Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Fremulon on September 19, 2019, 10:36:26 AM

Title: OpenVPN Site-to-Site Howto?
Post by: Fremulon on September 19, 2019, 10:36:26 AM
Hallo zusammen

Kann mir jemand ein Howto zeigen, wie ich mit OpenVPN eine Site-to-Site Verbindung einrichten kann?

Gegeben sind:
- Standort A 192.168.40.0/24, soll OpenVPN Server sein
- Standort B 192.168.254.0/29, soll OpenVPN Client sein
- Standort C 192.168.254.8/29, soll OpenVPN Client sein

Ziel ist es, dass ich von Standort A auf die IP Adressen in Standort B und C zugreifen kann. Ich geb's auf, dies mit IPsec zu realisieren, weil ich die Remote IP Adressen von den Standorten B und C nicht kenne.

Vielen Dank
Title: Re: OpenVPN Site-to-Site Howto?
Post by: lfirewall1243 on September 19, 2019, 10:55:27 AM
Hi,

ist eigentlich recht schnell gemacht.
Ich habe es aber so eingerichtet, das jeder Standort mit jedem Verbunden ist, der Hauptstandort mal ausfallen sollte und um dessen Performance zu schonen.

Ist auch hier ganz gut beschrieben
https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html
Title: Re: OpenVPN Site-to-Site Howto?
Post by: Fremulon on September 19, 2019, 01:09:09 PM
Also der OpenVPN Aufbau hat soweit geklappt und ich kommt auf den gegenüberliegenden Weidmüller Router mittels der Tunnel IP (10.10.55.2) - aber aktuell komme ich nicht auf das Netz dahinter.

Ich vermute, ich muss noch was routen technisch machen?
Title: Re: OpenVPN Site-to-Site Howto?
Post by: JeGr on September 19, 2019, 01:14:24 PM
> Ich vermute, ich muss noch was routen technisch machen?

Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.
Title: Re: OpenVPN Site-to-Site Howto?
Post by: Fremulon on September 19, 2019, 01:43:21 PM
Quote from: JeGr on September 19, 2019, 01:14:24 PM
Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.

Dann glaube ich, dass ich das bei der Weidmüller FW anders machen muss. Denn Zitat Webinterface von denen "there are iroute entries required in the OpenVPN server configuration" - wenn man den tun adapter verwendet. Deren OpenVPN sehe ich aktuell eher als klassische Client Lösung an, damit ich von fern auf die lokale Umgebung kommen kann, ich benötige aber genau das Gegenteil.
Title: Re: OpenVPN Site-to-Site Howto?
Post by: JeGr on September 19, 2019, 02:12:06 PM
Da keiner* hier eine Weidmüller FW kennt, wäre ein bisschen mehr Info von dem Miststück hilfreich um irgendwie bewerten zu können, was schief läuft ;) In 99% der Fälle ist es nicht die Sense die schuld ist. :)

Grüße

*(tatsächliche Zahlen könnten abweichen, ändert aber an der Aussage nichts)
Title: Re: OpenVPN Site-to-Site Howto?
Post by: micneu on September 19, 2019, 03:17:53 PM
Quote from: Fremulon on September 19, 2019, 01:43:21 PM
Quote from: JeGr on September 19, 2019, 01:14:24 PM
Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.

Dann glaube ich, dass ich das bei der Weidmüller FW anders machen muss. Denn Zitat Webinterface von denen "there are iroute entries required in the OpenVPN server configuration" - wenn man den tun adapter verwendet. Deren OpenVPN sehe ich aktuell eher als klassische Client Lösung an, damit ich von fern auf die lokale Umgebung kommen kann, ich benötige aber genau das Gegenteil.

kannst du bitte mal einen screenshot der weboberfläche posten, das hatte ich schon bei einigen posts von dir gefragt, danke
Title: Re: OpenVPN Site-to-Site Howto?
Post by: Fremulon on September 19, 2019, 05:36:07 PM
Hier https://forum.opnsense.org/index.php?topic=14243.msg65780#msg65780 (https://forum.opnsense.org/index.php?topic=14243.msg65780#msg65780)
Title: Re: OpenVPN Site-to-Site Howto?
Post by: micneu on September 19, 2019, 11:10:25 PM
Aber da geht es doch im Titel um ipsec?


Gesendet von iPhone mit Tapatalk Pro
Title: Re: OpenVPN Site-to-Site Howto?
Post by: Fremulon on September 20, 2019, 08:17:56 AM
Ja stimmt, ist ein bisschen aus dem Ruder gelaufen...  :o
Mittlerweile geht es eigentlich um Site-to-Site VPN mit Weidmüller FW - IPsec ist der komplett falsche Ansatz, da ich immer eine Unbekannte Gegenseite habe. Ich muss nachher mal kurz die Titel anpassen, hab's eben selber auch gemerkt. Sorry.
Title: Re: OpenVPN Site-to-Site Howto?
Post by: JeGr on September 23, 2019, 12:15:20 PM
Vor allem sollte das angepasst werden, weil du lesen willst, wie das geht. Du kannst es aber gar nicht so umsetzen wie ich es vorschlagen würde, weil du an deine Hardware Büchsen gebunden bist. Ergo bringt auch der Thread nicht wirklich viel.

Umsetzen würde ich das mit SharedKey OVPN Tunneln. Damit hätte ich das in ner halben Stunde bis Stunde betriebsbereit.
Text only | Text with Images