Messages

Danke Patrick, auch das ist leider nicht die Lösung.
Der Gateway war bereits vorhanden. Die Route habe ich eingetragen, aber m.E. nicht nötig schließlich kann ich aus dem internen Netz (172.16.2.0 und 195.168.2.0) auf 10.69.67.0 zugreifen.
Habe bei OpenVPN den "local networks" Parameter ergänzt und Client-seitig push "route 10.69.67.0 255.255.255.0" eingefügt. Alles ohne Erfolg.
Da OpenVPN ab Version 26.1 sowieso nicht mehr unterstützt wird, werde ich erstmal auf WireGuard umstellen und dann wieder versuchen.

Hier ist die schematische Darstellung:
ich kann von den internen Netzen auf das Kundennetz zugreifen.
Möchte aber vom Homeoffice direkt darauf zugreifen können. Bei bestehende VPN Verbindung, versteht sich.

Hallo Ihr Experten,
ich hänge mich an diesem Thread, weil ich ein ähnliches (?) problem habe:

Auch ich verwende (neben/hinter der OPNsense) eine Cisco FW um auf einem Kundennetz zuzugreifen. Es funktioniert auch alles prima. Vom Büro aus!
Aus dem Homeoffice kann ich über VPN auf dem Netz im Büro und von da aus auf dem Kundennetz. Soweit so gut!
Ich möchte aber nun vom Homeoffice direkt auf das Kundennetz zugreifen und weiß einfach nicht wie ich das Routing setzen soll.
Kann jemand vielleicht helfen? das wäre super!
Vielen Dank und herzliche Grüße aus Düsseldorf

Wenn dein ISP das /29 in Richtung deiner statischen Adresse routet, dann kannst du das natürlich einem anderen Interface zuweisen, indem z.B. die erste oder die letzte Adresse für das Interface benutzt.

An diesem Interface gibt es dann keinen Gateway. Die OPNsense ist dort der Gateway für die anderen Systeme. Gateways gibt es nur dort, wo die OPNsense selbst einen anderen Router ansprechen muss. Also typischerweise am WAN-Interface und evtl. dort, wo man mehrere Netze und/oder Standorte über weitere Router miteinander verknubbelt.

Achte darauf, dass auf einem Ethernet "die erste oder letzte Adresse" jeweils noch eine Adresse überspringen müssen, da das ein Broadcast-Medium ist. Z.B. dein /29 sei 192.168.42.240/29:

- dann kannst du die 192.168.42.240 nicht verwenden
- 192.168.42.241 könnte deine OPNsense sein
- 192.168.42.242-246 können andere Rechner in diesem Netz nutzen
- 192.168.42.247 ist die Broadcast-Adresse, kannst du auch nicht verwenden
- 192.168.42.246 kannst du natürlich auch für die Sense nehmen und dann 192.168.42.241-245 für die anderen Rechner

NAT stellst du global erstmal auf "aus" und legst für dein LAN mit RFC1918-Adressen die NAT-Regeln manuell an. In dein /29 wird einfach ohne NAT geroutet und über Firewall-Regeln sagst du, was du erlauben willst und was nicht.

<RANT>
NAT ist nicht der Normalfall im Internet.
Normal ist "kein NAT".
NAT derserves to die.
</RANT>  ;)

Hallo Gemeinde,
ich habe auch ein /29er Netz am Start, habe dennoch nur Verbindung zur Adresse (die erste) die der OPNsense eingetragen ist. Die anderen kommen gar nicht an. Was mache mache ich da noch falsch?

Vielen Dank schon mal
Jo A. Kim