Messages

Hallo

Wenn Standort A und Standort B direkt über eine Glasfaserleitung (Dark Fiber) verbunden sind macht VPN zwischen diesen beiden ja ohnehin keinen sinn und wäre in dem Fall eine Verschwendung von CPU Ressourcen.

Wie ich aus deinem ersten Beitrag herauslese geht es auch gar nicht darum Standort A und B miteinander zu vernetzen. Sondern über den VPN Zugang mit einem VPN Client auf Geräte an Standort B zugreifen zu können.

Genau, es geht nicht darum die beiden Standorte zu vernetzen, sondern ich möchte über nur einen VPN-Zugang an Standort B auch Standort B erreichen.

Dies sollte sich doch einfach bewerkstelligen lassen. Die Frage ist jetzt, ist es dir möglich ohne VPN Verbindung von einem PC an Standort A einen PC an Standort B zu erreichen? Wenn ja geht es sich hier nur um die Konfiguration von OpenVPN, als Server.

Ich rate jetzt mal, und beantworte meine vorherige Frage mit Nein. Zuallererst muss die Firewall an den Interfaces der Glasfaserleitung eine komplett offene Firewallkonfig haben, da es sinnlos wäre hier zu Filtern.
Man könnte jetzt Standort B in die Routing Tabelle von Standort A und umgekehrt eintragen inkl. dem Netz welches in OpenVPN verwendet wird. Aber das kannst du auch automatisieren, indem du auf beiden OPNsense Routern das Quagga Plugin installierst und dann Rip konfigurierst, alle anderen Interfaces ausser dem welches an der Glasfaserverbindung hängt sind dann als Passive Interfaces einzustellen, im Quagga Plugin. Und bei "Route Redistribution" dann "Static Routes" und "Direct Connected". Zudem umgehst du mit Quagga auch Routing-Loops.

Wenn ich mich im Netzwerk des Standortes A befinde, kann ich problemlos ins Netz des Standortes B zugreifen und umgekehrt. Dort ist auch bereits alles freigeschaltet, es wird nichts gefiltert. Deswegen nehme ich an, dass irgendwo eine banale Einstellung falsch ist.

Ich habe mal noch auf der FW an Standort B ein Routing für das OpenVPN-Netz erstellt, so dass die FW weiss, dass sie die Pakete wieder zurück an Standort A senden muss. Ich komme aber, wie man am tracert-Befehl erkennen kann, nur auf den GW innerhalb des OpenVPN-Netzes und nicht weiter. Deswegen muss immer noch etwas falsch sein.


Freundliche Grüsse
Marc

Hallo

Vielen Dank nochmals für die Unterstützung!

Wo ein VPN, da auch ein Tunnel. Also gibt es (bei einem openVPN Tunnel) einen Server und einen Client auf der Firewall "Location A" und auf der Firewall "Location B".

Also gibt es auch ZWEI Firewall Tabs "openVPN", einen bei Location A und einen bei Location B.  Und schauen, ob NET outbound alle Netze hinter dem Tunnel kennt.

Eben nicht: Am Standort B gibt es gar nichts mit VPN. Die Standorte sind direkt über einen Glasfaserlink verbunden (dedizierte Verbindung). VPN wurde ausschliesslich auf der Firewall A eingerichtet. Das möchte ich wenn möglich auch weiterhin so handhaben, so dass die VPN-Verbindung immer über den Standort A hergestellt werden muss.

Würde mal die Routen überprüfen, da ggf. der Traffic nicht den Weg retour findet. Ich arbeite in solchen situationen gerne mal mit tcpdump.
BTW: Für Site To Site würde ich lieber IPsec nehmen (sollte aber mit OpenVPN auch gehen).

Meine Vermutung ist, dass eine deiner beiden Seiten ein Problem mit der Routingtabelle hat (z. B. B kennt die Clientnetze von A nicht und leitet den Datenverkehr daher an den Standardgateway).

Danke, das mit dem Routing zurück könnte natürlich sein. Muss ich auf der Firewall B möglicherweise ein Routing für das VPN-Netz 10.11.0.0 einrichten? Mit tcpdump kenne ich mich nicht aus und müsste mich erst einmal etwas einlesen.


Freundliche Grüsse
Marc

Hallo chemlud

Vielen Dank für die Unterstützung! Welchen Tunnel meinst Du? Zwischen den Standorten gibt es keinen Tunnel, das ist eine dedizierte Leitung.

