Mehrere Netzwerke durch IPSec VPN-Tunnel routen

Started by DanDanger, September 14, 2020, 01:13:57 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 14, 2020, 01:13:57 PM
OPNsense Version: 20.1.9_1

Hallo zusammen,
ich möchte ein zusätzliches privates Netzwerk (192.168.255.0/24) durch einen schon bestehenden Site-To-Site IPSec VPN-Tunnel routen.
Der IPSec VPN-Tunnel ins private netz (192.168.43.0/24) steht und funktioniert.
Nun soll noch zusätzlich das 192.168.255.0/24-Netz durch den IPSec VPN-Tunnel.
Die IPSec-"Gegenstelle" ist eine Cisco Firewall in einer "Split Tunnel"-Konfiguration (daher die beiden getrennten Netze).
Ich habe mich bei der Einrichtung an die "Setup a routed IPSec Tunnel" Anleitung ("https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html") gehalten.

Ich habe nun:
1) In der OPNSense unter "System -> Gateways -> Single" das "default gateway" aus dem schon erreichbaren privaten Netz (Gateway-IP: 192.168.43.254) als "Gateway" in der OPNSense eingetragen (mit dem WAN-Adapter als Gateway-NIC).
2) In der OPNsense unter "System -> Routes" eine statische route angelegt, die den traffic ins "192.168.255.0/24"-Netz über das zuvor angelegte Gateway routed.

Meine Hoffnung war nun, das die OPNsense allen traffic ins 192.168.255.0/24-Netz durch den IPSec VPN-Tunnel an die 192.168.43.254 sendet (welche dann den traffic in das "richtige" Netz leitet).
Leider sieht es so aus, als würde der traffic ins 192.168.255.0/24-Netz nicht über den IPSec-Tunnel gehen, sondern direkt das WAN-Interface verlassen.

Meine Frage: Was mache ich hier falsch? Welche Einstellungen sind in der OPNsense vorzunehmen um ein weiteres privates Netzwerk über einen IPSec VPN-Tunnel zu routen.

Neugierige Grüße
  Daniel
September 14, 2020, 01:16:42 PM #1
Kannst du mal grafisch darstellen wie der Aufbau ist. Würde mir beim verstehen deines Textes Helfern.


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 14, 2020, 01:23:35 PM #2
Hi,
vielen Dank fr die schnelle Rückmeldung.
Ich hoffe so wird es etwas deutlicher.
Code Select


                                                 +--------------------------------+
                                            +--> | Privates Netz: 192.168.43.0/24
+----------+                    +-------+   |    +--------------------------------+
| OPNsense | -- (IPSec VPN) --> | Cisco | --+
+----------+   192.168.43.0/24  +-------+   |    +----------------------------+
                                            +--> | VPN Netz: 192.168.255.0/24 |
                                                 +----------------------------+


Das "VPN Netz" (192.168.255.0/24) is über die Cisco (liegt im "privaten Netz" (192.168.43.0/24)) erreichbar.
Ich muss eigentlich "nur" der OPNsense irgendwie klarmachen das sie das "private Netz" (192.168.255.0/24) auch über den IPSec VPN-Tunnel erreichen kann/soll.

September 14, 2020, 01:28:13 PM #3
Sorry, ich meinte:
"Ich muss eigentlich "nur" der OPNsense irgendwie klarmachen das sie das "VPN Netz" (192.168.255.0/24) auch über den IPSec VPN-Tunnel durch die Cisco-Firewall erreichen kann/soll."
September 14, 2020, 02:41:09 PM #4
Dazu muss das Netz auf beiden Seiten des Tunnels in die Liste der IPSec SAs aufgenommen werden. Also bei Dir in die der "local networks", beim Cisco die der "remote networks".

Routing ist nicht transitiv. Du kanns als Next Hop immer nur etwas angeben, zu dem Du eine direkte Verbindung hast.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 14, 2020, 03:46:00 PM #5
Hi,
vielen Dank für die schnelle Antwort.
Wo kann man den in der OPNsense ein zusätzliches "local network" eintragen?
Im "local network" des IPSec-Tunnels (OPNsense IPSec Einstellungen, "Phase 2 Entry") ist ja bereits das LAN der OPNsense ("LAN Network") eingetragen, und als "remote network" das "private Netz" (192.168.43.0/24).
Das funktioniert ja soweit auch, kommunikation in/aus dem 192.168.43.0/24-Netz läuft ja.
September 14, 2020, 04:45:09 PM #6
Hallo zusammen,
vielen Dank für die Antworten, wir haben das Problem jetzt tatsächlich gelöst.
Wir haben letztendlich für jedes der beiden VPN-Netze ("privat" 192.168.43.0/24 und "vpn" 192.168.255.0/24) jeweils einen eigenen "Phase 2"-Eintrag in den OPNsense IPSec-Einstellungen hinzugefügt. Das funktioniert soweit problemlos, auch mit der Cisco-Firewall am anderen Ende.

Nochmals vielen Dank an alle!

September 18, 2020, 04:32:23 PM #7
Genau das hatte ich gemeint. Sorry, war zwischendurch busy. Danke für die Rückmeldung und schön dass es nun klappt.

