Hallo Forum,
ich habe im Büro eine OPNsense an einem DSL-Anschluss einem mit Vigor 165 laufen. Der Anschluss hat eine feste externe IP und die OPNsense wählt sich per PPPoE selbst ein.
Ich möchte nun zu Hause eine OPNsense in Betrieb nehmen, um die beiden Netze zu verbinden. Zu Hause habe ich einen Glasfaseranschluß mit Glasfasermodem, an welchem die OPNsense ebenfalls eine direkte Einwahl macht. Zu Hause habe ich ebenfalls eine feste externe IP. Die OPNsense wählt sich per PPPoE ein.
Beide OPNsense wählen sich ein und ich kann jeweils auf beiden Seiten im internen Netz surfen. Die öffentlichen festen IPs werden in der OPNsense auch angezeigt.
Nun gibt es ja viele Anleitungen im Internet für die Verbindung untereinander.
Ich habe im Büro das Netz 10.0.10.0/24 und zu Hause das Netz 10.10.10.0/24. Als Tunnelnetz habe ich das 10.0.100.0/24 ausgesucht. Die Sense im Büro soll der Server sein und die Sense zu Hause der Client.
Ich habe also im Büro den OpenVPN-Server eingerichtet und zu Hause einen OpenVPN-Client. Beides im Legacy-Modus. auf der Server-Sense zusätzlich 2 FW-Regeln. Die eine Regel, dass die Anfragen am WAN-Interface auf Port 1195 durchgelassen werden und die zweite Regel, dass auf dem OpenVPN-Interface die Pakete ins Firmen-LAN dürfen.
Zu Hause nur die eine Regel, dass die Pakete auf dem OpenVPN-Interface in das Zuhause-LAN dürfen.
NAT steht auf beiden Seiten auf "Automatic outbound NAT".
Nun die Problematik: Der Tunnel wird aufgebaut. Das kann ich unter "Connection Status" bei beiden Seiten sehen. Auf beiden Seiten steht "connected". Aber mehr funktioniert nicht. Pings aus dem Heimnetz auf einen Server im Büro geben 100% loss. Eine RDP-Anfrage von zu Hause auf meinen Temrinalserver im Büro scheitert ebenfalls.
Was muss ich denn noch zusätzlich einstellen, dass ich in beide Richtungen auf die Ressourcen zugreifen kann?
Wie zuvor beschrieben, sind das de Einstellungen bei vielen Anleitungen, die man googelt. Eigentlich immer gleich. Leider funktioniert das so nicht. Als würde noch irgendwas fehlen.
Ich freue mich über zahlreiche Antworten :-). Vielen Dank im Voraus.
Viele Grüße
Christoph
Quote from: cklahn on November 09, 2024, 06:38:19 PM
Was muss ich denn noch zusätzlich einstellen, dass ich in beide Richtungen auf die Ressourcen zugreifen kann?
Client Specific Override?
Quote from: cklahn on November 09, 2024, 06:38:19 PM
Wie zuvor beschrieben, sind das de Einstellungen bei vielen Anleitungen, die man googelt. Eigentlich immer gleich. Leider funktioniert das so nicht. Als würde noch irgendwas fehlen.
OPNsense hat wohl selbst eine Anleitung für Site to site OpenVPN. Ich nehme an, in der ist das erwähnt.
Wenn dein Heimnetz der einzige Client ist, der sich mit diesem Server verbinden soll, kannst du alternativ auch dem Tunnelnetz eine /30er Maske geben, um es schnell zu lösen.
Hi,
ja, es gibt eine Anleitung, die den Beispielen im Internet gleich ist. Damit funktioniert es bei mir nicht. Client override ist nur für SSL/TLS. Wenn man Preshared Key macht, dann scheinbar nicht. Deciso schreibt:
"When using the site to site example with SSL/TLS instead of a shared key, make sure to configure "client specific overrides" as well to correctly bind the remote networks to the correct client."
Gruß
Christoph
Quote from: cklahn on November 09, 2024, 10:34:33 PM
Client override ist nur für SSL/TLS. Wenn man Preshared Key macht, dann scheinbar nicht.
Das ist richtig, aber das macht man heute auch nicht mehr. Soweit ich weiß, gilt das als veraltet und soll zukünftig nicht mehr angeboten werden.
Wie sieht es mit den Routen auf beiden Seiten aus?
Und damit nicht der dümmste Fehler passiert, versichere dich, dass der Zugriff nicht vom Zielgerät selbst geblockt wird.
Zum Testen des Routings am besten auf der einen OPNsense die LAN IP der fernen OPNsense pingen. Und das auf beiden Seiten.