Hallo Zusammen,
ich versuche mittlerweile schon seit mehreren Tagen eine OpenVPN S2S Verbindung zwischen zwei OPNSense Firewalls herzustellen.
Ich habe folgendes Szenario:
- OPNSense 20.7 als Client auf einer ausrangierten Sophos Firewall Appliance
- OPNSense 20.7 als Server auf einer VM in einem Rechenzentrum mit public IP
Ich möchte von allen Geräten, die an der Sophos Box angeschlossen sind auf alle Geräte im LAN hinter der VM verbinden können.
Im Anhang habe ich noch einen Netzplan angehängt.
Client Config:
Quote
dev ovpnc1
verb 11
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-client
cipher AES-256-CBC
auth SHA3-512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 192.168.10.55
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote ##.##.##.## 1194
ifconfig 10.0.8.2 10.0.8.1
auth-user-pass /var/etc/openvpn/client1.up
route 192.168.17.0 255.255.255.0
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
comp-lzo adaptive
Server Config:
Quote
dev ovpns1
verb 11
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local #.#.#.#
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php serv
er1"
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
ifconfig 10.0.8.1 10.0.8.2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'OpenV
PNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.17.0 255.255.255.0"
route 192.168.16.0 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096.sample
comp-lzo yes
topology subnet
Hier noch die Routing-Tabellen:
Server:
Quote
Internet:
Destination Gateway Flags Netif Expire
default #.#.#.# UGS vtnet0
10.0.8.0/24 10.0.8.2 UGS ovpns1
10.0.8.1 link#7 UHS lo0
10.0.8.2 link#7 UH ovpns1
#.#.#.#/29 link#1 U vtnet0
OPNsense link#1 UHS lo0
localhost link#4 UH lo0
192.168.16.0/24 10.0.8.2 UGS ovpns1
192.168.17.0/24 link#2 U vtnet1
OPNsense link#2 UHS lo0
Client:
Quote
Internet:
Destination Gateway Flags Netif Expire
default 192.168.10.1 UGS em2
dns.google 00:1a:8c:13:56:f5 UHS em2
10.0.8.0/24 10.0.8.1 UGS ovpnc1
10.0.8.1 link#9 UH ovpnc1
10.0.8.2 link#9 UHS lo0
localhost link#6 UH lo0
192.168.10.0/24 link#3 U em2
192.168.10.10 00:1a:8c:13:56:f5 UHS em2
OPNsense link#3 UHS lo0
192.168.16.0/24 link#4 U em3
OPNsense link#4 UHS lo0
192.168.17.0/24 10.0.8.1 UGS ovpnc1
-Die VM mit der Adresse 192.168.17.23 lässt sich von der Client-Firewall anpingen
-Server-FW lässt sich von Client-FW anpingen
-Client-Firewall lässt sich von Server-FW nicht anpingen
Firewall Regeln wurden auf beiden Seiten Any-Any für jeweils LAN und OpenVPN Interface angelegt.
Kann mir evtl. jemand bei dem Problem helfen?
Viele Grüße,
Clemens
Du brauchst auf der Serverseite einen client specific override, um die remote Route auch einem Client zugeordnet wird.