Kaum macht man's richtig, schon geht's  ;) Genau so ist es tatsächlich auch gedacht.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 23, 2022, 07:45:15 AM #8
Guten Tag und entschudigt bitte das Kappern dieses Posts, aber ich habe das gleiche Problem wie DanDanger, nur dass ich es nicht gelöst bekomme  :-\

Ich habe 2 OPNSense (jeweils 22.1.1_3), die beide mit einer festen IP-Adresse am Internet hängen. Ich bin nach dieser Anleitung vorgegangen https://wiki.opnsense.org/manual/how-tos/ipsec-s2s.html  und der Tunnel steht und funktioniert auch für die beiden privaten Netze dahinter.

Jetzt bin ich dank der Vorposter hier darauf gekommen, dass zusätzliche Netze, die ebenfalls durch den Tunnel geleitet werden sollen, in einer eigenen Phase 2 erfasst werden müssen.

Bei diesen Netzen handelt es sich um Transfernetze für VPN-Nutzer, die das private Netz auf der jeweils anderen Seite des Tunnels ebenfalls nutzen sollen.

Also habe ich jeweils den Phase 2 Eintrag geklont und auf beiden Seiten das lokale Netz durch das Transfernetz des VPN ersetzt. D.h., dass nach meinem Verständnis ein Nutzer, der durch Einwahl per VPN eine Transfernetzadresse bekommt nun auch durch den Tunnel geleitet werden müsste und auf der anderen Seite im lokalen Netz landet. Leider funktioniert dies nicht.

Was mache ich hier falsch ?? Da der Tunnel an sich ja funktioniert - die VPN Nutzer lokal jeweils auch - dachte ich, dass ein Ergänzen durch eine weitere Phase 2 ausreichend ist.

Müssen noch Regeln angepasst werden oder übersehe ich was ? Wie Ihr auf den Bildern sehen könnt wird das Transfernetz (172.24.8.0/24) zwar auf der Statusübersicht in der Lobby angezeigt neben dem lokalen Netz - auf dem Status des Tunnels aber nicht.

Dies sind Bilder der eine OPNSense - die andere ist genau so konfiguriert - nur eben umgekehrt.

Ich bedanke mich schonmal für's Lesen und Eure Gedanken dazu.
February 23, 2022, 09:26:55 AM #9
Die Erweiterung der Phase-2-Einträge muss auf beiden Seiten des Tunnels identisch vorgenommen werden. IPsec funktioniert grundsätzlich nur, wenn beide Seiten zusammenarbeiten. Wenn Du auf den Router "am anderen Ende" aus politischen Gründen keinen Zugriff hast, kannst Du auf deiner Seite einstellen, was Du willst - es wird nicht funktionieren.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 23, 2022, 09:41:58 AM #10
Danke für die schnelle Antwort. Ich habe mich da vielleicht missverständlich ausgedrückt:

Ich habe auf beide Seiten vollzugriff. Habe hier nur exemplarisch 1 der beiden Seiten aufgezeigt. Die Einstellungen der anderen Seite habe ich hier mal angehängt.
February 23, 2022, 01:41:20 PM #11
Wenn ich das richtig gesehen habe, dann ist auf der einen Seite 172.24.8.0/24 gegen 10.0.0.0/21  und auf der anderen Seite 172.24.0.0/24 gegen 10.0.8.0/24. Wie @pmhausen schrieb müssen die Phase 2 Einträge identisch sein.
Was vrbirgt sich hinter "LAN" auf beiden Seiten ?
February 23, 2022, 02:00:30 PM #12
Ich habe diese "Zuweisung" der Anleitung entnommen. Also dass das lokale Netz Seite 1 durch den Tunnel in das lokale Netz Seite 2 geleitet wird und umgekehrt. Für mich bedeutet das (was offensichtlich falsch ist), dass was immer auch durch den Tunnel kommt muss auf das jeweils lokale Netz gebracht werden.

Ich versuche mich mal in der grafischen Darstellung:

Seite 1                                                         _______                      Seite 2:
lokales Netz: 10.0.0.0/21                             /             \             lokales Netz: 172.24.0.0/24
Transfernetz VPN: 10.0.8.0/24                  ---   Phase 1   ---       Transfernetz VPN: 172.24.8.0/24
Entferntes Netz (Seite 2): 172.24.0.0/24       \_______ /            Entferntes Netz (Seite 1): 10.0.0.0/21

Dies ist die Konfiguration die in der jeweiligen Phase 2 abgebildet ist. Also lokales und Transfernetz der einen Seite gehen BEIDE auf das lokale Netz der anderen Seite.

Vielleicht liegt da auch mein Denkfehler !

Was meint Ihr denn mit "identisch" ?? Laut der Anleitung wird immer "Ferne Subnetze" als das lokale Netz der Gegenseite eingetragen. Muss das Transfernetz nicht auf der anderen Seite ins lokale Netz ??

Hinter "LAN" verbirgt sich das lokale Netz jeder Seite.

Danke, dass ihr Euch überhaupt die Zeit nehmt. Offensichtlich hab ich da ein Brett vor dem Kopf oder ein grundsätzliches Verständigungsproblem
February 23, 2022, 02:04:35 PM #13
Man braucht beim Policy Based VPN kein Transfernetz.

Also einfach auf der einen Seite
lokales Netz: 10.0.0.0/21
Entferntes Netz: 172.24.0.0/24

und auf der anderen Seite:
lokales Netz: 172.24.0.0/24
Entferntes Netz: 10.0.0.0/21
Print
Go Up Pages1
User actions