Probleme mit Routing / OpenVPN Site2Site

[ClemensV]

Hallo Zusammen,

ich versuche mittlerweile schon seit mehreren Tagen eine OpenVPN S2S Verbindung zwischen zwei OPNSense Firewalls herzustellen.

Ich habe folgendes Szenario:
- OPNSense 20.7 als Client auf einer ausrangierten Sophos Firewall Appliance
- OPNSense 20.7 als Server auf einer VM in einem Rechenzentrum mit public IP

Ich möchte von allen Geräten, die an der Sophos Box angeschlossen sind auf alle Geräte im LAN hinter der VM verbinden können.

Im Anhang habe ich noch einen Netzplan angehängt.

Client Config:

dev ovpnc1
verb 11
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-client
cipher AES-256-CBC
auth SHA3-512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 192.168.10.55
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote ##.##.##.## 1194
ifconfig 10.0.8.2 10.0.8.1
auth-user-pass /var/etc/openvpn/client1.up
route 192.168.17.0 255.255.255.0
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
comp-lzo adaptive

Server Config:

dev ovpns1
verb 11
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local #.#.#.#
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php serv
er1"
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
ifconfig 10.0.8.1 10.0.8.2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'OpenV
PNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.17.0 255.255.255.0"
route 192.168.16.0 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096.sample
comp-lzo yes
topology subnet

Hier noch die Routing-Tabellen:
Server:

Internet:
Destination        Gateway            Flags     Netif Expire
default            #.#.#.#     UGS      vtnet0
10.0.8.0/24        10.0.8.2           UGS      ovpns1
10.0.8.1           link#7             UHS         lo0
10.0.8.2           link#7             UH       ovpns1
#.#.#.#/29  link#1             U        vtnet0
OPNsense           link#1             UHS         lo0
localhost          link#4             UH          lo0
192.168.16.0/24    10.0.8.2           UGS      ovpns1
192.168.17.0/24    link#2             U        vtnet1
OPNsense           link#2             UHS         lo0

Client:

Internet:
Destination        Gateway            Flags     Netif Expire
default            192.168.10.1       UGS         em2
dns.google         00:1a:8c:13:56:f5  UHS         em2
10.0.8.0/24        10.0.8.1           UGS      ovpnc1
10.0.8.1           link#9             UH       ovpnc1
10.0.8.2           link#9             UHS         lo0
localhost          link#6             UH          lo0
192.168.10.0/24    link#3             U           em2
192.168.10.10      00:1a:8c:13:56:f5  UHS         em2
OPNsense           link#3             UHS         lo0
192.168.16.0/24    link#4             U           em3
OPNsense           link#4             UHS         lo0
192.168.17.0/24    10.0.8.1           UGS      ovpnc1

-Die VM mit der Adresse 192.168.17.23 lässt sich von der Client-Firewall anpingen
-Server-FW lässt sich von Client-FW anpingen
-Client-Firewall lässt sich von Server-FW nicht anpingen

Firewall Regeln wurden auf beiden Seiten Any-Any für jeweils LAN und OpenVPN Interface angelegt.

Kann mir evtl. jemand bei dem Problem helfen?

Viele Grüße,
Clemens

[Gauss23]

Du brauchst auf der Serverseite einen client specific override, um die remote Route auch einem Client zugeordnet wird.

[ClemensV]

Hallo Gauss23,

EDIT: Ich habe im Forum einen weiteren Beitrag gefunden. Nachdem im als Client Override das Remote Netzwerk eingetragen habe, geht alles wie gewünscht.

vielen Dank für den Tipp.
Ich habe mich etwas über das Thema informiert, allerdings funktioniert es noch nicht korrekt.
Was muss denn genau für den Client überschrieben werden? Aktuell habe ich die IP fix gesetzt, das funktioniert auch wunderbar.

Dabei sind mir noch zwei weitere Fragen aufgekommen:
- Option "Duplicate Connections" ein oder aus? (bei nicht gesetztem Haken bekommen ja alle Clients die selbe IP Adresse)
- Option "Topology" aktivieren oder deaktivieren?

Viele Grüße und Danke im Voraus,
Clemens