OPNsense Forum
International Forums => German - Deutsch => Topic started by: kenobits on December 02, 2020, 05:03:34 pm
-
Hallo zusammen,
ich bin noch neu in der Thematik und bei OpnSense, sollte etwas schwammig formuliert sein, bzw. fachlich falsch, bitte drauf hinweisen, möchte ja auch dazu lernen.
Folgendes Problem:
Wir nutzen in der Firma verschiedene OpenVPN-Zugänge über eine VM - quasi client to site mäßig, diese sollen nun als Site2Site-Verbindung auf eine neue OpnSense-Firewall migriert werden. Dafür habe ich die alten ovpn Datein auf der OpenSense "nachgebaut", die Firewall-Regeln angepasst und der OpenVPN-Verbindung ein Interface-Zugewiesen (auch hier FW-Regeln angepasst).
Die Verbindung baut sich auch auf und es findet ein Handshake erfolgreich statt.
Das Problem ist jetzt nur, ich erreiche keine Hosts auf der Gegenseite. Das Routing wird von der andern Seite gepushed und es sieht für mich so aus als würde es auch richtig in die routing-tabellen der opnsense eingetragen.
Ein Tracert zeigt die IP des gepushten GW als ersten Hops, kommt dann aber nicht weiter.
Bin mit meinem Latein momentan grad ziemlich am Ende, sollte hier wer eine Idee haben und ein bisschen Zeit würde ich mich echt freuen :)
Grüße
-
Hast du denn Firewall Regeln, die den Traffic erlauben? Sieht man was im Live view?
-
Und werden die Routen in der OPNsense angelegt?
System:Routes:Status
-
Danke für die Antwort :)
Also FW-mäßig müsste alles passen: testweise sowohl in dem Reiter OpenVPN als auch in dem zu meinem Inteface das ich mit der Verbindung verknüpft habe alles erlaubt, WAN sollte auch passen. Der live-View hat bei einem Tracert alles auf grün gezeigt und auch dass die Verbindung nach draußen erlaubt ist. Aber kann es überhautp ein FW Problem sein, der VPN-Endpoint ist ja schon die Firewall also es muss ja nichts durchgereicht werden an einen OpenVPN-Server hinter der Firewall oder?
Nach Verbindung sehen die Routen dazu wie folgt aus:
pv4 10.20.20.0/24 10.20.21.1 UGS 0 1500 ovpnc2 Openvpn
ipv4 10.20.21.0/24 10.20.21.1 UGS 12 1500 ovpnc2 Openvpn
was mich ein bisschen wundert, ist dass ich das GW nicht pingen kann
-
Du brauchst die korrekten lokalen und entfernten Netze in den openVPN configs, die richtigen Regeln auf dem lokalen LAN (damit du in das entfernte LAN darfst) und im entfernten openVPN Tab die Regeln, damit der eingehende Verkehr durchgelassen wird.
Nur beim SERVER brauchst du auf WAN eine Regel für den Port aus deiner Server-Konfiguration.
Ohne Screenshots ist das aber wie rühren mit langen Stangen im Nebel.
-
Danke für den Hinweis :)
Achso ja ich konfigurier nur den Client, der Server läuft auf der Gegenseite bei einem Kunden auf den ich keinen direkten Zugriff habe
Im LAN ist alles nach IN freigegeben. Kann davon aber gerne mal einen screenshot machen.
Ist es in der Config nicht möglich sich die Routen, IP etc pushen zu lassen? In der "orginal" config waren die nicht vermerkt, deswegen frag ich.
Von was genau brauchst du screenshots, nur von der client config?
-
- bitte einen netzwerkplan
- ist die Sense default Gateway?
Gesendet von iPad mit Tapatalk Pro
-
Netzwerkplan (hab leider kein Visio, werd das versuchen mal so zu beschreiben):
OpenSense als Firewall mit public WAN-Adresse und OpenVPN-Host - Verbindung zu Kunden-Netzwerk (Routen und Tunnel-Netzwerk etc. werden vom Kunden remote gepushed)
"Hinter" der Firewall befindet sich momentan noch nichst, da die Sense die alte ablösen soll und im Zuge dessen einzelne OpenVPN-Clients als Site2Site migriert werden sollen
Die Sense ist auch für das Lan noch kein Default GW - die Pings etc habe ich immer direkt von der GUI ausgeführt
-
Schau mal:
https://forum.opnsense.org/index.php?topic=7216.0
Geht auch ohne Visio :)
-
oh Danke :)
<code>
|
.-----+------.
