Messages

Hallo Dominik,

herzlichen Dank für deine Hilfe - ich bin der Sache jetzt auf die Spur gekommen. Man kann in Phase 2 beim IPSec Tunnel noch sogenannte "Manual SPD Entries" hinterlegen und zusätzliche One-to-one NAT Regeln. Dann funktioniert alles perfekt!

Hier noch eine Anleitung die ich dazu gefunden habe:
https://techcorner.max-it.de/wiki/OPNsense_-_NAT_before_IPSEC

Vielen Dank!
Chris

Wenn der Tunnel in Netzwerk Z mit dem Netzwerk A als "remote network" vorkonfiguriert ist, bleibt mir ws. ohnehin nichts anderes als NAT übrig? Damit ich aus B und C nach Z komme?

Hallo Dominik,

stimmt denn dein Routing von Netzwerk B?

Ja aus Netzwerk B liegen bei Routen (A und Z) an. Beim ersten Ping Versuch hat die Firewall noch geblockt und deshalb auch die Regel hinzugefügt damit auch das Netzwerk Z zugelassen ist.

Dann wäre noch zu klären, machst du NAT in der Firewall A um das Netzwerk B zu "verstecken" oder willst du den Netzbereich durchreichen

Zwischen A und B wird einfach geroutet. Es soll in beide Richtungen kommunzieren können. Einschränkungen/Erlaubnis nur via Regeln.

und ist der Tunnel zwischen A und Z entsprechend konfiguriert um das zu erlauben.

Da bin ich mir nicht sicher was du genau meinst. Wie gesagt - von A nach Z läuft alles problemlos. Somit ist in der Routingtabelle von Netzwerk Z auch automatisch eine Route hinterlegt. Womöglich liegt hier irgendwo das Problem?
Hätte auch mal testweise versucht aus dem openVPN etwas in das Netzwerk Z per NAT durchzuleiten. Vielleicht verstehe ich hier etwas falsch...

Ohne NAT muss die Firewall Z das Netzwerk auch eingehend explizit erlauben. Ansonsten verwirft sie die eingehenden Pakete. Das kannst du aber nicht sehen, das kann man nur auf Firewall Z wenn sie einfach verworfen werden.

Früher Stand im Netzwerk A ebenso eine Sonicwall und da war es möglich von C (mobile Clients) auf Z kommen. Es wurde am IPSec Tunnelende bei A einfach der Zugriff auf das LAN Netz Z zusätzich hinterlegt. Deshalb sollte es bei Z auch erlaubt sein?

Danke!
LG, Chris

[A <-> Z]

Liebe Community,

ich habe ein Problem mit der Kommunikation zwischen 2 VPN Servern in folgender Konfig:

Eine Firma (mit Netzwerk A) ist statisch zu einem seiner Partner (Netzwerk Z) verbunden. Der Partner hat eine SonicWall. Der IPSec-Tunnel steht und funktioniert einwandfrei.
A <-> Z

Innerhalb der Firma besteht ebenso eine statischer VPN-Tunnel (OpenVPN) mit dem eine Filiale (Netzwerk B) angebunden ist – funktioniert auch tadellos.
A <-> B

Zusätzlich gibt es noch einen openVPN-Server für mobile Geräte (Netzwerk C). Funktioniert auch
C -> A

Das Problem liegt darin, dass die Clients aus Netzwerk B (Filiale) in das Netzwerk Z (Partner) rüber müssen.
B -> Z oder B<->Z
Ich habe eine Regel/Rule (OpenVPN) festgelegt, die besagt, dass alles in das Netzwerk C rüber darf. Danach gibt es beim Ping-Test zwar keine Blocks im Firewall Log mehr, allerdings kommt trotzdem nichts rüber.

Hat da jemand eine Idee dazu?

Herzlichen Danke schon mal für die Hilfe!
Chris

Wenn ich unter "System/Routes/Status" nach den entsprechenden Routen suche, dann finde ich den passenden Eintrag bereits hinterlegt. Siehe Anhang
Netzwerk A (Hauptstandort) 192.168.1.0/24
Netzwerk B (Filiale mit opnsense FW) 192.168.2.0/24

Hallo,

ich habe folgende Problematik. Zwei Standorte A und B - wobei am 2.Standort (B) eine opnsense firewall steht mit der ich einen openVPN Tunnel zu Standort A aufgebaut habe. Der Tunnel ist aufrecht. Nun möchte ich jenen Traffic der das interne Netzwerk von Standort A betrifft durch leiten.
Wenn ich von einem Client in B nach A pingen möchte kommt nichts durch. Ein Ping Test direkt auf der Firewall funktioniert.

Obwohl ich die entsprechenden Firewall Regeln am openvpn Interface erstellt habe. Zudem habe ich das selbe bereits schon mal umgesetzt und da gehts. Das Projekt hatte ich allerdings mit der 17er Version begonnen.

Ein weiterer Unterschied ist, dass ich diesmal nicht einen WAN Anschluss, sonder 2 habe. Diese habe ich zu einem Gateway Group mit Load Balancing zusammengefasst (funktioniert auch).
Vielliecht liegt hier das Problem?

Bitte um Hilfe.
Danke!