Opnsense als Road Warrior (Homeoffice Firewall Box)

[Adolar]

Hallo liebe Community,

ich benötige für unsere Homeoffice-User eine Firewallbox welche ich einfach ins Private Netzwerk hängen kann, die daran angeschlossenen Geräte sollten dann über den VPN-Tunnel mit dem Firmennetzwerk kommunizieren können. Es sollte keine Konfiguration des Privaten Routers erforderlich sein. (Kein DynDNS, keine Forwardings usw.)

Ich habe das ganze schon mit OpenVPN konfiguriert, jedoch war es mir nicht möglich eine Verbindung zu unseren Netzen herzustellen. Die Konfiguration über push "route..." und iroute hat das Probelm nicht gelöst.

Hat von euch schon jemand ein ähnliches Szenario konfiguriert?
Wenn ja, wie hat er es konfiguriert? (OpenVPN, IPSec..)

Beste Grüße & Vielen Dank
Adolar

[superwinni2]

Ich habe das so...
Mit OpenVPN gelöst...
Im Endeffekt die "Client" OPNsense aufgesetzt, WAN so konfiguriert, dass die IP vom DHCP genommen wird.
An den Ports wo der HomeOffice Benutzer den Computer anschließt den DHCP Aktiviert und konfiguriert.


Die OPNsense baut dann die OpenVPN Peer-to-Peer (SL/TLS) verbindung auf und routet dann die dementsprechenden Pakete (bei uns alles) auf unsere Firewall und somit in unser Netzwerk.
Bei unserer Hardware (irgend so ne single Core CPU und HDD) braucht die FW zum hochfahren 2 Minuten... Die VPN steht nach 2:30 Minuten... Da das teil eh immer durch läuft ist es egal... Wollte es nur erwähnt haben.... Performance lag bei ca. 80 % der Internetverbindung des Mitarbeiters (100/20 hat Mitarbeiter... Per iPerf3 messerung kamen ~80 / ~17 MBit/s bei uns an.)


Musst halt dem Tunnel Netzwerk einen eigenen /30 IP Bereich geben und dem DHCP vom Mitarbeiter ebenfalls was komplett eigenes.


Zu Firewallregeln: Ich habe bei der ClientOPNsene alles auf durchzug gestellt und meine "große" Firewall blockiert oder lässt zu. (Kommt ja dann auf dem OpenVPN Interface an)


Ps. Warum so umständlich? Wenn es nur um einen doofen Computer geht warum nicht gleich OpenVPN Client auf den Rechner?

[Adolar]

Ok, hast du dann beim Server/Client noch irgendwelche zusatzparameter über Advanced mitgegeben?

Das ist ne Handvoll, welche auch noch Voip Telefone benötigen usw.. die Entscheidung lang nicht in meiner Hand

[superwinni2]

Nö gar nichts...


Wenn es mehr als ein Gerät ist welche zudem gar kein OpenVPN können: Keine Frage.. das ist meiner Meinung ebenfalls die beste und einfachste Lösung


Was ich am Server stehen habe:
IPv4 Tunnel Network: 172.16.104.0/30
IPv4 Local Network: 192.168.40.0/24, 192.168.41.0/24 (dies sind die beiden Netze an der Großen FW hierdurch werden nochmals extra routen auf der ClientOPNsense erstellt.)
IPv4 Remote Network: 192.168.80.0/24  (Dies ist das Netzwerk welches auf der anderen Seite liegt... Somit das von dem eingestellten DHCP Server.)
Dynamic IP ist aktiv
Address Pool ebenfalls aktiv (so steht der Tunnel mit "dynamischen" IPs)


Auf der Client seite:

IPv4 Tunnel Network: 172.16.104.0/30
IPv4 Remote Network: 0.0.0.0/1 (somit geht ALLES an Datenverkehr über den VPN Tunnel. Kann man natürlich anpassen wenn man nur das eigene Netz routen möchte....)

[Adolar]

Top, danke für die Infos.

Ich glaube langsam das es am internen VLAN tagging liegt. Vielleicht hat das lokale Netzwerk kein "default" vlan-tag.. somit funktioniert der Verkehr nicht. (nur eine Vermutung) Muss mal gucken..

[superwinni2]

Also bei mir laufen an der HauptOPNsense alles via VLAN...
Default VLAN ist im Normalfall VLAN1


An der Client OPNsense ist kein VLAN eingerichtet...

Meine Vorgehensweise wäre:
OpenVPN Server konfigurieren und configs exportieren
OPNsense aufsetzen -> Interfaces konfigurieren -> OpenVPN Client einrichten und Regeln anpassen wie man sie braucht und möchte....


Wenn dann was nicht klappt halt nochmals melden... dann muss man auf Fehlersuche gehen...
Aber so an sich sollte dies kein Hexenwerk sein....

[Adolar]

es klappt einfach nicht. das gleiche szenario habe ich wo anders auch so im einsatz (wie du beschrieben hast) und es funktioniert ohne probleme. daher vermute ich das es mit dem ip adressbereich od. vlan zutun hat. der ip adressbereich ist 192.168.0.0/20 <-- welchen ich im openvpn server so auch eingetragen habe. per tracert sehe ich auch , das der erste sprung in richtung openvpn tunnel geht .. jedoch macht er dann nicht weiter.. auf der anderen seite zeit er mir auch im log das es ankommt und das er den datenverkehr durchlässt..

[superwinni2]

Kannst du uns / mir mal die komplette Struktur erklären oder aufzeichnen?
Zudem wären die genaueren Konfigs interessant... Dann kann ich wahrscheinlich mehr sagen wo es klemmt....

[Adolar]

ach.. muss das tunnel netzwerk /30 sein?
wenn ja, warum?

[superwinni2]

Muss nicht... Aber sollte have ich mal irgendwo gelesen um Probleme zu vermeiden

Gesendet von meinem LG-H815 mit Tapatalk

[JeGr]

>> Muss nicht... Aber sollte have ich mal irgendwo gelesen um Probleme zu vermeiden
> ach.. muss das tunnel netzwerk /30 sein?

Nein muss es nicht. Es wird auch oft bei shared-key Tunneln, die definitiv nur zwei Enden haben und nicht mehrere Clients bedienen einfach der Einfachheit halber ein /24 genommen um Fehlkonfiguration vorzubeugen, da in den allermeisten Fällen interne Netze gern /24 sind. Wenn man seine Netz-Struktur entsprechend geplant hat, kann das sogar praktisch sein. Konfiguriert man ein Multipoint VPN (Zertifikat, MultiClient to Server) ist es sogar falsch.