Also in der Client Configuration steht folgendes drin:

route 172.16.0.0 255.255.128.0 net_gateway
route 172.16.128.0 255.255.128.0 net_gateway
route 192.168.233.0 255.255.255.252 net_gateway

Das heisst ja, der Client weiss, dass er für das Netzwerk des Standorts B den Traffic über den VPN-Tunnel routen muss. Es muss also an den Firewall-Regeln liegen. Auf dem OpenVPN-Tab habe ich zwei Regeln erstellt:

• OpenVPN net --> Standort B net (alias) | alles erlauben (da intern)
• Standort B net (alias) --> OpenVPN net | alles erlauben (da intern)

Hier noch das Ergebnis des Tracert-Befehls:

tracert 172.16.128.11

Tracing route to 172.16.128.11 over a maximum of 30 hops

  1    33 ms    19 ms    17 ms  10.11.0.1
  2     *        *        *     Request timed out.

Er erreicht also nur den Gateway des OpenVPN-Netzes, weiter kommt er nicht. Noch eine Idee?

Guten Tag

Unsere Schule hat 2 Standorte, hier A und B genannt. An jedem Standort haben wir eine OPNSense-Firewall im Einsatz, welche auch über jeweils zwei Internetanschlüsse verfügen. Die beiden Standorte sind über Glasfaser miteinander verbunden.
VPN habe ich aber nur auf der Firewall von Standort A eingerichtet. Nun möchte ich aber über die VPN-Verbindung auch die Geräte von Standort B erreichen können. Ich nehme an, ich muss hier einige Regeln einrichten. Aber ich habe bereits einiges versucht und nichts hat geholfen. Deshalb wäre ich froh um Tipps. Ich habe mal eine grobe Darstellung der Situtation angehängt.


Freundliche Grüsse
Marc Läderach

Good morning

I figured it out.
There's no need to have user certificates but you definitely need a client certificate, which was missing here. After I created the client certificate (the lower one in the attached screenshot), I had to export the VPN settings again and after that it was working.


Have a great day
Marc

Good day

I used the following road warrior manual to set up VPN with SSL:
https://docs.opnsense.org/manual/how-tos/sslvpn_client.html

But whereas this manual uses single user authentication, I would like to use LDAP Authentication which works fine without SSL. But as soon as I switch the authentication mode from "Remote Access (User Auth)" to "Remote Access (SSL/TLS + User Auth)", it stops working probably as there is no user certificate available.

The log of OpenVPN GUI says the following:

Fri Dec 02 11:47:42 2016 OpenVPN 2.3.13 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Nov  3 2016
Fri Dec 02 11:47:42 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Dec 02 11:47:42 2016 library versions: OpenSSL 1.0.1u  22 Sep 2016, LZO 2.09
Enter Management Password:
Fri Dec 02 11:47:53 2016 Control Channel Authentication: tls-auth using INLINE static key file
Fri Dec 02 11:47:53 2016 Attempting to establish TCP connection with [AF_INET]<public-IP>:1194 [nonblock]
Fri Dec 02 11:47:54 2016 TCP connection established with [AF_INET]<public-IP>:1194
Fri Dec 02 11:47:54 2016 TCPv4_CLIENT link local (bound): [undef]
Fri Dec 02 11:47:54 2016 TCPv4_CLIENT link remote: [AF_INET]<public-IP):1194
Fri Dec 02 11:47:54 2016 Connection reset, restarting

• 
  Fri Dec 02 11:47:54 2016 SIGUSR1[soft,connection-reset] received, process restarting

Is it even possible to have VPN with SSL and LDAP authentication? Or is there a workaround (e.g. by using RADIUS via AD like in this manual for pfsense https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory)?

Thanks in advance for any help and suggestions.


Kind Regards
Marc

Hi Uwe

Thanks for your suggestions.
Looks like we haven't been running the latest version but 16.7-r2. After an update and restart of the firewall, the ipsec tunnels are working now. They have some short interruptions from time to time but it looks much better now.


Thanks again!
Marc

Here are the missing attachments...

Hi guys

I'm not a genius at networking but still have some basic experience in this field. A few days ago we have installed OPNSense on a few self built firewalls that have been running a basic linux with some manual firewall settings. But we have some troubles to get the IPSec tunnels up and running.

The whole network consists of three sites that are connected in a WAN network of an ISP which is then somehow routed to the internet (I don't know exactly how this part is but shouldn't play an important role here). All three sites should be connected to each other via an IPSec Tunnel. There is a basic diagram of the network attached (IPSec_Li-Au_Overview.png).

I think it's enough to just look at one IPSec Tunnel: The one between Site A and C. All the settings I used at Site A can be checked in the picture "IPSec_Li-Au.png". The settings used at Site C are shown in picture "IPSec_Au-Li.png".

Some additional information about what is working and what isn't: I can see that traffic is going out at Site C and traffic is coming in at Site A. But not the other way (Check the attachment IPSec_Traffic.png).