OPenVPN Routing Problem / Default GW Problem

Started by fw115, August 04, 2025, 05:48:30 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
August 06, 2025, 11:31:24 AM #30 Last Edit: August 06, 2025, 11:39:38 AM by fw115
Ich kann von dem Host hinter dem DMZ Interface nach außen pingen , kann auch www.heise.de pingen auf diesem host.

Warum aber, wenn ich von extern an diesen Host, dass Firewall Interface usw. pinge, keine Antwort zurück kommt, kann ich nicht
erklären bzw. das Problem finden.

Scheinbar findet die Route nicht zurück über mein Interface VPN_Leg und geht über das Default GW WAN, warum kann ich allerdings nicht sagen.
Auch nicht wie ich das ändern müsste.

Feste Route setzten hat nicht gebracht
explizites GW sezten hat nichts gebracht
Möglichweiser Fehler eingebaut, die ich nicht als solche erkenne.
Nehme ich den Haken raus bei "don't pull routes" setzt er das Default GW auf das VPN und aller Traffic geht über VPN. Logisch ping geht sofort.
Aber nicht wirklich das Ziel.
Irgendwo verbocke ich das mit dem Routing.
Etwas Ratlos.

August 06, 2025, 02:35:33 PM #31
Quote from: fw115 on August 05, 2025, 11:41:32 PMKeine Echo Replies sichtbar > der Antwortverkehr geht nicht über ovpnc1 zurück
Es kommt keine Antwort , egal was ich an Rules wo einstelle.

Ich habe keinen Plan was ich noch machen soll und wie.
Auch die feste Angabe in den Advanced Einstellungen der Rules hat keine Veränderung gebracht
Das die Echo Repliess nicht am VPN zu sehen sind, hatte ich erwartet. Die werden von der Floating Regel durchgelassen, und was für Floating Regeln gilt, siehe weiter oben.

Erwähnen möchte noch, dass Floating und Gruppen-Regeln Vorrang gegenüber Interface Regeln haben. Daher ist es notwendig, dass solche Regeln für den eingehenden Traffic nicht zutreffen.

Quote from: fw115 on August 05, 2025, 11:41:32 PMHier mal ein Capture auf WAN > VLAN132
Was ich hier aber nicht verstehe ist, warum da dieselben Echo Requests am WAN zu sehen sind. Die sollten doch zum VPN Provider geroutet werden.

Quote from: fw115 on August 06, 2025, 11:31:24 AMScheinbar findet die Route nicht zurück über mein Interface VPN_Leg und geht über das Default GW WAN, warum kann ich allerdings nicht sagen.
Auch nicht wie ich das ändern müsste.
Wie erwähnt, dafür dass die Antwortpakete zum richtigen Gateway zurück gehen, muss reply-to sorgen.
Alles was es meines Wissens diesbezüglich zu konfigurieren und zu überprüfen gilt, hatte ich bereits erwähnt. Ob du es auch gemacht hast, weiß ich nicht. In deine Rückmeldungen gehst du ja nicht auf alle Punkte ein.
Ich kann dir nur sagen, normalerweise funktioniert das so problemlos.

Hast du auch schon bei reply-to das VPN Gateway explizit gesetzt und dich überzeugt, dass die Regel überhaupt zutrifft.
Fragen, die ich schon mehrfach gestellt habe.

Ansonsten könnte vielleicht als allerletzter Ausweg eine Dirty Lösung funktionieren. Habe ich aber noch nie gemacht und daher keine Erfahrung:
In jeder einzelnen Policy-Routing Regel am VPN Interface den "State Type" auf "sloppy" setzen.
Hier gilt aber wieder, die Regel muss auch zutreffen und Floating und Interface-Gruppen (bspw. OpenVPN) Regeln haben Vorrang.
August 06, 2025, 02:48:58 PM #32
Quote from: viragomann on August 06, 2025, 02:35:33 PMWie erwähnt, dafür dass die Antwortpakete zum richtigen Gateway zurück gehen, muss reply-to sorgen.
Alles was es meines Wissens diesbezüglich zu konfigurieren und zu überprüfen gilt, hatte ich bereits erwähnt. Ob du es auch gemacht hast, weiß ich nicht. In deine Rückmeldungen gehst du ja nicht auf alle Punkte ein.
Ich kann dir nur sagen, normalerweise funktioniert das so problemlos.

Was keine böse Absicht ist. Ich habe einfach den Überblick verloren.
Ich habe gestern 6 Std. damit verbracht und gar keinen Plan mehr wo ich bin, was ich gemacht habe und ob das was ich gemacht habe richtig ist.
Zuviel Bastelei und das trotz der Hilfe.

Was müsste ich den Posten, damit ihr in der Lage seid zu prüfen, ob das was ich so eingestellt habe, so ist wie ihr das erwarten würdet ?
Oder einfach mal die config.xml der opnsense per PN an einen von euch (sofern Zeit und Nerv)?

Ich dreh mich einfach im Kreis.
August 06, 2025, 03:17:27 PM #33
Zum Stammtisch kommen und jemanden live drauf gucken lassen. Für eine extra Sitzung außerhalb des Freitagabends habe ich im Moment keine Zeit, sorry.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 06, 2025, 03:24:50 PM #34
Quote from: Patrick M. Hausen on August 06, 2025, 03:17:27 PMZum Stammtisch kommen und jemanden live drauf gucken lassen. Für eine extra Sitzung außerhalb des Freitagabends habe ich im Moment keine Zeit, sorry.

Joa, dann werd ich mal am 22.08 vorbei schauen.
Print
Go Up Pages 1 2 3
User actions