Traffic vom VPN will nicht in die DMZ

Started by prahn, February 04, 2021, 12:24:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 04, 2021, 12:24:39 AM
Ich stelle gerade unser Firmen-Netzwerk von einer Zywall auf eine OPNsense um, läuft alles prima soweit.
Mein Home-Office ist per FritzBox über IPsec VPN verbunden, habe ich auch heute Abend ohne Probleme zum Laufen gebracht.
Aber ich bekomme keinen Traffic über das VPN in die DMZ... kann jemand helfen?

Aufbau wie folgt:

OPNsense
LAN 192.168.1.0/24
DMZ 192.168.2.0/24

FritzBox
FB-LAN 192.168.4.0/24

Der Traffic von LAN zu FB-LAN läuft in beiden Richtungen.
Der Traffic von DMZ zu WAN und LAN auf der OPNsense läuft auch, soweit von meinen Firewall-Regeln erlaubt.
Firewall-Allow-Regeln für die Verbindung FB-LAN zu DMZ sowie DMZ zu FB-LAN habe ich auch angelegt.
Im Firewall-Log sehe ich auch grüne PASS Einträge, wenn ich versuche über das VPN auf einen Host in der DMZ zuzugreifen:

SSH-Versuch
Code Select
DMZ Feb 3 22:45:19 192.168.4.78:61513 192.168.2.9:22 tcp let out anything from firewall host itself
IPsec Feb 3 22:45:19 192.168.4.78:61513 192.168.2.9:22  tcp


PING
Code Select
DMZ Feb 3 22:45:16 192.168.4.78 192.168.2.9 icmp let out anything from firewall host itself
IPsec Feb 3 22:45:16 192.168.4.78 192.168.2.9 icmp


Aber es fliesst kein Traffic, ich bekomme keine Verbindung... muss ich noch extra Routen setzen?
In der Zywall gab es sogenannte ,,Policy Routes", die ich dafür setzen musste. Gibt es etwas Vergleichbares auf der OPNsense?
An der Fritzbox kann es eigentlich nicht liegen, da ich hier die gleiche Config wie vorher nutze, das hatte so funktioniert?!

Freue mich über jeden Input!

Gruß,
Ingo
February 04, 2021, 10:40:44 PM #1
Wie ist denn deine IPSEC Konfiguration? Hast du ein VTI / Routed VPN? Oder hast du eine Phase 2 mit den Routing Infos angelegt? Hast du dann auch an die Phase für die DMZ gedacht oder hast die Maske entsprechend groß gefasst, dass sie beide Netze mitnimmt?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 05, 2021, 09:28:38 AM #2
Hm, tatsächlich habe ich in der IPSec Konfiguration auf der OPNsense das zweite Subnetz nicht beachtet...

In der Phase 2 hab ich momentan 192.168.1.0/24 als Local Network eingegeben.
Sollte ich dort besser die 192.168.1.0/22 angeben?
Oder wie kann ich "ein VTI / Routed VPN" einrichten?
February 05, 2021, 09:32:46 AM #3
> Sollte ich dort besser die 192.168.1.0/22 angeben?

Fast, in dem Fall würde ich der Ordnung halber lieber 192.168.0.0/22 angeben, das macht es ggf. einfacher zu sehen, dass hier .0.x bis .3.x erfasst werden und es ist die korrekte Netz-CIDR-Schreibweise weil Netzadresse :)

Aber genau das hatte ich gemeint. Das zweite Subnetz ist der Firewall bzw. Fritzbox durch die fehlende IPsec Phase bzw. Definition nicht bekannt. Dadurch werden die Pakete auch nicht erfasst und durch den Tunnel geschoben, da sie nicht auf die Policy matchen und daher einfach den Default-Routen-Weg gehen.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 06, 2021, 12:48:32 PM #4
Super, vielen Dank, hat funktioniert!  :)
Print
Go Up Pages1
User actions