Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
geloest: OpenVPN Routing Problem 2 Tunnel
« previous
next »
Print
Pages: [
1
]
Author
Topic: geloest: OpenVPN Routing Problem 2 Tunnel (Read 7224 times)
Matzke
Jr. Member
Posts: 73
Karma: 2
geloest: OpenVPN Routing Problem 2 Tunnel
«
on:
September 15, 2016, 04:03:23 pm »
Hallo,
ich habe eine kleine Frage. Anbei kurz meine Konfiguration:
Ich habe ein internes Netzwerk, ein WAN sowie ein OpenVPN-Roadwarrior-Dialin Netzwerk
Zwischen diesen funktioniert alles wunderbar.
Jetzt habe ich noch ein OpenVPN-Site-to-Site(S2S) Link eingerichtet. Ich komme von meinem internen LAN durch den Tunnel auf das Netzwerk der S2S Gegenseite.
Leider komme ich aber von meinem Roadwarrior-VPN lediglich auf mein internes Netzwerk sowie mein WAN, die Subnetze, die sich hinter dem S2S befinden sind jedoch leider nicht erreichbar (also quasi Routing von Roadwarrior Dial-In durch das S2S-VPN).
Was komisch ist - auf der anderen Seite der S2S ist ein identisch eingerichtetes Szenario auf der pfSense vorhanden. Wähle ich mich dort als Roadwarrior ein, komme ich in alle Subnetze und auch durch die Tunnel - da ich beides eigentlich gleich konfiguriert habe, weiß ich nicht mehr, wo ich bei OPNSense suchen soll. Eigentlich müsste es gehen oder ich sehe den Wald vor lauter Bäumen nicht.
Hat jemand eine Idee oder einen Vorschlag?
Vielen Dank für die Hilfe.
«
Last Edit: September 23, 2016, 11:44:51 am by Matzke
»
Logged
awi
Newbie
Posts: 3
Karma: 0
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #1 on:
September 16, 2016, 09:59:31 pm »
Ähnliches Problem, nur mit VLANs...
https://forum.opnsense.org/index.php?topic=3665.0
Logged
Matzke
Jr. Member
Posts: 73
Karma: 2
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #2 on:
September 19, 2016, 11:34:12 am »
Hallo,
hat keiner eine Idee, woran es liegen könnte.
Im Log kann ich noch folgendes finden:
GET INST BY VIRT: 192.168.11.XX [failed]
192.168.11.XX ist dabei die Zieladresse, welche durch das Site-2-Site vorhanden sein sollte.
Alle PCs am LAN-Interface kommen auch auf diese Adresse, lediglich meine OpenVPN-Roadwarrior kommen nicht dorthin.
Es scheint gerade so, dass Openvpn intern nichts von "dem anderen" Tunnel weiß.
Logged
chemlud
Hero Member
Posts: 2485
Karma: 112
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #3 on:
September 19, 2016, 12:31:50 pm »
Hier gibt's dazu etwas (wenig)... ;-)
https://openvpn.net/archive/openvpn-users/2005-03/msg00083.html
Ich würde mal überall schauen, ob alle nötigen Routes vorhanden sind. Bekommen denn alle S2S Router alle (!) nötigen Netzwerke reingedrückt in der Config? Ggf. nochmal push route probieren.
Ohne die detailierten Configs ist das aber alles fortgeschrittenes rühren im Nebel :-D
«
Last Edit: September 19, 2016, 12:36:38 pm by chemlud
»
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Matzke
Jr. Member
Posts: 73
Karma: 2
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #4 on:
September 21, 2016, 09:09:50 am »
Hallo,
den Link habe ich auch schon gefunden - leider hilft er nicht wirklich weiter.
Die Routen sind meines Erachtens vollkommen richtig gesetzt, da:
- ich von meinem LAN-Interface in beiden Open-VPN-Tunnelenden problemlos komme (also müssten alle Routen stimmen)
- ich vom Roadwarrior in mein LAN-Netz komme
- ich von der OpenVPN-S2S-Seite auch auf mein LAN-Netz komme
Lediglich Roadwarrior zu S2S funktioniert nicht, gerade so, als ob OpenVPN intern die beiden Tunnel nicht kennt. Es scheint ja auch OpenVPN die Pakete abzulehnen, bevor sie weiter per Firewall/Routing verarbeitet werden.
Hat noch jemand eine Idee - es scheint ja ein systematisches Problem / Bug von OpnSense zu sein. Hilft es, die Frage im englischen Teil zu stellen?
Ich weiß wirklich nicht mehr weiter und schwanke schon, wieder zurück zu pfSense gehen zu müssen (wollte eigentlich alle Systeme Stück für Stück auf OpnSense migrieren).
Vielen Dank
Logged
chemlud
Hero Member
Posts: 2485
Karma: 112
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #5 on:
September 21, 2016, 11:51:33 am »
..."meinen" ist eine Sache, eine routing table mit allen Routen etwas ganz anderes. ;-)
Photos or it didn't happen :-D
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Matzke
Jr. Member
Posts: 73
Karma: 2
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #6 on:
September 21, 2016, 04:12:56 pm »
Hallo,
anbei die Routen, obwohl ich mir sicher bin, dass sie stimmen müssen. Wenn die Routen nicht stimmen, dürfte ich ja sonst von keinem anderen LAN-PC in andere Subnetze und zurück kommen - d.h. indirekter Beweis.
Aber der Vollständigkeit halber, als Anhang das PNG.
Subnetz 50,11,49 ist nicht von 47 erreichbar jedoch erreichbar von 52
Logged
Zeitkind
Full Member
Posts: 180
Karma: 27
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #7 on:
September 21, 2016, 09:51:56 pm »
Kriegt der RW auch _alle_ Netze gepusht?
Logged
Matzke
Jr. Member
Posts: 73
Karma: 2
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #8 on:
September 22, 2016, 04:26:46 pm »
Leider bekommt er auch alle betroffenen Netze gepusht - es funktioniert auch, da OpenVPN ja die Fehlermeldung abwirft und somit auch das betreffende Paket sieht.
Logged
Matzke
Jr. Member
Posts: 73
Karma: 2
Re: OpenVPN Routing Problem 2 Tunnel
«
Reply #9 on:
September 23, 2016, 11:44:28 am »
Hallo,
das Problem ist gelöst - ich wäre fast noch verrückt geworden.
Es ist ziemlich unlogisch (naja, es ist aber zumindest dokumentiert), aber ich muss auf der Gegenseite des S2S (also auf der pfSense) ein Client-Override einstellen. In diesem muss ich alle Subnetze (hier im Beispiel 52,53,47) als iroute mitgeben, so dass meine lokale opnsense ihre eigenen Routen intern bekannt gemacht werden.
Was ich dabei übersehen hatte - einen solchen Override hatte ich vor Jahren schon angelegt, dort aber leider nur das 52er Subnetz eingetragen (deshalb haben ja 30% funktioniert) :-)
Also an alle, die dieses Problem auch haben könnten:
An der
Gegen
seite (also Serverseite, nicht Clientseite) die passenden Iroutes per Client-Override mitgeben.
Normale "route" und "push route" beidseitig richtig definiert
genügen nicht
.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
geloest: OpenVPN Routing Problem 2 Tunnel