OPNsense kann selber nicht auf OpenVPN Tunnel zugreifen

[pleibling]

Hallo, ich kenne mich noch nicht so sehr mit der OPENsense aus - mit den anderen Firewalls, die ich zuvor genutzt hatte, hatte ich auf der Firewall, wenn ich einen Tunnel einrichte auch selber direkt auf den Tunnel zugreifen konnte, nicht jedoch so die OPNsense.

Hintergrund ist, ich habe zwei Netze (Home und RZ). Von den Servern aus kann ich auf die entsprechenden Ressourcen in beiden Netzen zugreifen. In dem Homenetz habe ich meinen WAZUH Server (SIEM). Die Server im RZ können ohne Probleme auf meinen Wazuh Server zuhause zugreifen. Die OPNsense im RZ jedoch nicht, ich wäre davon ausgegangen das die OPNsense auch auf Wazuh zugreifen kann.

Was aber nicht so ist, das VPN und Firewallregeln haben die interne IP der Firewall mit eingebunden. Alles kann problemlos auf Wazuh zugreifen, nur die OPNsense im RZ nicht.

Die Meldung, die ich bekomme ist: ERROR: (1208): Unable to connect to enrollment service at '[192.168.x.x]:1515' (x sind von mir!)

Auf der Shell kann ich weder den Wazuhserver noch die anderen Hosts im Homenetz pringen, ein Tracroute kommen schon sternchen schon nach dem ersten Knoten, die IP vom Tunnel kann ich jedoch pingen. Ein "nc ip 1515" bringt genauso wenig details, auch nicht zu anderen Ressourcen im Home Netz.

Für mich sieht es irgendwie so aus, als wenn die OPNsense selber zwar den Tunnel aufbaut - jedoch nicht selber darauf zugreifen kann.

Ist das Verhalten normal oder muss ich erst noch was einrichten?

Bei der Sophos UTM war das immer problemlos möglich (habe von der UTM zu OPNsense gewechselt).

Danke für eure Hilfe :).

[Patrick M. Hausen]

Die OPNsense muss eine Source-Adresse verwenden, die auch im Tunnel ist. Also z.B. bei deinem Service angeben, dass die LAN-Adresse genommen werden soll.

Oder dem Tunnel selbst ein Transfer-Netzwerk geben und diese natürlich auf beiden Seiten zum Bestandteil des Tunnels machen.

[pleibling]

Die OPNsense muss eine Source-Adresse verwenden, die auch im Tunnel ist. Also z.B. bei deinem Service angeben, dass die LAN-Adresse genommen werden soll.

Oder dem Tunnel selbst ein Transfer-Netzwerk geben und diese natürlich auf beiden Seiten zum Bestandteil des Tunnels machen.

Vielen lieben Dank für deine schnelle Antwort. Daraus ergeben sich ein paar Fragen:

a) Verwendet die OPNsense ausgehend die LAN Adresse für die eigenen Plugins (sofern man nichts auswählen kann - bei Unbound DNS kann ich ja einstellen, welche Netze genutzt werden soll - aber nicht beim Wazuh Agent Plugin)?
b) Ist das Transfernetz ist doch das "IPv4 Tunnel Network", oder?
c) Von der OPNsense im RZ kann ich die lokale Tunnel IP Pingen, nicht jedoch die Tunnel IP von der Remoteseite (OPNsense Home) - wenn ich jedoch einen Server aus dem RZ Netz nehme, kann ich die Remote Seite jedoch pingen). Muss ich hier noch was anpassen?

Hast du vielleicht sogar ein Beispiel oder ein Link dazu? Habe im Web und in der Doku nichts gefunden - vielleicht habe ich aber auch nur falsch gesucht :(.

Danke dir vielmals.

[Patrick M. Hausen]

a) Verwendet die OPNsense ausgehend die LAN Adresse für die eigenen Plugins (sofern man nichts auswählen kann - bei Unbound DNS kann ich ja einstellen, welche Netze genutzt werden soll - aber nicht beim Wazuh Agent Plugin)?

Nein, jeder Unix-Host verwendet immer die Adresse des Interfaces, über das das Ziel geroutet wird. Es sei denn, man kann dem jeweiligen Service eine dedizierte Source-Adresse konfigurieren.

b) Ist das Transfernetz ist doch das "IPv4 Tunnel Network", oder?

Wahrscheinlich - ich benutze für Site-2-Site nur WireGuard oder IPsec.

c) Von der OPNsense im RZ kann ich die lokale Tunnel IP Pingen, nicht jedoch die Tunnel IP von der Remoteseite (OPNsense Home) - wenn ich jedoch einen Server aus dem RZ Netz nehme, kann ich die Remote Seite jedoch pingen).

Wie sehen denn auf den jeweiligen Seiten die eingehenden Firewall-Regeln für das VPN aus? Wenn du dort nur das gegenüberliegende LAN erlaubst, musst du wahrscheinlich das Tunnel-Netz ebenfalls freigeben.

HTH,
Patrick