(SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

[you]

Hi,

nach einigen Tests in der VM, bin ich Vorgestern von Sophos XG auf OPNSense Bare-Metal umgestiegen. Ich habe viel im Forum lesen können. Sehr angenehm zu sehen, wie Moderatoren, FW-Cracks (und solche, die es werden wollen) und Developer hier Unterstützung geben. Das ist eine Riesen-Hilfe und "fühlt" sich alles in allem nach einer guten Entscheidung an

Nachdem es bzgl. der FW Regeln Klick machte und ich nunmehr nach Belieben in Local administrieren kann ,  steht bei mir nur noch die VPN Verbindung von unterwegs an, um produktiv wieder alles Wesentliche am Laufen zu haben.

Ich habe mich an die beiden Anleitungen für Road Warriors via IPSec und OpenVPN gehalten. Ich kann mit beiden auch eine Verbindung etablieren (erkennbar auf dem mobilen Device und im Status von OpenVPN). Ich bekomme aber zum "Verrecken" keinen Zugang ins heimische Netz.

Meine Konfiguration im Überblick:

Internet:
Public IP -> Fritzbox (incl. Telefonie) 192.168.2.1 -> Portfreigaben ESP/500/4500/1194 (grün) -> 192.168.2.110 (static) WAN -> OPNSense ....

Local:
.... OPNSense <- LAN (10.10.10.1 in 10.10.10.0/24) / OPT2 (10.10.1.1 in 10.10.1.0/24)

DHCP läuft auf den Schnittstellen LAN und OPT2. DNS ist eingerichtet und funktioniert soweit gut. Intern, wie extern sowie Reverse lösen Anfragen sauber auf.

VPN:
IPSec (10.10.100.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.100.1 bei Connect zugewiesen
OpenVPN (10.10.0.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.0.6 bei Connect zugewiesen

Meine Präferenz wäre im Moment IPSec. Von daher möchte ich mich zunächst darauf konzentrieren. Vielleicht löst sich damit auch das Problem bei OpenVPN gleich mit

IPSec

Schnittstelle IPSEC hat folgende Regel:

IPv4 *   *   *   *   *   *      Allow IPSec to CLIENTS

Schnittstelle WAN hat folgende Regeln:

IPv4 ESP   *   *   WAN Netzwerk   *   *      IPSec ESP    
IPv4 TCP/UDP   *   *   WAN Netzwerk   500 (ISAKMP)   *      IPSec ISAKMP    
IPv4 TCP/UDP   *   *   WAN Netzwerk   4500 (IPsec NAT-T)   *      IPSec NAT-T

NAT (Automatische ausgehende NAT Regelgenerierung - (keine manuellen Regeln können verwendet werden) aktiviert)

Es gibt weder Portweiterleitungen, noch Eins-zu-Eins, noch NPT. Lediglich die folgenden zwei Regeln für Ausgehend.

WAN   127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24   *   *   500   WAN address   *   JA   Automatisch erstellte Regel für ISAKMP
WAN   127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24   *   *   *   WAN address   *   NEIN   Automatisch erstellte Regel

Interessanter Weise sehe ich in den Logs der Firewall/Regeln, dass Verbindungen vorgenommen werden wollen. Sowohl in Richtung DNS, als auch in Richtung Device im OPT2 Subnetz bspw. Ich habe auch schon automatische Regeln zur Freigabe dieser Anfragen gesetzt. Alles leider ohne Erfolg. Mit der Regel auf IPSEC ist ja eh alles offen (oder?).

Ich wäre für jeden Tipp dankbar, diese Verbingung zeitnah wieder nutzen zu können

Merci
you

[chemlud]

Dumme Frage: Warum hängt dieser Fritze VOR der opnsense?

