OPNsense Forum

International Forums => German - Deutsch => Topic started by: kosta on February 16, 2021, 03:37:59 pm

Title: OpenVPN und PIA selektives Routing
Post by: kosta on February 16, 2021, 03:37:59 pm
Hallo,

kann es sein, dass die Sache nicht funktioniert?
Ich habe etliche Tutorials durch, auch hier ein Thread aus Oktober 2020...
OpenVPN zu PIA wird aufgebaut, und im "Default-Modus", also ohne dass die Optionen "Don't pull routes" oder "Don't add/remove routes" angehakt sind, ich eine VPN-Adresse bekomme - aber, nur für das ganze Netz.
Ich habe dann gemäß Tutorials NAT und Firewall Rules erstellt, die dazu führen sollten, dass ein Client nur über VPN geroutet wird. Daher folgende zusätzliche Einstellungen vorgenommen:
Gateways, single: Priority geprüft, sichergestellt dass WAN_DHCP 250 ist und PIA 252.
PIA_VPN Interface erstellt, nur "Enable Interface".
Im NAT: Interface PIA_VPN; Source LAN net; Translation/target PIA_VPN address
Aliases: Hosts_PIA_VPN ip_des_hosts
Firewall rules: Source: Hosts_PIA_VPN; Gateway: PIA_VPN_VPNV4
IP Adresse des PIA Gateways scheint korrekt zu sein: 10.41.112.1 (und nicht irgendeine Nummer, wie ich auf GitHub als Bug aus Oktober genommen habe).
Option "Don't pull routes" angehakt.

So sollte es ja funken. Tut's aber nicht. Die IP des Clients bleibt gleich.

Bevor wir tiefer in die Sache gehen, sollte das überhaupt richtig funktionieren?

Und eine Sache die mich irritiert, auch gesehen bei Wireguard:
Wenn man eine Verbindung erstellt, scheint das System ein Interface zu konfigurieren. Bei OpenVPN heißt eben OpenVPN. Aber, das virtuelle Interface erscheint in Assignments trotzdem (ovpnc1).
Sollte ich den mal aktivieren, und ihm Namen PIA_VPN geben, erscheint mir bei der Erstellung es NAT-Rules in der Liste der Interfaces "OpenVPN" und "PIA_VPN". kA welches da richtig ist? Warum sind ja zwei da??

EDIT:
Verzweifle.
Auch wenn ich die Sache umdrehe, also ohne die Haken "Don't pull routes" gesetzt, wo dann alles durch die VPN Verbindung geht, wenn ich dann ein Rule erstelle der sagt "dieser Rechner, Gateway WAN_DHCP", nope. Trotzdem geht's durch VPN Gateway (PIA IP).
Wie kann ich das bitte troubleshooten, warum nimmt er nicht das top rule?

EDIT2:
Habe rausgefunden dass ich mit dem Einsatz von "Don't pull routes" und NAT+Rules wie mehrfach in Guides empfohlen, doch pingen kann, aber keine Webseite. Also kein DNS... nun, wie bekomme ich DNS hin?

Das bekomme ich auch im Log:
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'dhcp-option' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'route-ipv6' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   Options error: option 'redirect-gateway' cannot be used in this context ([PUSH-OPTIONS])   
2021-02-16T21:04:16   openvpn[76240]   PUSH: Received control message: 'PUSH_REPLY,comp-lzo no,redirect-gateway def1,route-ipv6 2000::/3,dhcp-option DNS 10.0.0.243,route-gateway 10.32.112.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.32.112.224 255.255.255.0,peer-id 2,cipher AES-128-GCM'
Title: Re: OpenVPN und PIA selektives Routing
Post by: Gauss23 on February 17, 2021, 09:33:52 am
Wenn Du Policy Routing nutzen willst, brauchst Du natürlich ein zugewiesenes Interfaces Interfaces:Assignments

Das Interface dann aktivieren (IPv4 und IPv6 auf none lassen).

Nun in den Regeln für den Client, der über diese Route soll einfach das Gateway des Interfaces angeben.

Und Du brauchst dann natürlich auch eine Outbound NAT Regel für das Interface.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 09:48:02 am
Klar, ein zugewiesenes Interface habe ich ja gehabt und via dem Interface sowohl NAT gemacht wie auch die Rules in der Firewall.
Ich hab jetzt keine Screenshots, aber grundlegend war so:
Interface VPN_PIA, keine besonderen Einstellungen.
In NAT, für Inteface: VPN_PIA, Source: LAN net, NAT Address: Interface address
Firewall: Top Rule, IPv4*, Source: LAN net, Gateway: VPN_PIA
Probiert habe ich mit den beiden "Optionen" im OpenVPN-Profil, sowohl aus, beide und einzelne.
Ich glaube bei einem funkte die VPN, konnte zB. 1.1.1.1 pingen, aber kein DNS. Bei dem anderen ging nix. Versucht habe ich im Unbound div. Einstellung, inkl. Outgoing Intf PIA_VPN. Auch Forwarding Mode mit sowohl 1.1.1.1 im DNS (General...), auch PIA DNS servers.
Auch Firewall neugestartet, auch mehrfach States Reset...
Ich habe einfach keine Kombi gefunden, die funktioniert, und auf den Sch... fast 2 ganze Tage verschiss...
Title: Re: OpenVPN und PIA selektives Routing
Post by: Gauss23 on February 17, 2021, 09:52:56 am
PIA liest man ja hier öfter.

