OSPF über OpenVPN

Started by STRUBartacus, May 03, 2019, 10:04:56 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 03, 2019, 10:04:56 AM Last Edit: May 03, 2019, 02:11:57 PM by STRUBartacus
Hallo zusammen

Ich habe gestern den x-ten Versuch unternommen um endlich von pfSense auf OPNsense zu migrieren. Leider bin ich (wieder) an OSPF, welches über OpenVPN-P2P-Tunnel (TUN) laufen soll, gescheitert.

Mein Vorgehen:

Im Vergleich zu pfSense habe ich zusätzlich jeder OpenVPN-Instanz ein Interface zugewiesen, dieses aktiviert / vor Entfernen geschützt und anschliessend dem OSPF-Prozess hinzugefügt. Dies leider ohne Erfolg...
Ist hier noch etwas zu beachten? Müssen in den neuen Interface-Firewallruletabs noch Regeln erstellt werden oder ist immer noch der OpenVPN-Tab zuständig? Ist es überhaupt möglich, OSPF über TUN-Tunnel zum Laufen zu bringen? Wenn nein: Wieso kriegt das pfSense hin? Umstellen auf TAP-Interfaces ist für mich keine Option...

Vielen Dank schon mal!
Gruss

May 03, 2019, 10:33:59 AM #1
Also pfSense kann das mit TUN Interface? Wie sieht da die Config aus?
May 03, 2019, 02:04:20 PM #2 Last Edit: May 03, 2019, 02:08:38 PM by STRUBartacus
Hier meine 4 tun-OpenVPN-Server:



FRR ospfd.conf:

Code Select
##################### DO NOT EDIT THIS FILE! ######################
###################################################################
# This file was created by an automatic configuration generator.  #
# The contents of this file will be overwritten without warning!  #
###################################################################
password 123456
interface igb1
interface igb2.101
interface igb2.111
interface ovpns1
interface ovpns2
interface ovpns3
interface ovpns4

router ospf
  ospf router-id 10.11.15.254
  default-information originate
  passive-interface igb1
  passive-interface igb2.101
  passive-interface ovpns1
  network 10.11.0.0/24 area 0.0.0.0
  network 10.11.1.0/24 area 0.0.0.0
  network 10.11.11.0/30 area 0.0.0.0
  network 10.11.5.0/30 area 0.0.0.0
  network 10.0.0.0/30 area 0.0.0.0
  network 10.0.1.0/30 area 0.0.0.0
  network 10.0.2.0/30 area 0.0.0.0
access-list dnr-list permit any
route-map DNR permit 10
  match ip address dnr-list
July 09, 2019, 12:28:47 PM #3 Last Edit: July 09, 2019, 12:45:22 PM by STRUBartacus
Wird es diesbezüglich irgendwelche Änderungen in 19.7 geben?
July 09, 2019, 01:16:11 PM #4
Welche Haken sind denn beim OpenVPN Server alle gesetzt? Eventuell ist das wirklich reine config Sache
July 09, 2019, 05:37:18 PM #5
@Mimugmail: The problem in OPNsense is that the interfaces for OpenVPN are grouped. So we have not reference to the Network.
July 09, 2019, 05:45:21 PM #6
Quote from: fabian on July 09, 2019, 05:37:18 PM
@Mimugmail: The problem in OPNsense is that the interfaces for OpenVPN are grouped. So we have not reference to the Network.

Und die Gruppierung gilt nur für tun und nicht tap? Dann ist das doch rein pf und auto rules Problem oder nicht?
Ich dachte immer es ist ein technisches Problem an sich von tun, da multicast nicht drüber geht.
July 09, 2019, 07:11:24 PM #7 Last Edit: July 09, 2019, 07:28:16 PM by fabian
tun geht schon, nur das "InterfaceField" kriegt es nicht zusammen. Wenn wir mit einem OpenVPN TUN mit "topology subnet" nehmen, ist das meines Wissens nach kein Problem, da es sich wie ein normaler Netzwerkadapter verhält. Müsstest du halt ausprobieren.

Edit: könnte doch nicht stimmen (findet man so im Internet), frage mich aber wieso. TUN simuliert einen herkömmlichen Netzwerkadapter und OSPF arbeitet mit dem Multicast als eigenes L4-Protokoll. Es gibt keine speziellen OSPF-Frames.
Print
Go Up Pages1
User actions