| Kundennetz
'-----+------'
IP/GW ? (wird gepushed)
|
.-----+------.
| VPN-Server+ Kunden-VPN-Server
'-----+------'
|
WAN / Internet
:
: Cable
:
|
WAN | Public WAN-Adress vom Provider
|
.-----+------.
| OPNsense +
'-----+------' OpenVPN-Client und Server (Server für VPN-User im Homeoffice)
|
LAN | 10.7.15.3/24
|
|
.-----+------.
| alte FW+
'-----+------' genutzt als Gateway in bestehendes LAN
</code>
-
Hast Du dem ovpnc2 ein Interface zugewiesen? Wenn ja, schmeiß das mal weg.
-
Hab das ganze gerade noch mal neu angelegt
ovpnc2 ist jetzt keinem IF mehr zugewiesen
Verbindungsaufbau funktioniert weiterhin, Connection wird als "Up" bezeichnet - erreichen kann ich trotzdem keine Hosts
Routing sieht folgend aus (kam automatisch, habe selbst nichts konfiguriert):
ipv4 10.20.20.0/24 10.20.21.1 UGS 0 1500 ovpnc2
ipv4 10.20.21.0/24 10.20.21.1 UGS 9 1500 ovpnc2
ipv4 10.20.21.1 link#9 UH 24 1500 ovpnc2
im FW-Rule/OpenVPN ist weiterhin alles auf pass
Für ein Tracert zb 10.20.21.5 nimmt er auch ganz brav die 10.20.21.1
-
Dann leg jetzt bitte ein Interface für den ovpnc2 an.
Wer belegt denn da die Nummer 1?
Bitte nenne es NICHT OpenVPN. Irgendwas anderes bitte.
Das Interface aktivieren und IPv4 und IPv6 auf none. Speichern.
OpenVPN Verbindung neu aufbauen.
Bitte dann die Daten von:
Interfaces: Overview
mit aufgeklapptem OpenVPN Client-Interface.
-
Hab ich gemacht :) hab auch noch den haken bei " Dynamic gateway policy" gesetzt
Status up
MAC address 00:00:00:00:00:00 - XEROX CORPORATION
MTU 1500
IPv4 address 10.20.21.34 / 24
Gateway IPv4 10.20.21.1
IPv6 Link Local fe80::3eec:efff:fe4a:9d54 / 64
In/out packets 1165 / 219(218 KB / 11 KB )
In/out packets (pass) 1165 / 219(218 KB / 11 KB )
In/out packets (block) 0 / 0(0 bytes / 0 bytes )
In/out errors 0/0
Collisions 0
die 1 ist von einem andern, schon konfiguriertem, aber momentan deaktivierten ovpn client in benutzung
ein tracert auf eine IP in dem Netz ergibt dass er das default GW für das Netz nicht nimmt als ersten Hop (obwohl im Routing so vermerkt)
-
Zeig doch mal deine Client config (Sicherheitsrelevantes bitte streichen)
Da läuft doch laut Interface Traffic drüber
-
Der Traffic über das Inteface scheint nur der Handshake und dann Heartbeat zu sein
im Anhang die Screenshots der config
-
...also in meiner Welt braucht ein openVPN ein Tunnelnetzwerk und Remote networks in der Konfig.
-
das hatte mich auch gewundert als ich die config bekommen hatte (das auf der sene ist ja nur ein nachbau einer .ovpn Datei)
Trotzdem bekomm ich eine IP zugewiesen, Netzwerk-Config und der Verbindungsaufbau klappt - nur die Kommunikation zwischen den Clients eben nicht
hab spaßeshalber einen andern Kunden mit ähnlichen Einstellungen eingerichtet, dort scheint es zu funktionieren - könnte also auch sein dass der Kunde mich ausversehen FW-mäßig aussperrt
-
Warum ist denn der Haken bei disabled? Ist das nur für den Screenshot gewesen?
-
Exakt - hatte den gesetzt damit, wenn ich was an der konfig änder und dann vor dem Start noch was anderes anpassen will, die Verbindung sich nicht direkt aufbaut sondern ich steuern kann wann es angeht