Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Open VPN Client erreicht IPSEC Tunnel nicht
« previous
next »
Print
Pages: [
1
]
Author
Topic: Open VPN Client erreicht IPSEC Tunnel nicht (Read 1438 times)
lapidu
Newbie
Posts: 24
Karma: 0
Open VPN Client erreicht IPSEC Tunnel nicht
«
on:
January 05, 2021, 12:40:52 pm »
Hallo zusammen,
ich greife über mein Handy mit OpenVPN auf die OPNSense zu. Ich komme auch ohne Probleme auf die lokalen Netze.
Gibt es eine Möglichkeit auf das Netz zu kommen das per IPsec VPN verbunden ist?
Danke.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Open VPN Client erreicht IPSEC Tunnel nicht
«
Reply #1 on:
January 05, 2021, 02:37:41 pm »
Hallo,
du musst mit statischen Routen und Firewall Regeln arbeiten.
Hinweg von OpenVPN zu IPsec:
Dem OpenVPN Client muss du vom OpenVPN Server mit der "push route" Option die Route in das IPsec Netz übergeben.
Dadurch kommen dann Pakete von deinem Handy, die als Destination Adress das IPsec Netz haben bei der OPNsense Firewall am OpenVPN Interface an. Hier wird eine Firewall Regel benötigt, die die Pakete von OpenVPN nach IPsec zulässt.
Die Opnsense Routet die Pakete dann durch die lokale Route in den IPsec Tunnel. Sie kommen beim Router der Gegenstelle an, welche die Pakete an das Zielgerät (z.B. RDP Protokoll an einen Windows PC) sendet. Auch hier kann eine Firewall Regel nötig sein, die das Paket erlaubt.
Rückweg von IPsec zu OpenVPN:
Der Client schickt jetzt ein Antwortpaket an das Default Gateway, also den Router an dem das IPsec Paket angekommen ist.
Das Antwortpaket benötigt jetzt auf diesem Router die Route zum OpenVPN Netzwerk zurück. Das Paket soll wenn es das Openvpn Netzwerk sucht, als nächsten Hop die Opnsense nehmen.
Dort trifft das Paket auf dem OpenVPN Interface ein. Die Opnsense schickt es durch die lokale Route weiter in das IPsec Interface. In der Opnsense ist eine Firewall Regel auf dem OpenVPN Interface nötig, die dieses Paket in das Ipsec Netz. zulässt, falls von beiden Seiten Sessions initiiert werden können sollen.
Das Paket kommt jetzt an deinem Handy an. Der TCP Handshake kann erfolgen und deine Session steht.
Logged
Hardware:
DEC740
lapidu
Newbie
Posts: 24
Karma: 0
Re: Open VPN Client erreicht IPSEC Tunnel nicht
«
Reply #2 on:
January 05, 2021, 03:22:01 pm »
Hallo Monviech,
vielen Dank für deine Antwort.
im OpenVPN Server habe ich folgendes hinzugefügt:
folgende Firewall Regel war schon automatisch erstellt
Auf der Fritzbox ( IPsec Gegenstelle ) habe ich folgendes in das config File hinzugefügt:
accesslist = "permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 172.22.32.0 255.255.255.0";
Die 172.22.32.0 ist das OpenVPN Netz
Leider funktioniert das nicht so.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Open VPN Client erreicht IPSEC Tunnel nicht
«
Reply #3 on:
January 05, 2021, 03:46:49 pm »
Jetzt müsstest du mithilfe von Tools wie TCP Dump, Wireshark oder einem anderen Packet Capture Tool die Pakete verfolgen. Und zwar an welcher Stelle sie nicht mehr weiterkommen.
Daraufhin kann man an der Stelle dann die Firewall bzw. Routingtabelle richtig einstellen.
Schaue dir an ob auf dem Client im IPsec Netz ein SYN Paket von deinem Handy Client ankommt oder nicht, und ob vielleicht das SYN ACK Paket nicht zurückkommt.
Auf der Opnsense in der Shell kannst du TCPdump benutzen um Pakete anzeigen zu lassen die auf Interfaces ankommen.
«
Last Edit: January 05, 2021, 03:49:47 pm by Monviech
»
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Open VPN Client erreicht IPSEC Tunnel nicht
