[SOLVED] VPN zu anderem VPN - Traffic Probleme

Started by chri, December 02, 2019, 10:38:35 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 02, 2019, 10:38:35 AM Last Edit: December 02, 2019, 05:36:35 PM by chri
Liebe Community,

ich habe ein Problem mit der Kommunikation zwischen 2 VPN Servern in folgender Konfig:

Eine Firma (mit Netzwerk A) ist statisch zu einem seiner Partner (Netzwerk Z) verbunden. Der Partner hat eine SonicWall. Der IPSec-Tunnel steht und funktioniert einwandfrei.
A <-> Z

Innerhalb der Firma besteht ebenso eine statischer VPN-Tunnel (OpenVPN) mit dem eine Filiale (Netzwerk B) angebunden ist – funktioniert auch tadellos.
A <-> B

Zusätzlich gibt es noch einen openVPN-Server für mobile Geräte (Netzwerk C). Funktioniert auch
C -> A

Das Problem liegt darin, dass die Clients aus Netzwerk B (Filiale) in das Netzwerk Z (Partner) rüber müssen.
B -> Z oder B<->Z
Ich habe eine Regel/Rule (OpenVPN) festgelegt, die besagt, dass alles in das Netzwerk C rüber darf. Danach gibt es beim Ping-Test zwar keine Blocks im Firewall Log mehr, allerdings kommt trotzdem nichts rüber.

Hat da jemand eine Idee dazu?

Herzlichen Danke schon mal für die Hilfe!
Chris
December 02, 2019, 12:24:05 PM #1
Hallo Chris,

stimmt denn dein Routing von Netzwerk B?

Genauer gesagt, wissen die Rechner in Netzwerk B, dass sie über Netzwerk A and Z kommen?

Dann wäre noch zu klären, machst du NAT in der Firewall A um das Netzwerk B zu "verstecken" oder willst du den Netzbereich durchreichen und ist der Tunnel zwischen A und Z entsprechend konfiguriert um das zu erlauben.

Ohne NAT muss die Firewall Z das Netzwerk auch eingehend explizit erlauben. Ansonsten verwirft sie die eingehenden Pakete. Das kannst du aber nicht sehen, das kann man nur auf Firewall Z wenn sie einfach verworfen werden.

VG,

Dominik
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
December 02, 2019, 01:54:39 PM #2
Hallo Dominik,

Quotestimmt denn dein Routing von Netzwerk B?

Ja aus Netzwerk B liegen bei Routen (A und Z) an. Beim ersten Ping Versuch hat die Firewall noch geblockt und deshalb auch die Regel hinzugefügt damit auch das Netzwerk Z zugelassen ist.
Quote
Dann wäre noch zu klären, machst du NAT in der Firewall A um das Netzwerk B zu "verstecken" oder willst du den Netzbereich durchreichen
Zwischen A und B wird einfach geroutet. Es soll in beide Richtungen kommunzieren können. Einschränkungen/Erlaubnis nur via Regeln.

Quoteund ist der Tunnel zwischen A und Z entsprechend konfiguriert um das zu erlauben.
Da bin ich mir nicht sicher was du genau meinst. Wie gesagt - von A nach Z läuft alles problemlos. Somit ist in der Routingtabelle von Netzwerk Z auch automatisch eine Route hinterlegt. Womöglich liegt hier irgendwo das Problem?
Hätte auch mal testweise versucht aus dem openVPN etwas in das Netzwerk Z per NAT durchzuleiten. Vielleicht verstehe ich hier etwas falsch...

QuoteOhne NAT muss die Firewall Z das Netzwerk auch eingehend explizit erlauben. Ansonsten verwirft sie die eingehenden Pakete. Das kannst du aber nicht sehen, das kann man nur auf Firewall Z wenn sie einfach verworfen werden.
Früher Stand im Netzwerk A ebenso eine Sonicwall und da war es möglich von C (mobile Clients) auf Z kommen. Es wurde am IPSec Tunnelende bei A einfach der Zugriff auf das LAN Netz Z zusätzich hinterlegt. Deshalb sollte es bei Z auch erlaubt sein?

Danke!
LG, Chris
December 02, 2019, 02:19:28 PM #3
Der IPsec Tunnel zwischen A und Z muss in Phase 2 entsprechend konfiguriert sein um das zu erlauben und zu verarbeiten was du tun möchtest.

Wenn du also aus dem OpenVPN Tunnel Netzwerk in den IPsec Tunnel kommen möchtest, so muss entsprechend ein Eintrag in der Phase 2 dafür existieren.

Kannst du das so nicht konfigurieren bleibt dir vermutlich nur die Lösung über NAT.
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
December 02, 2019, 02:47:49 PM #4
Wenn der Tunnel in Netzwerk Z mit dem Netzwerk A als "remote network" vorkonfiguriert ist, bleibt mir ws. ohnehin nichts anderes als NAT übrig? Damit ich aus B und C nach Z komme?
December 02, 2019, 02:58:48 PM #5
Ja.

Aber wenn es mehrere Phase2 geben würde, dann könntest du dort weitere Netze angeben. Ist aber am einfachsten nur möglich zu testen wenn du beide Seiten unter Kontrolle hast oder die Konfig der anderen Seite erfragst.

Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
December 02, 2019, 03:22:36 PM #6
Hallo Dominik,

herzlichen Dank für deine Hilfe - ich bin der Sache jetzt auf die Spur gekommen. Man kann in Phase 2 beim IPSec Tunnel noch sogenannte "Manual SPD Entries" hinterlegen und zusätzliche One-to-one NAT Regeln. Dann funktioniert alles perfekt!

Hier noch eine Anleitung die ich dazu gefunden habe:
https://techcorner.max-it.de/wiki/OPNsense_-_NAT_before_IPSEC

Vielen Dank!
Chris
December 02, 2019, 03:26:13 PM #7
Jop stimmt mit NAT befor IPsec lässt es sich sehr schön mit NAT lösen. Hätte ich auch direkt drauf kommen können.

Bitte markiere den Thread im ersten Post doch noch als gelöst, mit der Anleitung verlinked solltes es auch anderen helfen :-)

Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
Print
Go Up Pages1
User actions