Bei NAT Ausgehend gibt es eine automatische Regel in der folgendes steht:
Schnittstelle Quellnetzwerk Quellport Ziel Zielport NAT Adresse NAT Port Statischer Port
Internet       10.0.0.0/24    *             *    *          Internet        *           NEIN

Ins Internet komme ich damit aber leider nicht mit dem RoadWarrior...

In der einen Site2Site Verbindung habe ich auch zwei Phase 2 Einträge definiert:
Lokales Subnetz   Fernes Subnetz
50.50.0.0/16        30.30.30.0/24
10.0.0.0/24          30.30.30.0/24
Entsprechend anders herum auf der Gegenseite.
Ahhhhh urgghhh, da ist mir doch glatt ein Fehler bei der IP-Adresse aufgefallen...
Korrigiert und nun komme ich zumindest mit dem RoadWarrior ins Site2Site Netzwerk. :)

Welche Firewall Regeln sollte dazu vorhanden sein, habe hier großzügig unter "Fließend" ein paar eingerichtet.
Vermute mal ich benötige da sowas für alle entsprechenden Netze:

Protokoll Quelle               Port Ziel                Port Gateway
IPv4 *    30.30.30.0/24   *     50.50.0.0/16  *     *               Bidirektional
IPv4 *    50.50.0.0/16     *     30.30.30.0/24*     *               Bidirektional

Für den RoadWarriior dann das selbe nochmal oder bin ich da irgendwo falsch abgebogen ?
Will natürlich auch nicht mehr zulassen als nötig.

Muss hier dann auch noch eine Regel für Internet hinterlegt werden oder muss ich bei NAT noch etwas ergänzen, damit der RoadWarrior auch ins Internet über VPN kommt ?

Danke.

Title: Re: Zugriff Roadwarrior VPN auf Site2Site VPN und Internet
Post by: schnipp on April 08, 2022, 06:41:10 pm

Besser ist, wenn Du schrittweise vorgehst. Für den Zugriff vom mobilen Endgerät über IPsec ins Internet benötigst Du:

• Einen IPsec-Tunnel (Phase 2), welcher Netzwerkverkehr ins gesamte IPv4-Netz überträgt (mobiles IPv4-Netz <-> 0.0.0.0/0)
• Eine NAT-Regel, welche Dein mobiles IPv4-Netz in die WAN-IPv4 übersetzt (hast Du bereits gemacht, wähle als NAT-Target aber besser "Interface address")
• Eine Firewall-Regel, welche auf der IPsec-Schnittstelle eingehenden Verkehr vom mobilen IPv4-Netz ins Internet zulässt

Dann sollte es klappen. Über die Firewall-Regel(n) definierst Du zukünftig, zu welchen Zielnetzen der Verkehr Deiner mobilen Endgeräte geroutet wird.