Site-to-Site IPsec zusätzliche Firewall IP erreichbar machen [gelöst/solved]

[lebernd]

Moin zusammen,

ich habe ein Site-to-Site VPN mit ipsec zwischen einer Fritzbox (192.168.x.0/24) und opnsense-LAN1 (192.168.y.0/24).

Funktioniert wunderbar nun. Auch im Fritzbox-Netz nutze ich meine DNS-Server aus dem opnsense-LAN1 (nicht direkt die opensense, opnsense ist forward_dns). Ich greife so direkt auch auf Server im opnsense-LAN1 zu.

Es gibt ein opnsens-LAN2. Mit dazu gehört eine virt-IP für HAproxy. Für die gibt es eine unbound-Überschreibung: Netzwerke der opnsense sollen für z.B. nextcloud.domain.tdl bitte virt-IP verwenden.

Kann noch jmd. folgen?
Folgerichtig gibt die DNS-Abfrage auch bei meinem Computer im Fritzbox-Netz auch: nextcloud -> virt-IP.

Jetzt die Frage:
- ein einfacher Weg im Fritzbox-Netz nextcloud.domain.tdl auf anderen DNS Server zu lenken?
- IPsec so anpassen dass Fritzbox-Netz auch auf virt-IP zugreifen darf.
- oder noch was anderes?

Grüße, Bernd

[micneu]

also ich kann nicht folgen, jetzt mein lieblings spruch, bitte mal einen grafischen netzwerkplan, mir hilft das beim verstehen.

[lebernd]

+--------------------------------------+
|  opnsense                            |
|  +--------------------------------+  |
|  | LAN2: 192.168.z.0/24           |  |
|  | haproxy virt IP: 192.168.z.2   |  |
|  |                                |  |
|  +--------------------------------+  |
|  +--------------------------------+  |
|  | LAN1: 192.168.y.0/24           |  |
|  |                                |  |
|  |                +               |  |
|  +--------------------------------+  |
+--------------------------------------+
                    |
                    | ipsec site-to-site
                    |
+--------------------------------------+
|  fritzbox         |                  |
|  +----------------+---------------+  |
|  | FritzLAN: 192.168.x.0/24       |  |
|  |                                |  |
|  +--------------------------------+  |
+--------------------------------------+


Was noch:
- opnsense: unbound overwrite
- LAN1: interner DNS Server. Bind-Server zB: 192.168.y.2-4 / forward dns -> opnsense 192.168.y.1
- Fritzlan: der Client (zB: 192.168.x.20), der auf Nextcloud zugreifen möchte.

[micneu]

- ist deine sense default gateway?
- hast du firewall regeln für den zugriff auf dein lan2 in der sense?
- hast du eine route in zusätzliche route in der fritzbox zu deinem lan2

deine fritzbox kennt doch den weg nicht zum lan2, den musst du in der fritzbox eintragen (ich denke, du hast es nicht beschrieben, das diese route fehlt)
- hast du mal versucht aus dem fritzbox netz was im lan2 zu pingen geht das?
- und deine firewall regeln müssen das auch erlauben für die entsprechenden netze

[lebernd]

ist deine sense default gateway?

Für wen meinst Du? Wahrscheinlich für die Geräte hinter der Fritzbox?! Nein, ich denke eher nicht. Nur sense-LAN1  geht über die sense.

hast du firewall regeln für den zugriff auf dein lan2 in der sense?

Nein

hast du eine route in zusätzliche route in der fritzbox zu deinem lan2

Ok, hier ist auf jeden Fall ein erster dicker Haken. Nein, mein box-lan Computer hat keinen Schimmer, wie er zu sense-LAN2 kommen soll. Er bekommt nur die private IP vom DNS-Server.
Also ja - diese route fehlt. Ping geht zumindest schon mal deswegen auch nicht.
Jetzt weiß ich aber nicht, wie ich das mit der route hinbekommen könnte:
der erste Versuch war auf der Fbox - eine Standard-Route:
Netzwerk: sense-lan2 Subnetz...
Gateway: sense-lan1-ip (192.168.y.1)

Aber ach - geht nicht. Fbox meckert, dass der Gateway ja nicht zu ihr gehöre...

