OpenVPN Site-to-Site Howto?

Started by Fremulon, September 19, 2019, 10:36:26 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 19, 2019, 10:36:26 AM
Hallo zusammen

Kann mir jemand ein Howto zeigen, wie ich mit OpenVPN eine Site-to-Site Verbindung einrichten kann?

Gegeben sind:
- Standort A 192.168.40.0/24, soll OpenVPN Server sein
- Standort B 192.168.254.0/29, soll OpenVPN Client sein
- Standort C 192.168.254.8/29, soll OpenVPN Client sein

Ziel ist es, dass ich von Standort A auf die IP Adressen in Standort B und C zugreifen kann. Ich geb's auf, dies mit IPsec zu realisieren, weil ich die Remote IP Adressen von den Standorten B und C nicht kenne.

Vielen Dank
September 19, 2019, 10:55:27 AM #1
Hi,

ist eigentlich recht schnell gemacht.
Ich habe es aber so eingerichtet, das jeder Standort mit jedem Verbunden ist, der Hauptstandort mal ausfallen sollte und um dessen Performance zu schonen.

Ist auch hier ganz gut beschrieben
https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
September 19, 2019, 01:09:09 PM #2
Also der OpenVPN Aufbau hat soweit geklappt und ich kommt auf den gegenüberliegenden Weidmüller Router mittels der Tunnel IP (10.10.55.2) - aber aktuell komme ich nicht auf das Netz dahinter.

Ich vermute, ich muss noch was routen technisch machen?
September 19, 2019, 01:14:24 PM #3
> Ich vermute, ich muss noch was routen technisch machen?

Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 19, 2019, 01:43:21 PM #4
Quote from: JeGr on September 19, 2019, 01:14:24 PM
Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.

Dann glaube ich, dass ich das bei der Weidmüller FW anders machen muss. Denn Zitat Webinterface von denen "there are iroute entries required in the OpenVPN server configuration" - wenn man den tun adapter verwendet. Deren OpenVPN sehe ich aktuell eher als klassische Client Lösung an, damit ich von fern auf die lokale Umgebung kommen kann, ich benötige aber genau das Gegenteil.
September 19, 2019, 02:12:06 PM #5
Da keiner* hier eine Weidmüller FW kennt, wäre ein bisschen mehr Info von dem Miststück hilfreich um irgendwie bewerten zu können, was schief läuft ;) In 99% der Fälle ist es nicht die Sense die schuld ist. :)

Grüße

*(tatsächliche Zahlen könnten abweichen, ändert aber an der Aussage nichts)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 19, 2019, 03:17:53 PM #6
Quote from: Fremulon on September 19, 2019, 01:43:21 PM
Quote from: JeGr on September 19, 2019, 01:14:24 PM
Eigentlich nur dann, wenn du im Setup vergessen hättest auf beiden Seiten das jeweils gegenüberliegende (also entfernte) LAN unter "remote network" einzutragen. Das sollte dafür sorgen, dass das remote Netz in der Routing Tabelle drinsteht. Ansonsten schau dir deine Routing Tabelle an und denke auch daran, dass du Firewall Regeln auf beiden Seiten für "eingehenden!" Traffic brauchst.

Dann glaube ich, dass ich das bei der Weidmüller FW anders machen muss. Denn Zitat Webinterface von denen "there are iroute entries required in the OpenVPN server configuration" - wenn man den tun adapter verwendet. Deren OpenVPN sehe ich aktuell eher als klassische Client Lösung an, damit ich von fern auf die lokale Umgebung kommen kann, ich benötige aber genau das Gegenteil.

kannst du bitte mal einen screenshot der weboberfläche posten, das hatte ich schon bei einigen posts von dir gefragt, danke
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 19, 2019, 05:36:07 PM #7
September 19, 2019, 11:10:25 PM #8
Aber da geht es doch im Titel um ipsec?


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 20, 2019, 08:17:56 AM #9
Ja stimmt, ist ein bisschen aus dem Ruder gelaufen...  :o
Mittlerweile geht es eigentlich um Site-to-Site VPN mit Weidmüller FW - IPsec ist der komplett falsche Ansatz, da ich immer eine Unbekannte Gegenseite habe. Ich muss nachher mal kurz die Titel anpassen, hab's eben selber auch gemerkt. Sorry.
September 23, 2019, 12:15:20 PM #10
Vor allem sollte das angepasst werden, weil du lesen willst, wie das geht. Du kannst es aber gar nicht so umsetzen wie ich es vorschlagen würde, weil du an deine Hardware Büchsen gebunden bist. Ergo bringt auch der Thread nicht wirklich viel.

Umsetzen würde ich das mit SharedKey OVPN Tunneln. Damit hätte ich das in ner halben Stunde bis Stunde betriebsbereit.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions