[SOLVED] VPN zu anderem VPN - Traffic Probleme

[chri]

Liebe Community,

ich habe ein Problem mit der Kommunikation zwischen 2 VPN Servern in folgender Konfig:

Eine Firma (mit Netzwerk A) ist statisch zu einem seiner Partner (Netzwerk Z) verbunden. Der Partner hat eine SonicWall. Der IPSec-Tunnel steht und funktioniert einwandfrei.
A <-> Z

Innerhalb der Firma besteht ebenso eine statischer VPN-Tunnel (OpenVPN) mit dem eine Filiale (Netzwerk B) angebunden ist – funktioniert auch tadellos.
A <-> B
 
Zusätzlich gibt es noch einen openVPN-Server für mobile Geräte (Netzwerk C). Funktioniert auch
C -> A
 
Das Problem liegt darin, dass die Clients aus Netzwerk B (Filiale) in das Netzwerk Z (Partner) rüber müssen.
B -> Z oder B<->Z
Ich habe eine Regel/Rule (OpenVPN) festgelegt, die besagt, dass alles in das Netzwerk C rüber darf. Danach gibt es beim Ping-Test zwar keine Blocks im Firewall Log mehr, allerdings kommt trotzdem nichts rüber.

Hat da jemand eine Idee dazu?

Herzlichen Danke schon mal für die Hilfe!
Chris

[banym]

Hallo Chris,

stimmt denn dein Routing von Netzwerk B?

Genauer gesagt, wissen die Rechner in Netzwerk B, dass sie über Netzwerk A and Z kommen?

Dann wäre noch zu klären, machst du NAT in der Firewall A um das Netzwerk B zu "verstecken" oder willst du den Netzbereich durchreichen und ist der Tunnel zwischen A und Z entsprechend konfiguriert um das zu erlauben.

Ohne NAT muss die Firewall Z das Netzwerk auch eingehend explizit erlauben. Ansonsten verwirft sie die eingehenden Pakete. Das kannst du aber nicht sehen, das kann man nur auf Firewall Z wenn sie einfach verworfen werden.

VG,

Dominik

[chri]

Hallo Dominik,

stimmt denn dein Routing von Netzwerk B?

Ja aus Netzwerk B liegen bei Routen (A und Z) an. Beim ersten Ping Versuch hat die Firewall noch geblockt und deshalb auch die Regel hinzugefügt damit auch das Netzwerk Z zugelassen ist.

Dann wäre noch zu klären, machst du NAT in der Firewall A um das Netzwerk B zu "verstecken" oder willst du den Netzbereich durchreichen

Zwischen A und B wird einfach geroutet. Es soll in beide Richtungen kommunzieren können. Einschränkungen/Erlaubnis nur via Regeln.

und ist der Tunnel zwischen A und Z entsprechend konfiguriert um das zu erlauben.

Da bin ich mir nicht sicher was du genau meinst. Wie gesagt - von A nach Z läuft alles problemlos. Somit ist in der Routingtabelle von Netzwerk Z auch automatisch eine Route hinterlegt. Womöglich liegt hier irgendwo das Problem?
Hätte auch mal testweise versucht aus dem openVPN etwas in das Netzwerk Z per NAT durchzuleiten. Vielleicht verstehe ich hier etwas falsch...

Ohne NAT muss die Firewall Z das Netzwerk auch eingehend explizit erlauben. Ansonsten verwirft sie die eingehenden Pakete. Das kannst du aber nicht sehen, das kann man nur auf Firewall Z wenn sie einfach verworfen werden.

Früher Stand im Netzwerk A ebenso eine Sonicwall und da war es möglich von C (mobile Clients) auf Z kommen. Es wurde am IPSec Tunnelende bei A einfach der Zugriff auf das LAN Netz Z zusätzich hinterlegt. Deshalb sollte es bei Z auch erlaubt sein?

Danke!
LG, Chris

[banym]

Der IPsec Tunnel zwischen A und Z muss in Phase 2 entsprechend konfiguriert sein um das zu erlauben und zu verarbeiten was du tun möchtest.

Wenn du also aus dem OpenVPN Tunnel Netzwerk in den IPsec Tunnel kommen möchtest, so muss entsprechend ein Eintrag in der Phase 2 dafür existieren.

Kannst du das so nicht konfigurieren bleibt dir vermutlich nur die Lösung über NAT.

[chri]

Wenn der Tunnel in Netzwerk Z mit dem Netzwerk A als "remote network" vorkonfiguriert ist, bleibt mir ws. ohnehin nichts anderes als NAT übrig? Damit ich aus B und C nach Z komme?

[banym]

Ja.

Aber wenn es mehrere Phase2 geben würde, dann könntest du dort weitere Netze angeben. Ist aber am einfachsten nur möglich zu testen wenn du beide Seiten unter Kontrolle hast oder die Konfig der anderen Seite erfragst.

[chri]

Hallo Dominik,

herzlichen Dank für deine Hilfe - ich bin der Sache jetzt auf die Spur gekommen. Man kann in Phase 2 beim IPSec Tunnel noch sogenannte "Manual SPD Entries" hinterlegen und zusätzliche One-to-one NAT Regeln. Dann funktioniert alles perfekt!

Hier noch eine Anleitung die ich dazu gefunden habe:
https://techcorner.max-it.de/wiki/OPNsense_-_NAT_before_IPSEC

Vielen Dank!
Chris

[banym]

Jop stimmt mit NAT befor IPsec lässt es sich sehr schön mit NAT lösen. Hätte ich auch direkt drauf kommen können.

Bitte markiere den Thread im ersten Post doch noch als gelöst, mit der Anleitung verlinked solltes es auch anderen helfen :-)