D.h. die Routen über IPsec sind wohl nochmal getrennt von den Standardrouten und ich müsste das direkt über die ipsec-configuration machen?!  :o :-\
Hier mussten ein paar Emojis hin, weil ich IPsec-Konfigurationen so ungern anfasse. Und eben auch nich wirklich weiß wo? Auf der Sense habe ich bei Phase zwei gesehen: "Manuelle SPD-Einträge" die Erklärung sieht passend aus. Jedoch eher für die andere Richtung. Und auf der Fbox gibt es ja keine so 'ne schöne IPsec-GUI.

Der andere Weg wäre eben noch eine DNS-Änderung für das fritzbox-lan, so dass die WAN-IP der sense aufgelöst wird und nicht die virt-IP. (deswegen die erste Frage oben?)
Die WAN-IP ist jedoch nicht fest, so dass die Abfrage über einen öffentlichen DNS-Server gehen müsste. Kann man für ein paar FQDNs einen eigenen, priorisierten DNS-Server angeben?
Die DNS-Server, die meinen Computer bedienen kennen ja nichts anderes außer dem overwrite.

Gedanken zur Nacht und Grüße,
Bernd

[micneu]

ich habe lange nichts mehr richtig mit fritzboxen gemacht, bin aber der meinung das man extra routen eintragen konnte.

[lebernd]

Ja, kann man auch.

Ich kann anlegen:
Netzwerk: sense-lan2 Subnetz...
Gateway: fb-lan-ip (192.168.x.1)
... ist aber nicht richtig - oder?

Ich kann anlegen:
Netzwerk: sense-lan1 Subnetz...
Gateway: fb-lan-ip (192.168.x.1)
... also die IPsec-Route - das zerschießt mir aber eher IPsec.

Ich kann NICHT anlegen:
Netzwerk: sense-lan2 Subnetz...
Gateway: sense-lan1-ip (192.168.y.1)
... was irgendwie Sinn machen würde, da es die Route zu 192.168.y.1 ja gibt.

[micneu]

sowas in der art denke ich (musste extra in meiner 7490 schauen)
verstehe nicht warum du deine versuchst zu maskieren, dein lan kann doch ruhig jeder kennen.

[lebernd]

Danke Dir, so viel Mühe machst Du Dir! Ist okay, ab nun nehme ich nur Zahlen.

Wie gesagt - so habe ich es gemacht aber, das lässt sich nicht auf meiner Fbox7530 speichern:
"Es ist ein Fehler aufgetreten. Fehlerbeschreibung: Die Route ist nicht zulässig." etc. "Mögliche Ursachen:
Die IP-Adresse, die Sie für "Gateway" angegeben haben, liegt außerhalb des IP-Adressbereichs des Heimnetzes."

Man müsste es also wohl direkt über die IPsec Konfiguration machen, dort ist ja auch die erste Route zu opnsense-LAN1 eingetragen. Falls jmd weiß wie... gerne. Im Moment sieht der Teil mit den lokalen Netzwerken so aus:

Code Select Expand

  phase2localid {
    ipnet {
      ipaddr = 192.168.7.0; # <- Fbox-LAN
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 192.168.8.0; # <- sense-LAN1
      mask = 255.255.255.0;
      }
    }
  phase2ss = "esp-all-all/ah-none/comp-all/pfs";
  accesslist = "permit ip 192.168.7.0 255.255.255.0 192.168.8.0 255.255.255.0";


[lebernd]

Nach den Fragen die Antworten:

- ein einfacher Weg im Fritzbox-Netz nextcloud.domain.tld auf anderen DNS Server zu lenken?

Habe ich nicht gefunden.

IPsec so anpassen dass Fritzbox-Netz auch auf virt-IP zugreifen darf.

Zwei Möglichkeiten: 1) BINAT in die IPsec Config - auf der Fbox geht das aber eher nicht laut sonstigen Seiten. 2) das Subnetz entsprechend anpassen und eben die sense-LANe über so etwas wie 192.168.0.0/16 ansprechen. Dies funktioniert vielleicht auch gut - wenn nicht blöderweise ein LAN 192.168 und eins 10. ist... Die Änderung schien mir dann zu aufwendig. Also nicht probiert, aber das Zweite sollte eigentlich gehen?

- oder noch was anderes?

Letztlich ging es - wie gesagt - um eine virt-IP für HAproxy. Das Einfachste schien mir nun:
1) proxy config in der config.php von nextcloud anpassen
2) neue virt-IP im sense-LAN1
3) neues HAproxy frontend auf dieser Adresse
4) unbound für nextcloud.domain.tld etc. auf diese Adresse umschreiben.

Et voila, der See vielleicht.
Danke fürs Mitdenken
Bernd