[you]

Es gibt keine dumme Fragen

1) Fallback, falls mal wieder nix geht. Über die Fritze und deren WLAN gehts immer. Ist für den Hausfrieden wichtig
2) Telefonie (VoIP)
3) Gäste WLAN komplett außerhalb meines Netzwerkes (einfach, getrennt, nichts zu managen)

[chemlud]

Testhalber mal die Fritze raus und schauen? (Notfalls nachts um 3, wenn sonst der Familiensegen schief hängt.) IPsec ist meiner Erfahrung nach weniger robust als openVPN, also ggf. auch leichter zu debuggen....

[you]

Gute Idee. Exposed host in der Fritzbox einstellen sollte doch reichen? Dann sind ja alle Tore offen?

[you]

Mh ... noch mal einen Schritt zurück. OpenVPN scheint IPSec regelmässig vorgezogen zu werden. Das Einrichten auf den Clients ist mit den Profilen ja ein Kinderspiel.

Ich schraube jetzt mal alles zurück und setze mit OpenVPN neu auf. Clean install.

Eine Frage vorab:

Wenn ich den Tunnel im Prinzip herstellen kann. Bestätigt auf dem Device UND in OPNSense. Sollte ich dann die erste Hürde genommen haben und mich auf das Regelwerk der Firewall konzentrieren können ODER könnte trotzdem versteckt was am Tunnel falsch sein?

Meine Annahme. Der Tunnel steht. Mithin sind sowohl die Portfreigabe der Fritz als auch die Einstellungen auf Server und Client im Prinzip OK.

Merci

[chemlud]

1. openVPN konfigurieren auf Server und Client (ohne Fehler ;-) ich mach grundsätzlich "tun", peer to peer, von sense zu sense)

2. ich mache dann für die ersten Tests immer "allow all" auf dem Firewall Tab für openVPN

3. Eine outbound NAT rule für das Netz auf der anderen Seite des Tunnels (NICHT das tunnel network).

Dann mal schauen. Steht der Tunnel? Wer kann was pingen? Danach mehr...

"Mithin sind sowohl die Portfreigabe der Fritz als auch die Einstellungen auf Server und Client im Prinzip OK."

Frage an Radio Eriwan. Antwort "Im Prinzip: Ja..." :-)

[you]

Danke für Deinen Support, chemlud ...

Ich kann es nicht genau erklären. Aber jetzt gerade funktioniert es.

Das OpenVPN habe ich bereits mehrfach neu aufgesetzt. Mit dem Assistenten und den exportierten Profilen stand die Verbindung auch immer sofort. Die letzte Einstellung, die ich änderte (vorher den Server gestoppt) war, beide Subnetze für LAN und OPT2 im Feld "Lokales IPv4 Netzwerk" einzupflegen.

Ich schaue jetzt mal, wie stabil das Ganze ist.

Für den Moment (SOLVED) ... warum auch immer

[you]

Kurzes Update: Et lüppt nun. Damit ist meine Migration der wichtigsten Funktionen abgeschlossen. Ab jetzt kommt das Fine Tuning

[franco]

Moin you,

Danke für das positive Update. 


Grüsse
Franco

[you]

Ich danke der Community

2 Tipps noch für OpenVPN Neulinge:

1) Anlegen einer statischen IP für die Clients über Client-spezifische Konfigurationen möglich.

Wichtig für differenzierte Firewall/Zugriffsregelungen. Im Feld IPv4 Tunnelnetzwerk der client-spezifischen Konfiguration habe ich die IP als 10.10.0.xyz/24 für den User angelegt. Pro User eine eigene Konfiguration. Wichtig: Im Feld Common Name den Namen eintragen, der im User-Zertifikat hinter "CN= " steht. Die Zertifikate findet man unter System/Sicherheit/Zertifikate.

Nach dem Anlegen/Bearbeiten der client-spezifischen Konfiguration den Neustart des OpenVPN Servers nicht vergessen.

2) Damit der DNS auch lokale Namen auflöst muss im Unbound DNS noch die Zugriffsliste ergänzt werden. Den Hinweis habe ich hier gefunden: https://forum.opnsense.org/index.php?topic=6659.msg28685#msg28685 . Dank an Animosity022.