Openvpn Site2Site Tunnel mit oder ohne Outbound NAT Rule

[semi]

Hallo,

ich bin gerade dabei einen neuen Site2Site  VPN-Tunnel mit OpenVPN - Instances aufbauen.

Ziel ist es 2 Netzwerke zu verbinden bzw. einzelne Hosts gegenseitig erreichbar machen.

Subnetz A - (OpenVPN Instance Server): 172.16.100.0/24, Tunnel Netzwerk: 10.0.2.0/24
Subnetz B - (OpenVPN Instance Client) : 192.168.0.0/24

Die VPN zwischen den Opnsense Firewalls funktioniert soweit, allerdings nicht von den Geräten in den Geräten selbst.

Der Traffic wird aber nur geroutet wenn ich auf beiden Seite eine Outbound NAT Rule am jeweiligen VPN Interface setze. Dann funktioniert es aber führt zum unangenehmen Nebeneffekt dass als Source IP nicht die IP des Clients im jeweiligen Netz sondern die IP aus dem Tunnel Netz verwendet wird.  Ich hätte gerne das die Netze mit ihren jeweiligen IPs kommunizieren.

Braucht man bei einem Site2Site Tunnel via OpenVPN Instance prinzipiell Outbound Rules um zwischen den Netzen zu routen?

Die Firewalls sind auf Manual Outbound Rule Generation eingestellt.

Hat jemand Hinweise?

Danke vorab.

lg

[viragomann]

Grundsätzlich sollte am Server ein Client Specific Override konfiguriert werden.

Wenn du aber nur einen einzigen Client mit dem Server verbinden möchtest, kannst du es dir einfacher machen und dem Tunnel ein /30 Maske geben.
Dann ist nur ein Client möglich und den CSO kann man sich ersparen.

Anm: Könnte aber sein, dass dies Probleme mit zukünftigen OpenVPN Features bereitet.

[semi]

Danke für die Antwort.

Ich will mehrere Hosts über den Tunnel verbinden. Ein /30 wird hier nicht reichen.

Ich will erreichen dass die jeweilige Host IP aus dem jeweiligen Subnetz als Source IP verwendet wird.

Das darf es wohl kein NAT geben. Werden die Routen dann mit CSO richtig gesetzt?

[viragomann]

Ja, du musst für jeden Cient einen CSO erstellen und da die entsprechenden Client-seitigen Subnetze (Remote Network) angeben.

In den Server-Settings müssen alle Client-seitigen Netze eingetragen werden.

[Patrick M. Hausen]

Das /30 brauchst du für das Transfernetz zwischen den beiden Sensen. Und dann natürlich wie schon beschrieben die entsprechenden Routen zu den tatsächlichen LANs. Die fehlen wohl noch, deshalb klappt es im Moment nur mit NAT.

[semi]

Hallo,

Danke für die Antworten!

Nach nochmaliger Prüfung der Subnet Settings + Client Overrides funktioniert das VPN nun auch ohne NAT und mit den echten IPs ;-)

Das einzige was noch komisch ist, ist dass laut Firewall Logs sder Traffic bei einem Ping von Site A zu Site B zwar über das jeweilige VPN Interface rausgeht aber auf Site B nicht am jeweils anderen VPN Interface reinkommt, sondern am LAN Interface. Ist das normal? Umgekehrt von Site B zu A ist es auch so. Für beide VPN-Seiten ist jeweils ein Interface zugeordnet.  Hat hier jemand noch einen Input?