OPNsense Forum
International Forums => German - Deutsch => Topic started by: Matzke on September 15, 2016, 04:03:23 pm
-
Hallo,
ich habe eine kleine Frage. Anbei kurz meine Konfiguration:
Ich habe ein internes Netzwerk, ein WAN sowie ein OpenVPN-Roadwarrior-Dialin Netzwerk
Zwischen diesen funktioniert alles wunderbar.
Jetzt habe ich noch ein OpenVPN-Site-to-Site(S2S) Link eingerichtet. Ich komme von meinem internen LAN durch den Tunnel auf das Netzwerk der S2S Gegenseite.
Leider komme ich aber von meinem Roadwarrior-VPN lediglich auf mein internes Netzwerk sowie mein WAN, die Subnetze, die sich hinter dem S2S befinden sind jedoch leider nicht erreichbar (also quasi Routing von Roadwarrior Dial-In durch das S2S-VPN).
Was komisch ist - auf der anderen Seite der S2S ist ein identisch eingerichtetes Szenario auf der pfSense vorhanden. Wähle ich mich dort als Roadwarrior ein, komme ich in alle Subnetze und auch durch die Tunnel - da ich beides eigentlich gleich konfiguriert habe, weiß ich nicht mehr, wo ich bei OPNSense suchen soll. Eigentlich müsste es gehen oder ich sehe den Wald vor lauter Bäumen nicht.
Hat jemand eine Idee oder einen Vorschlag?
Vielen Dank für die Hilfe.
-
Ähnliches Problem, nur mit VLANs...
https://forum.opnsense.org/index.php?topic=3665.0
-
Hallo,
hat keiner eine Idee, woran es liegen könnte.
Im Log kann ich noch folgendes finden:
GET INST BY VIRT: 192.168.11.XX [failed]
192.168.11.XX ist dabei die Zieladresse, welche durch das Site-2-Site vorhanden sein sollte.
Alle PCs am LAN-Interface kommen auch auf diese Adresse, lediglich meine OpenVPN-Roadwarrior kommen nicht dorthin.
Es scheint gerade so, dass Openvpn intern nichts von "dem anderen" Tunnel weiß.
-
Hier gibt's dazu etwas (wenig)... ;-)
https://openvpn.net/archive/openvpn-users/2005-03/msg00083.html
Ich würde mal überall schauen, ob alle nötigen Routes vorhanden sind. Bekommen denn alle S2S Router alle (!) nötigen Netzwerke reingedrückt in der Config? Ggf. nochmal push route probieren.
Ohne die detailierten Configs ist das aber alles fortgeschrittenes rühren im Nebel :-D
-
Hallo,
den Link habe ich auch schon gefunden - leider hilft er nicht wirklich weiter.
Die Routen sind meines Erachtens vollkommen richtig gesetzt, da:
- ich von meinem LAN-Interface in beiden Open-VPN-Tunnelenden problemlos komme (also müssten alle Routen stimmen)
- ich vom Roadwarrior in mein LAN-Netz komme
- ich von der OpenVPN-S2S-Seite auch auf mein LAN-Netz komme
Lediglich Roadwarrior zu S2S funktioniert nicht, gerade so, als ob OpenVPN intern die beiden Tunnel nicht kennt. Es scheint ja auch OpenVPN die Pakete abzulehnen, bevor sie weiter per Firewall/Routing verarbeitet werden.
Hat noch jemand eine Idee - es scheint ja ein systematisches Problem / Bug von OpnSense zu sein. Hilft es, die Frage im englischen Teil zu stellen?
Ich weiß wirklich nicht mehr weiter und schwanke schon, wieder zurück zu pfSense gehen zu müssen (wollte eigentlich alle Systeme Stück für Stück auf OpnSense migrieren).
Vielen Dank
-
..."meinen" ist eine Sache, eine routing table mit allen Routen etwas ganz anderes. ;-)
Photos or it didn't happen :-D
-
Hallo,
anbei die Routen, obwohl ich mir sicher bin, dass sie stimmen müssen. Wenn die Routen nicht stimmen, dürfte ich ja sonst von keinem anderen LAN-PC in andere Subnetze und zurück kommen - d.h. indirekter Beweis.
Aber der Vollständigkeit halber, als Anhang das PNG.
Subnetz 50,11,49 ist nicht von 47 erreichbar jedoch erreichbar von 52
-
Kriegt der RW auch _alle_ Netze gepusht?
-
Leider bekommt er auch alle betroffenen Netze gepusht - es funktioniert auch, da OpenVPN ja die Fehlermeldung abwirft und somit auch das betreffende Paket sieht.
-
Hallo,
das Problem ist gelöst - ich wäre fast noch verrückt geworden.
Es ist ziemlich unlogisch (naja, es ist aber zumindest dokumentiert), aber ich muss auf der Gegenseite des S2S (also auf der pfSense) ein Client-Override einstellen. In diesem muss ich alle Subnetze (hier im Beispiel 52,53,47) als iroute mitgeben, so dass meine lokale opnsense ihre eigenen Routen intern bekannt gemacht werden.
Was ich dabei übersehen hatte - einen solchen Override hatte ich vor Jahren schon angelegt, dort aber leider nur das 52er Subnetz eingetragen (deshalb haben ja 30% funktioniert) :-)
Also an alle, die dieses Problem auch haben könnten:
An der Gegenseite (also Serverseite, nicht Clientseite) die passenden Iroutes per Client-Override mitgeben.
Normale "route" und "push route" beidseitig richtig definiert genügen nicht.