Hallo zusammen,
seit einem Tag bereits quäle ich mich mit dem Problem, dass sobald ich im OpenVPN Access Server die Access Control auf "Routing" anstelle von "NAT" stelle, die meine OPNsense quer stellt. Als kleines Praxisexperiment ist es mein Ziel ein transparentes Site-to-Site VPN zwischen zwei Standorten herzustellen.
QuoteHauptstandort: 192.168.200.0/24
Remote Standort: 192.168.178.0/24
Ich: 192.168.178.35
VPN-Server: 192.168.200.118
OPNsense: 192.168.200.104
Ziel Webserver: 192.168.200.75
Wenn ich von meinem Rechner am Remote-Standort (..178.35) die am Haupt-Standort gehostete Website auf (..200.75) aufrufen möchte sehe ich, dass mein VPN-Server, ohne dabei die OPNsense zu kontaktieren, meine Anfrage an den Zielhost (..200.75) weiterleitet. Soweit funktioniert die hin-Verbindung.
Für die Rückverbindung bemerkt der Zielhost nun, dass die Anfrage aus einem für ihn unbekannten Subnetz (genauer gesagt von ..178.35) stammt und kontaktiert die OPNsense. Diese besitzt eine konfigurierte Route welche besagt, dass 192.168.178.0/24 über das gateway 192.168.200.118 (VPN-Server) erreichbar ist.
Im Live-Protokoll sehe ich jedoch, dass sämtliche Verbindungen mit Quelle: Web-Server (..200.75) und Ziel: Ich (..178.35) am Remotestandort durch die "Default deny rule"-Regel blockiert wird.
Zwei Regeln (eine bei "fließend" und eine weitere bei "lan") welche * aus Richtung
* in Richtung 192.168.178.0/24 erlaubt (erzwungenes Gateway = der VPN-Server ..200.118) ändern daran nichts. Verschiedene Reihenfolgen (am Anfang, am Ende) habe ich bereits versucht.
Ich stehe auf dem Schlauch und komme nicht weiter. Mit "NAT" funktioniert es einwandfrei, da jeder Server im Hauptstandort nur die IP-Adresse vom lokalen VPN-Server sieht. Hier ist die OPNsense komplett außenvor und alles funktioniert wie es soll. Insofern Routing hier überhaupt möglich/üblich ist möchte ich es jedoch damit betreiben.
Ich freue mich über jedes Feedback. Vielen Dank vorab.
[Nachtrag]
Eine temporäre Lösung besteht darin, dass ich für Verbindungen ins gleiche Subnetz wie der VPN-Server NAT vewendet. Verbindungen in (noch nicht erwähnte) andere Subnets am Haupt-Standort via Routing über die OPNsense. Funktioniert mit entsprechenden Regeln einwandfrei.
Gibt es überhaupt eine Möglichkeit die von mir gewünschte Transparenz innerhalb des selben Subnets zu erreichen oder ist meine Idee schlicht Käse? Im Prinzip soll jedes Netzwerkgerät zu jederzeit die "ware" IP-Adresse sehen welche versucht eine Verbindung herzustellen.
Kann als gelöst markiert werden. Ich habe festgestellt, dass die von mir genutzte Access Server Lösung von OpenVPN in der Version 1.8.7 offenbar einen Bug hat. Sobald ich in der Web-Konfig eine Option verändere, Speichere, die Option zurückstelle und erneut speichere funktioniert das Routing einwandfrei. Genauer gesagt wird durch diese Aktion die fehlende iptable "-A AS0_IN -s 192.168.178.0/24 -j AS0_U_VPNZIEL_IN" gesetzt.
Nachdem ich den AS auf den neuesten Stand gebracht hatte, konnte ich diesen Fehler nicht mehr beobachten und iptables werden nun korrekt gesetzt. Auch die OPNsense hat bei vorh. Erlaub-Regeln keine Probleme mehr den Traffic durchzulassen.