OPNsense Forum

International Forums => German - Deutsch => Topic started by: BEHIND-IT on April 21, 2018, 07:23:49 pm

Title: [Gelöst] Routingproblem OpenVPN
Post by: BEHIND-IT on April 21, 2018, 07:23:49 pm

Hi,

wir sind neu in diesem Forum und haben großen Gefallen an Opnsense gefunden, leider kommen wir an diesem Punkt nicht weiter.

Wir setzen zurzeit zwei Opnsense 18.1.2 basierende Server ein. Wir nutzen OpenVPN auf einer CARP WAN IP, der Config Sync (High Availability) ist an für:

Users and Groups    
Auth Servers    
Certificates    
Firewall Rules
NAT    
DHCPD    
Static Routes    
Virtual IPs
OpenVPN

Wir möchten jetzt gerne über die VPN per SSH auf den zweiten Opnsense Knoten zugreifen, Opnsense #1 und andere Server in diesem lokalen Netz bekommen wir sauber in den Zugriff (Datenverkehr in beide Richtungen). Dieser (Opnsense #2) hat aber ebenfalls das Openvpns1 Interface und wir gehen davon aus das er dann den zurückfließenden Datenverkehr nicht über den ersten Opnsense Knoten zurück routet, sondern es selber versucht.

OpenVPN Client --> WAN --> Opnsense #1 --> Opensense #2 --> WAN

Ich hoffe dies ist verständlich?

Hat jemand einen Tipp, wie wir es hinbekommen, das der zweite angesprochene Opnsense Knoten den SSH Verkehr über den #1 zurück routet?

Vielen lieben Dank im Voraus!

Beste Grüße und eine schöne Zeit

Oliver

Title: Re: Routingproblem OpenVPN
Post by: JeGr on April 24, 2018, 11:21:50 am

> zurückfließenden Datenverkehr nicht über den ersten Opnsense Knoten zurück routet, sondern es selber versucht.

Was auch vollkommen logisch und nach der Routingtabelle nachvollziehbar ist, da beide Nodes den VPN Service konfiguriert haben und damit das Transfernetz von OVPN entsprechend auf ihr lokales Interface routen. Das ist normal.

> Hat jemand einen Tipp, wie wir es hinbekommen, das der zweite angesprochene Opnsense Knoten den SSH Verkehr über den #1 zurück routet?

Nicht ohne die Konfiguration total zu verbiegen, aber es ist auch überhaupt nicht notwendig. Jeder halbwegs gute SSH Client kann heutzutage SSH Pass Through/Agent Forwarding etc. und kann somit über einen Host weiterspringen. Einfach per VPN auf FWL01 einwählen und auf FWL2 weiterspringen - entweder per SYNC Interface oder via LAN oder sonstwas. Da die Verbindung dann von FWL01 kommt ist es kein Problem.

Andere Möglichkeit (ein Test wärs wert) wäre es ein Alias mit den beiden LAN IPs der Sensen zu erstellen und eine NAT Regel zu erstellen für Traffic
Source: OVPN CLient IP Range
Dest: Alias mit FWL1/2
Interface LAN

so dass der Traffic via LAN Interface der aktiven Fwl geNATtet wird. SSH Hopping wäre aber wahrscheinlich am Einfachsten zumal recht leicht zu konfigurieren.

Grüße

Title: Re: Routingproblem OpenVPN
Post by: BEHIND-IT on May 19, 2018, 02:14:06 pm

Vielen Dank JeGr, werde das mit dem NAT ausprobieren.

Beste Grüße
Oliver