Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Tesla2k on March 18, 2019, 09:31:46 PM

Title: Alles übers VPN per Einstellung auf der Clientseite
Post by: Tesla2k on March 18, 2019, 09:31:46 PM
Hallo,
ich habe ein OpenVPN mit OpnSense eingerichtet. Alles läuft so wie es sollte. Jetzt kommt es manchmal vor, dass ich gern allen Traffic über das VPN leiten würde. Da es aber eine Außnahme ist, will ich das nur mittels einer angepassten Client Einstellung machen.
Ich habe es mit

redirect-gateway def1

in der Konfigdatei vom Client versucht, es scheint aber nicht wirklich zu funktionieren. Ein Traceroute auf einen Internet Adresse zeigt zwar als 1. Hop das VPN Gateway, aber dann geht es nicht weiter.

Ich hab gedacht, dass es evtl von der Firewall geblockt wird und habe eine Regel am Anfang der OpenVPN Regeln eingeführt, die alles erlaubt, hat aber auch nicht geholfen.

Hat jemand eine Idee woran es liegen kann?

Vielen Dank
Title: Re: Alles übers VPN per Einstellung auf der Clientseite
Post by: JeGr on March 19, 2019, 09:54:46 AM
Ich würde

redirect-gateway autolocal

nutzen, das ist IMHO die normalere Variante wenn alles geroutet werden soll, weil dann nicht 0.0.0.0/0 umgeschrieben wird, sondern automatisch so, dass dein Default GW für die Internet Verbindung sauber erreichbar bleibt.

Davon abgesehen, wenn dein next hop die Sense ist, dann würde ich darauf tippen dass

a) Firewall Regeln noch nicht passen oder
b) du kein NAT konfiguriert hast, dass der IP Range vom OpenVPN Server (default 10.0.8.0/24) übers WAN ins Internet geNATtet wird.

Sonst bringt der Spaß natürlich nichts und du kommst nur bis zum Gateway auf deiner Sense aber nicht darüber hinaus.

Gruß
Title: Re: Alles übers VPN per Einstellung auf der Clientseite
Post by: Tesla2k on March 25, 2019, 02:35:51 PM
Ich habe es jetzt mit
Code Select
redirect-gateway autolocal
probiert. Das verhalten war gleich.

Auf der Firewall habe ich unter Firewall/NAT/Outbound den Mode auf Hybrid gestellt und folgende Regel angelegt:
Code Select

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
OpenVPN any  * * * Interface address * NO  

Das hat leider auch nichts geändert

Unter Firewall/Rules/OpenVPN habe ich folgende Regel als erste Regel angelegt:
Code Select
 
Proto Source Port Destination Port Gateway Schedule Description
IPv4+6 * * * * * *

Hat leider auch nichts gebracht.

Unter Firewall/Log Files/Live View sehe ich dass die ausgehenden Pakete vom VPN ins Internet durchgehen, aber es kommen keine zurück.

Was mach ich falsch?

Title: Re: Alles übers VPN per Einstellung auf der Clientseite
Post by: JeGr on March 25, 2019, 02:38:14 PM
> Das hat leider auch nichts geändert

Nicht ganz. Du willst nicht abgehend auf dem OpenVPN NATten/filtern, du willst abgehend auf das WAN NATten. Bitte mal Interface umstellen.
Title: Re: Alles übers VPN per Einstellung auf der Clientseite
Post by: Tesla2k on March 25, 2019, 04:42:19 PM
Ah super, es funktioniert! Es gab schon fast so einen Eintrag wie ich benötigte habe in den Automatischen. Ich habe aber meine VPN Clients in verschiedene unternetzte Verteilt (10.6.0.0/24, 10.6.1.0/24, usw) und nur 10.6.0.0/24 war in dem automatischen Eintrag.

Vielen Dank für Deine Hilfe!
Text only | Text with Images