OPNsense als OpenVPN-Client

MichaelR · June 24, 2019, 11:40:19 AM

Hallo zusammen,

ich schlage mich im Moment mit einer nicht funktionierenden Konfiguration herum:

Gegenseite ist eine Debian-basierende Firewall, die einen OpenVPN-Server bereitstellt - hier habe ich keine Einflussmöglichkeiten. Dieser stellt drei freigegebene IP-Adressen bereit (192.168.32.X) über ein virtuelles Netz (10.250.X.X).

Auf unserer Opnsense ist ein OpenVPN-Client aktiviert - der Verbindungsaufbau klappt ordnungsgemäß und der Tunnel steht.

Das Problem ist jedoch, dass ich aus unserem internen Netz nicht auf die externen IPs zugreifen kann - scheinbar klappt das Routing nicht.

Firewall-Regel LAN:

IPv4+6 * OpenVPN Netzwerk * * * * LAN REGEL: OpenVPN nach LAN

Firewall-Regel WAN:

IPv4 TCP/UDP * * WAN Netzwerk 4516 * OpenVPN Client

(Port 4516 ist der abweichende OpenVPN-Port)

Habe ich hier irgend etwas übersehen?

Viele Grüße
Michael

chemlud · June 24, 2019, 11:47:15 AM

Wenn der VPNserver auf der Gegenseite läuft brauchst du keine Regel auf WAN.

Im LAN brauchst du eine Firewallregel, die die IPs auf der anderen Seite des Netzwerks (als TARGET, nicht als SOURCE) erlaubt.

Wie sehen denn die Firewallregeln auf dem openVPN-Tab aus?

MichaelR · June 24, 2019, 11:51:00 AM

Hallo,

ich habe hier eine Standard-Regel, die für alle eingerichteten VPN-Verbindungen Gültigkeit hat:

IPv4 * * * * * * OpenVPN

chemlud · June 24, 2019, 12:01:09 PM

LAN? WAN? :-)

MichaelR · June 24, 2019, 12:03:30 PM

Das ist die Regel im OpenVPN-Tab...

chemlud · June 24, 2019, 12:35:34 PM

LAN? WAN? :-)

MichaelR · June 24, 2019, 12:39:57 PM

???
Ich verstehe die Frage nicht...

Die WAN und LAN Regeln habe ich im ersten Post bereits beschrieben...

Oder was meint Ihr?

Viele Grüße
Michael

chemlud · June 24, 2019, 01:36:27 PM

JAa aber so wie ich sie sehe sind die falsch. Also poste doch einfach mal, was da wirklich in der GUI steht.

Nochmal: Für einen openVPN CLIENT braucht es keine Regeln auf WAN. Du hast ein grundsätzliches Missverstandnis, wie die Regeln funktionieren, glaube ich... ;-)

MichaelR · June 24, 2019, 02:03:39 PM

Hallo,

nun klappt es. Mir fehlte tatsächlich das Gateway.

Viele Grüße und Danke

Michael

chemlud · June 24, 2019, 02:16:00 PM

Ich habe diverse openVPN Tunnel mit server-client configuration. Ein Gateway hat's dafür noch nie gebraucht...

JeGr · June 28, 2019, 11:34:18 AM

> Ein Gateway hat's dafür noch nie gebraucht...

Hängt immer davon ab ob es Site2Site mit sauberen Rückrouten oder Remote Access ist. Wenn er Policy-Based-Rules macht, ist das Gateway schon die richtige Fehlerquelle. Allerdings stimme ich dir absolut zu, dass es da noch Denkfehler bei der Funktion gibt, was WAN und OVPN Interface angehen. Wenn ihr nur intern von euch auf die 3 freigegebenen IPs zugreifen müsst, diese aber NICHT zu euch, dann ist es völlig unnötig auf dem OVPN Interface irgendwas freizugeben - ansonsten gibst du der Gegenseite (wenn diese Routen hat) die völlige Freiheit auf dein lokales Netz - sicherheitsrelevant und ggf. gefährlich!

Gruß

OPNsense als OpenVPN-Client

MichaelR

June 24, 2019, 11:40:19 AM

chemlud

June 24, 2019, 11:47:15 AM #1 Last Edit: June 24, 2019, 11:49:59 AM by chemlud

MichaelR

June 24, 2019, 11:51:00 AM #2

chemlud

June 24, 2019, 12:01:09 PM #3

MichaelR

June 24, 2019, 12:03:30 PM #4

chemlud

June 24, 2019, 12:35:34 PM #5

MichaelR

June 24, 2019, 12:39:57 PM #6

chemlud

June 24, 2019, 01:36:27 PM #7

MichaelR

June 24, 2019, 02:03:39 PM #8

chemlud

June 24, 2019, 02:16:00 PM #9

JeGr

June 28, 2019, 11:34:18 AM #10