Hallo zusammen
Ich habe gestern den x-ten Versuch unternommen um endlich von pfSense auf OPNsense zu migrieren. Leider bin ich (wieder) an OSPF, welches über OpenVPN-P2P-Tunnel (TUN) laufen soll, gescheitert.
Mein Vorgehen:
Im Vergleich zu pfSense habe ich zusätzlich jeder OpenVPN-Instanz ein Interface zugewiesen, dieses aktiviert / vor Entfernen geschützt und anschliessend dem OSPF-Prozess hinzugefügt. Dies leider ohne Erfolg...
Ist hier noch etwas zu beachten? Müssen in den neuen Interface-Firewallruletabs noch Regeln erstellt werden oder ist immer noch der OpenVPN-Tab zuständig? Ist es überhaupt möglich, OSPF über TUN-Tunnel zum Laufen zu bringen? Wenn nein: Wieso kriegt das pfSense hin? Umstellen auf TAP-Interfaces ist für mich keine Option...
Vielen Dank schon mal!
Gruss
Also pfSense kann das mit TUN Interface? Wie sieht da die Config aus?
Hier meine 4 tun-OpenVPN-Server:
(https://files.struband.net/OPNsense/openvpn.png)
FRR ospfd.conf:
##################### DO NOT EDIT THIS FILE! ######################
###################################################################
# This file was created by an automatic configuration generator. #
# The contents of this file will be overwritten without warning! #
###################################################################
password 123456
interface igb1
interface igb2.101
interface igb2.111
interface ovpns1
interface ovpns2
interface ovpns3
interface ovpns4
router ospf
ospf router-id 10.11.15.254
default-information originate
passive-interface igb1
passive-interface igb2.101
passive-interface ovpns1
network 10.11.0.0/24 area 0.0.0.0
network 10.11.1.0/24 area 0.0.0.0
network 10.11.11.0/30 area 0.0.0.0
network 10.11.5.0/30 area 0.0.0.0
network 10.0.0.0/30 area 0.0.0.0
network 10.0.1.0/30 area 0.0.0.0
network 10.0.2.0/30 area 0.0.0.0
access-list dnr-list permit any
route-map DNR permit 10
match ip address dnr-list
Wird es diesbezüglich irgendwelche Änderungen in 19.7 geben?
Welche Haken sind denn beim OpenVPN Server alle gesetzt? Eventuell ist das wirklich reine config Sache
@Mimugmail: The problem in OPNsense is that the interfaces for OpenVPN are grouped. So we have not reference to the Network.
Quote from: fabian on July 09, 2019, 05:37:18 PM
@Mimugmail: The problem in OPNsense is that the interfaces for OpenVPN are grouped. So we have not reference to the Network.
Und die Gruppierung gilt nur für tun und nicht tap? Dann ist das doch rein pf und auto rules Problem oder nicht?
Ich dachte immer es ist ein technisches Problem an sich von tun, da multicast nicht drüber geht.
tun geht schon, nur das "InterfaceField" kriegt es nicht zusammen. Wenn wir mit einem OpenVPN TUN mit "topology subnet" nehmen, ist das meines Wissens nach kein Problem, da es sich wie ein normaler Netzwerkadapter verhält. Müsstest du halt ausprobieren.
Edit: könnte doch nicht stimmen (findet man so im Internet), frage mich aber wieso. TUN simuliert einen herkömmlichen Netzwerkadapter und OSPF arbeitet mit dem Multicast als eigenes L4-Protokoll. Es gibt keine speziellen OSPF-Frames.