Ich habe das nie genutzt aber prinzipiell sollte das ja zum Laufen zu bringen sein.

Beim Outbound NAT ist interface_address oftmals komisch. Besser VPN_PIA interface_address aus dem Dropdown suchen.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 09:53:50 am
PIA liest man ja hier öfter.

Ich habe das nie genutzt aber prinzipiell sollte das ja zum Laufen zu bringen sein.

Beim Outbound NAT ist interface_address oftmals komisch. Besser VPN_PIA interface_address aus dem Dropdown suchen.
Das habe ich auch probiert. War absolut kein Unterschied.
Ich hab übrigens keinen Post gefunden wo auf das funktionierende PIA Setup gemacht wird, vor allem mit "nix durch außer was ich will".
Ich habe es auch verkehrt probiert, also alles durch, aber das was ich will nicht (Ausnahme). Ging auch nicht.
Und alle Tutorials sind veraltet. Nichts mit 21.1. Ob das auch damit was zu tun hat.
Title: Re: OpenVPN und PIA selektives Routing
Post by: micneu on February 17, 2021, 11:18:45 am
ich kenne zwar diese PIA nicht (keine ahnung was das ist).
ich habe einige OpenVPN Provider angebunden (vermute das es darum geht) das mit dem DNS ist ein typischer anfänger fehler, entweder suchst du mal im forum (da hatte ich es auch schon mehrfach erklärt) und du schaust di mal deinen unbound dns an.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 11:54:20 am
Ja eben, ich vermute eh schon die ganze Zeit dass es eine Fehlkonfiguration im DNS ist.
Hast du da einen Link für mich, wo du das erklärst? Denn ich habe viele Topics mal hinter mir, aber wäre sehr geholfen wenn du mal an eine bestimmst anpeilst?
Title: Re: OpenVPN und PIA selektives Routing
Post by: Gauss23 on February 17, 2021, 11:58:52 am
Die Rule ist natürlich falsch:
Firewall: Top Rule, IPv4*, Source: LAN net, Gateway: VPN_PIA

Das inkludiert ja die Destination OPNsense und somit kannst Du die OPNsense nicht mehr per DNS ansprechen. Also entweder bei Destination die OPNsense mit rein und ein Destination invert oder die Clients einfach andere DNS Server nutzen lassen. Kannst Du ja auch per DHCP an diese Clients direkt andere DNS Server ausliefern lassen.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:14:30 pm
Macht Sinn. Werde ich probieren.

Ich weiß zwar noch nichts über DNA Leak, aber ist es nicht die Sache dass wenn man andere Server als die vom Tunnel verwendet, zu DNS Leaks kommt und ist etwas was man vermeiden soll (ich red jetzt von etwas wovon ich keine Ahnung habe, daher einfach die Frage)?
Title: Re: OpenVPN und PIA selektives Routing
Post by: Gauss23 on February 17, 2021, 12:22:05 pm
Daher schicke ich die DNS Anfragen von diesen Clients auch über den VPN Tunnel raus. So ist sichergestellt, dass nur die VPN IP nach außen hin verwendet wird und es keinen Leak gibt. Welchen DNS Server Du dem Client dann gibst, ist fast egal. Es sollte im Idealfall eben nicht mehr die OPNsense sein.

Alternativ/zusätzlich kannst Du den Unbound von der OPNsense auch über die VPN Strecke alle Anfragen abwickeln lassen. In Kombination mit DoT keine schlechte Kombi.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:24:03 pm
Es fällt mir grad was ein:
Ich kann den Clients nicht öffentliche IPs geben, sie müssen über die Firewall gehen, denn ich habe ein S2S Tunnel mit der Firma, und das funkt nicht wenn die DNS öffentlich sind.
Title: Re: OpenVPN und PIA selektives Routing
Post by: Gauss23 on February 17, 2021, 12:32:20 pm
Es fällt mir grad was ein:
Ich kann den Clients nicht öffentliche IPs geben, sie müssen über die Firewall gehen, denn ich habe ein S2S Tunnel mit der Firma, und das funkt nicht wenn die DNS öffentlich sind.

Also bei mir gehen nur spezielle Geräte über die VPN Strecke raus. Meistens sowas wie Gastnetz.
Die Clients, die in andere Netze müssen und die richtige Namensauflösung machen sollen, werden nicht umgebogen.

Aber selbst das ließe sich ja per Unbound umsetzen. Die Firmendomain eben als Override anlegen und den DNS Server aus der Firma eintragen.
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:45:18 pm
Mmm, ja, stimmt. Eigentlich teste ich es die ganze Zeit mit meinem Rechner, aber letztendlich werden sowieso andere Clients über VPN-Tunnel geführt, damit bleibt mein Client davon "unberührt".

Das im Unbound habe ich eh bereits konfiguriert.

Das sind die aktuellen Einstellungen:

DNS
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:45:50 pm
Rules
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:46:39 pm
NAT
Title: Re: OpenVPN und PIA selektives Routing
Post by: kosta on February 17, 2021, 12:46:59 pm
VPN Client

Sorry, wollte nicht in einem Posten, obwohl die Größe der Attachments unter 256KB ist.