Gesamten mobile VPN über Tunnel routen

[pleibling]

Hallo,

ich habe eine mobile VPN Konfiguration welche zuerst "nur" den Zugriff auf mein internes Netz erlaubte - diese funktionierte einwandfrei.

Nun möchte ich jedoch den gesamten Verkehr über diese Verbindung leiten.

Dazu habe ich einen Hacken bei Redirect Gateway gemacht, welcher mir dann die Lokale Netze deaktiviert hat (was ja auch richtig ist). Weiterhin habe ich die Firewallregel angepasst - diese ist wie folgt:

Action: Pass
Interface: OpenVPN
Direction: In
IP Version: 4
Protocoll: Any
Source: VPN Network
Destination: Any
Portrange: Any
Log: Aktiviert

Wenn ich nun die Verbindung starte und eine externe Webseite auf dem Client aufmache und anschließend in die Logs schauen, dann sehe ich wie die DNS Anfragen an die Firewall ok (grün) sind - die HTTPS Anfragen, werden jedoch gar nicht erst angezeigt.

Habe ich noch was vergessen?
Gehen Sie Packete überhaupt ins VPN wenn diese nicht im Log angezeigt werden?

Danke für eure Hilfe.

[tiermutter]

Eigentlich solltest Du den erlaubten Traffic dort sehen... Teste doch mal mit einer IP Test Seite, mit welcher / welchen IPs Du im Internet unterwegs bist.
Was für ein Client verwendest Du? "Mobile" klingt nach Smartphone, welche App verwendest Du?
Je nach Einstellung in der App kann es sein, dass IPv6 Traffic ausßerhalb des Tunnels zugelassen wird, und der Traffic am VPN vorbeigeht.

[pleibling]

Danke dir für deine schnelle Antwort.

Leider bekomme ich bei aktiver Verbindung gar keine Webseiten auf dem Client mehr aufmachen. Ich bekomme nur noch die DNS Anfragen durch - alles andere geht nicht.

Client ist ein macOS, Software ist OpenVPN Client (aktuelle Version).

Wenn ich mir die Route ansehe, dann sehe ich die Default Route auf dem lokalen LAN Interface (ist das richtig? Irgendwie müssen ja die Pakete zum VPN Server kommen). Wenn ich eine Route von Hand eingebe auf ein Netz unseres RZ (webzugriff, nicht VPN) - dann sehe ich das die Pakete schon in die richtige Richtung gehen (Tunnel -> Transit Netz zuhause wo die OPNsense steht -> Internet).

Aber auch die Pakete werden nicht angezeigt.

Würde ich mal vermuten, das da wohl eine andere Regel greift - welche jedoch kein Logging aktiviert hat, oder?

[tiermutter]

Wie das alles bei Mac läuft und was es da zu beachten gibt weiß ich leider nicht...
Für Windows wäre es aber zB typisch, dass die default route nicht angetastet wird, sprich 0.0.0.0/0 wird ins lokale Netz geroutet, dafür werden aber Routen eingerichtet, die das mit höherer Prio umgehen. Diese Routen sind dann 0.0.0.0 /1 und 128.0.0.0/1. Hast Du diese Routen?

[pleibling]

Ich denke, da ist schon das Problem.

Ich habe eine Route von Hand eingerichtet auf unser externes RZ - wenn ich die mit HTTP/S aufrufen, dann kommst nichts - wenn ich die jedoch mit SMTP aufrufen, dann bekomme ich eine Verbindung und diese wird mir auch im Log angezeigt.

Somit habe ich wohl zwei Probleme:

• Route ist nicht gesetzt (müsste die nicht über die ovpn Datei gesetzt werden?)
  Eine HTTPS Regel ohne Logging greift und filtert

Immerhin schon mal zwei Ansatzpunkte.

[tiermutter]

Durch die Option "redirect gateway" wird ja nunmal die Option "redirect-gateway" gepusht, demnach sollte es entsprechende Routen geben.
Diagnose über Regeln ist zwar optisch ganz nett, aber je nach Umfang nicht immer zielführend... hier hilft eventuell ein packet capture, aber ohne entsprechende Routen wird ja nichts bei der Sense ankommen, daher müsste man das wohl erstmal am Mac machen.
DNS wird bei der Sense sicherlich ankommen, weil diese als DNS Server angegeben ist und solch eine Route (ins LAN bzw. VPN selbst) sicherlich exisitert.

[pleibling]

Danke für deine Hilfe, werde ich mir mal anschauen.