[Erledigt] Zwei Netzwerke via openVPN Client auf der opnSense mit einem Dritten.

[inkasso]

So langsam verzweifle ich, weil ich das Problem auch irgendwie nicht (be-)greifen kann...

Ich habe eine Reihe von privaten Netzen auf der opnSense. Zweien davon soll der Zugriff auf ein Drittes möglich sein, dass über einen openVPN client, der auf der Sense läuft, angebunden wird.

Lokale Netze u.A.
10.10.0.0/16
10.20.0.0/16

entferntes Netz
192.168.40.0/24

VPN Konfiguartion auf Sense Seite
Peer to Peer
UDP
tun
WAN Interface

Peer: ***.***.***.*** : 1194

Benutzername + Passwort (sind korrekt)

TLS Auth: disabled
TLS Shared Key: autmatically generate a shared TLS authentication key
Peer CA: (hab das Fremd-CA-Zertifikat in die Sense importiert und ausgewählt)
Client Cert: (hab dem Client auf der Fremd CA eins ausgestellt und in die Sense importiert und ausgewählt)
Encryption: AES-128-CBC (128,128) (wird von der Gegenseite so vorgegeben)
Auth Digest: SHA1

Tunnel v4 Network: 192.169.99.0/24
Remote v4 Network: 192.168.40.0/24

Compression: no Preference
(alle nicht angegebenen Parameter sind leer oder aus)

automatische Routen (die, bei denen ich Relevanz vermute)
Proto  Destination   Gateway Flags Use MTU Netif Netif (name) Expire
ipv4   192.168.40.0/24   192.168.99.49   UGS   NaN   1500   ovpnc2           
ipv4   192.168.99.0/24   192.168.99.49   UGS   NaN   1500   ovpnc2           
ipv4   192.168.99.49   link#30   UH   NaN   1500   ovpnc2           
ipv4   192.168.99.50   link#30   UHS   NaN   16384   lo0   Loopback       

Das Problem

Die VPN Verbindung wird erfolgreich aufgebaut. Von der Sense aus kann man problemlos den einzigen Computer im Zielnetz hinter der Firewall pingen, sofern man bei Source Address "Default" stehen lässt. Stellt man auf eins der Netzwerke, die die VPN Verbindung nutzen können sollen, kommt nichts an Rückmeldung.

Was noch verrückter ist: Manchmal funktioniert es so wie es soll und manchmal nicht. Ich habe aber noch nicht rausbekommen, ob/was sich da ändert, denn an der Konfiguration wird normal gar nichts gemacht. Und wenn es läuft, läuft es gewöhnlich über Wochen gut, bis mal wieder ein Moment kommt, ab dem es dann nicht mehr geht.

Erschwerend hinzu kommt, dass ich das ganze VPN Thema in Verbindung mit Firewalls irgendwie nicht ganz in meinen Kopf bekomme und mir dann bei einidgen Dingen nicht sicher bin. Es fühlt sich für mich so an, als ob die Verbindung "an der Firewall vorbei" geht. Von meiner Erwartung hätte ich eine VPN Verbindung wie eine WAN Verbindung behandelt und genau wie bei WAN Verbindungen Firewall-Regeln erstellt.

Die Gegenseite befindet sich in einem Rechenzentrum mit selbst konfigurierbaren virtuellen Maschinen. Sie wird fremd betreut und Voraussetzung für die Betreuung ist, dass man eben deren bevorzugte Firewall einsetzt. Deswegen läuft auf der Gegenseite auch keine Sense sondern eine Untangle. Ist furchtbar umständlich und langsam finde ich.

Bevor ich mich aus dem Fenster lehne und parallel einen weiteren virtuellen Server aufzuziehen versuche, auf dem dann eine Sense läuft, möchte ich ein letztes Mal versuchen, dieses Problem in den Griff zu bekommen, ohne die FW auf der Gegenseite zu tauschen. Auch, weil ich keine Ahnung habe, ob die Sense überhaupt auf diesen virtuellen Servern laufen wird.

Hab ich irgendwas vergessen?
Jemand eine Idee, was ich probieren kann?

[micneu]

Also wenn du dich damit schwer tust (Firewall usw.) und es ja im geschäftlichen Umfeld ist nimm dir doch einen Dienstleister der die da unterstützt. Wir haben auch schon oben Dienstleister der uns unterstützt (sogar hier aus dem Forum) gerne eine PM wenn du einen Kontakt zu der Firma haben möchtest


Gesendet von iPhone mit Tapatalk Pro

[inkasso]

Danke, den Wink mit dem Zaunpfahl hab ich verstanden.

Grundsätzlich habe ich schon eine Firma, die mich darin kompetent - und inzwischen auch kostenpflichtig, weil die sense haben wir schon ne Weile im Betrieb - beraten kann. Bevor ich sowas mache, frag ich aber trotzdem nochmal so nach, weil es ja auch was offensichtliches sein kann für das ich gerade betriebsblind bin und dann würde ich mich ärgern, dafür ne Leistung eingekauft zu haben.

Ich hab mir inzwischen mal die Mühe gemacht - weil es mich sowieso gereizt hat - das als Anlass zu nehmen, einen parallelen Server mit einer Sense aufzuziehen. Nun - nach einigem Gebastel (aktuelle Version geht nicht, weil da wohl ein Problem mit der Hardwareerkennung im Kernel existiert) - hatte ich den am Laufen. VPN eingerichtet. Verbindung klappt - gleiches Problem. Es liegt also nicht zwangsläufig an den unterschiedlichen FWs.

Allerdings hab ich danach tatsächlich einen "Tomaten auf den Augen" Fehler gesehen, nachdem ich mich nochmal hingesetzt hab und der Sache per Packet Capture auf den Grund gehen wollte. Ich wunderte mich, warum die Anfragen über das falsche WAN Interface gehen - da konnten sie nicht beantwortet werden - und fand heraus, dass ich eine Regel brauche, die den VPN Verkehr durch das richtige Gateway schickt, denn der normale Internet-Traffic wird bei uns durch ein festgelegtes Gateway geschoben.

Kaum war die Regel da, klappte es wieder. Und dann auch wieder nicht. Ich hab jetzt aber ein anderes Verhalten, mit dem ich mich selber weiter beschäftigen kann. Nur soviel: CIFS Verbindungen zum Zielserver funktionieren immer erst, wenn man es 2x mit unterschiedlichen Protokoll-Versionen versucht. Die erste Anfrage scheitert immer - die zweite klappt.

Ich betrachte das Thema als gelöst. Danke an alle die mich gelesen haben!