OpenVPN: Roadwarrior (Standalone Server) nicht aus dem LAN erreichbar

[hg73]

Hallo,


ich habe folgendes setup:

standalone server in entferntem Rechenzentrum mit public IP (88.xxx.xxx.xxx) - VPN IP 10.8.0.18

OpnSense 20.7.1 als Firewall vor LAN mit IP 192.168.0.0/24, Dual WAN Failover, OpenVPN lauscht auf WAN2.

Die Verbindung funktioniert, der standalone Server erreicht alle Rechner im LAN 192.168.0.xxx - allerdings funktioniert der Zugriff von den LAN Rechnern auf den Server über die IP 10.8.0.18 nicht.

Was fehlt mir? Route? Outbound NAT?

Ich bin neu bei OpnSense und relativ ratlos ;-)

Vielen Dank für Eure Hilfe.

Harald



OPNsense 20.7.1-amd64
FreeBSD 12.1-RELEASE-p8-HBSD
OpenSSL 1.1.1g 21 Apr 2020

[micneu]

Eine Firewall Regel, das ist nur eine Vermutung da ja deine Konfiguration nicht wirklich bekannt ist


Gesendet von iPhone mit Tapatalk Pro

[hg73]

[standalone server / Ubuntu / OpenVpn Client mit exportierter Config / 10.8.0.18] ---- Internet --- OpnSense Firewall --- LAN 192.160.0.x

OpenVPN Server Config
remote zugriff ssl / tls
wan2 / tun / udo 1194
tunnelnetzwerk 10.8.0.0/24
lokales ip v4 netzwerk 192.168.0.0/24
Inter-Client-Kommunikation

[lebernd]

Und was genau funktioniert (nicht)?
Wahrscheinlich fehlt im ersten Post ein ,,nicht" - oder?!

Hast du im Rechenzentrum noch eine andere private Schnittstelle konfiguriert?

Geht denn ein Ping auf die tun-Schnittstelle im RZ? Und andersherum?

[hg73]

ja sorry, es fehlt ein "nicht".

es funktioniert: 
- Zugriff vom Server im RZ über den Openvpn Tunnel auf die Firewall und alle Rechner im dahinter liegenden LAN.
- Zugriff von der OPNSense Firewall über den Tunnel auf den Server

es funktioniert NICHT:
- Zugriff der LAN Rechner über den Tunnel auf den Server

im Rechenzentrum ist nur die öffentliche IP definiert. Ping LAN -> Server geht nicht, Server -> LAN Rechner geht.

in einem ähnlichen Thread steht etwas von einer Outbound NAT Regel, damit komme ich allerdings auch nicht weiter
- aber im Prinzip ist mein Fall ähnlich
https://forum.opnsense.org/index.php?topic=6809.0

[lebernd]

Ok noch zwei Sachen:

1) ein LAN -> any rule gibt es - nehme ich an. Sollte das feiner sein, dann braucht es LAN -> openVPN

2) was zeigen die Routen so an? System - Route - Status?
V.a. wo erscheinen da Tunnel-IP Adressen.

Wenn ich den anderen Thread lese, dann läuft es auch eher auf eine fehlende Route hinaus...

Ach ich vergaß: interessant wäre auch mehr hierzu funktioniert:

Zugriff von der OPNSense Firewall über den Tunnel auf den Server

Wie wurde das getestet? Geht ein Ping vom LAN Interface der sense?

[hg73]

<gelöscht>

[hg73]

LAN Regeln auf allow:
IPv4 *    LAN Netzwerk    *    *    *    WAN_GW_Gruppe    *    Default allow LAN to any rule

da ich mir bei der Failover WAN_GW_Gruppe nicht sicher war, habe ich noch eine zusätzliche Regel vorangestellt:
IPv4 *    *    *    OpenVPN Netzwerk    *    *    *    

habe gerade schmerzlich festgestellt, dass ein ping aus der shell in der firewall auf den server nicht funktioniert.

Route Status:
Protokoll Ziel Gateway Markierungen Verwendung MTU Netzwerkschnittstelle Netzwerkschnittstelle (Name)
ipv4   default   80.xxx.xxx.69   UGS   560986   1500   re0   WAN2       
ipv4   8.8.8.8   91.xxx.xxx.89   UGHS   65505   1500   re1   wan       
ipv4   9.9.9.9   80.xxx.xxx.69   UGHS   23239   1500   re0   WAN2       
ipv4   10.8.0.0/24   10.8.0.2   UGS   4157   1500   ovpns1           
ipv4   10.8.0.1   link#8   UHS   0   16384   lo0   Loopback       
ipv4   10.8.0.2   link#8   UH   0   1500   ovpns1           
ipv4   80.xxx.xxx.68/30   link#1   U   307220   1500   re0   WAN2       
ipv4   80.xxx.xx.70   link#1   UHS   0   16384   lo0   Loopback       
ipv4   91.xxx.xxx.88/29   link#2   U   65549   1500   re1   wan       
ipv4   91.xxx.xxx.90   link#2   UHS   58   16384   lo0   Loopback       
ipv4   127.0.0.1   link#5   UH   24852   16384   lo0   Loopback       
ipv4   192.168.0.0/24   link#3   U   7337107   1500   re2   LAN       
ipv4   192.168.0.1   link#3   UHS   5054   16384   lo0   Loopback


danke für deine mühe!

[lebernd]

habe gerade schmerzlich festgestellt, dass ein ping aus der shell in der firewall auf den server nicht funktioniert.

Die GUI von opnsense ist da auch ganz hilfreich, da Du unter Interfaces - Diagnostics - ping auch einstellen kannst von welcher Adresse auf der sense der ping erfolgen soll. "shell in der firewall" ist ja wahrscheinlich auf LAN?

Tja, mein Latein... bald am Ende:
- Woher kommt die gepingte IP 10.8.0.18 ?? Wenn ich mir die Routen angucke würde ich 10.8.0.2 auf RZ-Seite erwarten.
- Wobei es dann auch die Frage ist, was die route 10.8.0.0/24 über die IP im RZ soll?

(Zu meiner Frage bzgl. einer weiteren privaten IP im RZ: ich mache das über eine virtuelle IP auf der Schnittstelle (eth0 wahrscheinlich) Alle Dienste, die ich über openVPN erreichen möchte laufen auf dieser virtuellen Adresse und nicht direkt auf der Tunnel-Adresse)

[lebernd]

und zur Firewall: probiere es doch einmal mit einer to any rule - zumindest bis es läuft:

IPv4 *    LAN Netzwerk    *    *    *    *    *    Default allow LAN to any rule

[hg73]

und zur Firewall: probiere es doch einmal mit einer to any rule - zumindest bis es läuft:

IPv4 *    LAN Netzwerk    *    *    *    *    *    Default allow LAN to any rule

Vielen Dank, das hat zumindest vorerst das Problem gelöst.

Ich nehme an, jetzt funktioniert das failover WAN durch die fehlende LAN Regel mit der GW Gruppe nicht mehr?
IPv4 *    LAN Netzwerk    *    *    *    WAN_GW_Gruppe    *    Default allow LAN to any rule

Laut Anleitung https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN benötigt man diese?

Was leider noch nicht funktioniert ist die Inter-Client Kommunikation zwischen den OpenVPN Clients ( Inter-Client-Kommunikation ist angehakt). Hast du eine Idee - benötigt man hier eine zusätzliche Regel?
In der OpenVPN Sektion habe ich folgende Erlauben-Regel aktiv:
IPv4 *    *    *    *    *    *    *