OPNsense Forum

International Forums => German - Deutsch => Topic started by: nilsf on December 23, 2022, 02:14:46 pm

Title: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 23, 2022, 02:14:46 pm

Hallo zusammen!
ich habe mit zwei OPNsense FWs per IPsec zwei Standorte miteinender vernetzt und kann mich per OpenVPN in Standort A einwählen.
Auf den zweiten Standort B bekomme ich allerdings keinen Zugriff, PING etc. funktioniert nur auf Standort A.
Muss ich hier vielleicht noch irgendwelche Rechte/Routen eintragen?
Vielen Dank im Voraus und ein schönes Weihnachtsfest!

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: micneu on December 23, 2022, 02:29:13 pm

im openvpn gibst du doch an welche netze über die vpn erreichbar sind (IPv4 Local Network (einfach den info butten drücken und text lesen)

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 23, 2022, 03:23:33 pm

Hallo micneu!
Das Netz der entfernten Site B hatte ich schon im OpenVPN-Server eingetragen, da kann es nicht dran liegen.
Im Firewall-Log konnte ich sehen, dass ein PING einfach auf das Standardgateway rausgeroutet wird, das wäre hier die davor hängende FritzBox!?

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: micneu on December 24, 2022, 04:26:33 am

- bitte mal einen grafischen netzwerkplan, ich hatte es so verstanden das dein standard gateway die sense ist?

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 29, 2022, 10:26:50 am

So, ich habe das ganze jetzt noch einmal bei mir nachgestellt:
Internetverbindung (Standardgateway) und DynDNS macht eine Fritzbox (192.168.113.254).
OPNsense A (192.168.113.1) und OPNsense B (192.168.113.2) hängen mit dem WAN-Interface an der Fritzbox.
OPNsense A hat das Netzwerk 192.168.13.0\24
OPNsense B hat das Netzwerk 192.168.14.0\24
IPsec zwischen A und B eingerichtet, Firewall für IPv4 komplett aufgemacht
OpenVPN auf OPNsense A mit Transfernetz 10.10.10.0\24 und Zugriff auf alle 3 Netzwerke eingerichtet.
Wenn ich mich von außen per OpenVPN einwähle habe ich Zugriff auf die Netzwerke 192.168.13.0 und 192.168.113.0, auf 192.168.14.0 komme ich nicht!?
Da stimmt doch irgendetwas mit dem Routing nicht, oder?

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: micneu on December 29, 2022, 12:21:58 pm

- ich bitte einen GRAFISCHEN NETTZWERKPLAN von allen standort n die damit zu tun haben
- bitte Screenshots der IPSEC Konfiguration
- Screenshot der openvpn konfiguration


Gesendet von iPhone mit Tapatalk Pro

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 29, 2022, 08:08:23 pm

Und hier die IPsec-Screenshots der OPNsense A. OPNsense B sieht natürlich entsprechend aus.

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 29, 2022, 08:10:03 pm

Und hier die OpenVPN-Konfiguration der OPNsense A.

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: chemlud on December 29, 2022, 08:56:41 pm

Firewallregeln auf oepnVPN-Tab von SiteB? Ansonsten package capture an verschiendenen Interfaces von A und B sowie einen Blick in die Routing-Tabellen auf beiden Seiten...

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: Patrick M. Hausen on December 29, 2022, 09:27:30 pm

10.10.10.0/24 muss natürlich Teil der Phase 2 SAs sein. Ist das der Fall?

Title: Re: OpenVPN Client Zugriff aus IPsec site-to-site
Post by: nilsf on December 30, 2022, 10:34:37 am

Hallo pmhausen,
das war der richtige Hinweis  :), ich habe ein zusätzliche Phase 2 hinzugefügt und jetzt klappt es.
Vielen, vielen Dank und eine guten Rutsch ins neue Jahr!!!