Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: cklahn on May 11, 2026, 08:51:05 PM

Title: OpenVPN Roadwarrior auf Site2Site per Wireguard
Post by: cklahn on May 11, 2026, 08:51:05 PM
Hallo,

ich habe zwei Standorte mittels Wireguard verbunden. Standort A hat 192.168.0.0/24, Standort B hat 172.16.10.0/24. An beiden Standorten befinden sich OPNsenses. Ich kann jeweils von beiden Standorten auf Netzwerkfreigaben des gegenüberliegenden Standortes zugreifen. So weit so gut.

Nun habe ich bei Standort A zusätzlich OpenVPN für Roadwarrior eingerichtet, damit man per Notebook auf die Netzlaufwerke von Standort A zugreifen kann. Funktioniert auch.

Nun möchte ich aber, dass ich bei bestehender OpenVPN-Verbindung zu Standort A von ausserhalb auch gleichzeitig auf die Freigaben von Standort B zugreifen, ohne dass ich für Standort B auch ein OpenVPN einrichten muss.

Pings von Extern auf Standort A klappen, auf Geräte in Standort B nicht.

Wie bzw. welche Regeln muss ich zusätzlich bauen?

Für mein Verständnis befindet sich der externe Client bei stehendem OpenVPN-Tunnel im entsprechenden Tunnelnetz. Ich habe hier die folgende Regel:

IP IPv4+6, Protocol Any, Source: OpenVPN_Server Net, Port *, Destination *, Port *, Gateway *, Schedule *

Damit sollte doch alles funktionieren, oder?

Gruß
Christoph
Title: Re: OpenVPN Roadwarrior auf Site2Site per Wireguard
Post by: Monviech (Cedrik) on May 11, 2026, 09:19:51 PM
Das Problem ist das Routing.

Auf Site B kennt kein Gerät das OpenVPN Netz, die Pakete werden nicht zurückgeroutet.

Löse es entweder durch Source NAT (Site A OpenVPN client IPs auf Site A LAN interface IP)...

oder durch anpassen des Wireguard Tunnels dass das OpenVPN Netz durchgeroutet wird. Alle Geräte auf Site B müssen zum OpenVPN Netz zurückrouten dürfen.

Beides nicht leicht (wenn man nicht weiß wie), am besten ein Schaubild zeichnen und mal händisch den Weg eines Paketes nachspielen, das hilft immer.

Im Routing Schaubild folgende Fragen für sich selbst beantworten:

- Wer kennt welches Netz?

- Wer ist Gateway für wen?

- Wo wird genattet?

- Wo endet der Tunnel?

- Welche Netze dürfen durch die Policy des Tunnels?

- Wie kommt das Antwortpaket zurück?
Title: Re: OpenVPN Roadwarrior auf Site2Site per Wireguard
Post by: cklahn on May 11, 2026, 11:52:24 PM
Hallo Cedrik,
ich habe beim OpenVPN-Server unter Allowed IPs auch das Netz des Standortes B eingetragen. Dann habe ich bei beiden Wireguard Peers jeweils das Tunnelnetz unter Allowed IPs eingetragen. Nun geht der Ping durch und ich kann auch die Webseite eines Gerätes auf Standort B öffnen.

Danke für die Hinweise ;-).
Text only | Text with Images