Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN Roadwarrior ohne DHCP möglich?
« previous
next »
Print
Pages: [
1
]
Author
Topic: VPN Roadwarrior ohne DHCP möglich? (Read 2397 times)
Jank
Newbie
Posts: 4
Karma: 0
VPN Roadwarrior ohne DHCP möglich?
«
on:
May 27, 2020, 10:45:58 am »
Hallo,
heute schreibt Jank, ein 31jähriger Hobby ITler. Opnsense habe ich seit 2016 als VPN Server am laufen.
Ich habe schwierigkeiten bei der Einrichtung eines RoadWarrior VPN (OpenVPN Server)
Konfiguration;
1. Telekom Anschluss, dynamische WAN IP, LAN-IP 10.0.5.1.
2. Vodafone Leitung, statische / öffentliche WAN IP (v4), DHCP deaktiviert, LAN-IP 10.0.5.2
3. Opnsense (OPNsense 20.1.6-amd64 mit allen aktuellen Updates) in Hyper-V, WAN IP 10.0.5.4 (zum Telekomrouter), LAN IP 10.10.5.4, LAN "hinter" Opnsense 10.10.5.0
4. Client PC: Win10, LTSC 2019, Firewall für alle Netzwerktypen deaktiviert, 2 NICs mit jeweils fester LAN-IP Adresse (NIC 1 -> "hinter" Opnsense, 10.10.5.109, NIC 2 -> 10.0.5.150).
Da Windows den Netzwerktyp anhand des Gateways bestimmt, habe ich diesen händisch festgelegt (Powershell).
Das Netz 10.10.5.0 soll über das VPN erreichbar sein, zwecks Test ist ein W10 PC mit der (Opnsense-)LAN-IP 10.10.5.109 mit deaktivierter Firewall eingerichtet.
Die Einwahl verläuft ohne ungewöhnliche Meldungen, anschliessend ist Zugriff auf das Opnsense Webinterface sowohl über 10.10.5.4 als auch 10.0.5.4 erreichbar.
Nun das Problem;
Bekommt NIC 1 auf dem W10 PC eine IP vom (Opnsense)DHCP Server zugewiesen funktioniert alles wie gewünscht, dafür wird der Nic 1 die Opnsense IP (10.10.5.4) als Gateway zugewiesen, was Proleme verursacht (2 Gateways auf einem PC..).
Setze ich auf dem W10 PC die IP, "hinter" Opnsense, auf eine feste IP ohne Gateway ist kein Ping o.ä. mehr möglich, mit Gateway klappt alles.
Mittelfristig wird Opnsense als Gatewas fungieren, in der Übergangzeit aber nur als VPN Server.
Ich vermute das es eine Route fehlt aber tappe etwas im Dunkeln.
Bin für jeden Tipp dankbar!
Viele Grüße und einen sonnigen Tag
Jan
«
Last Edit: May 27, 2020, 11:18:21 am by Jank
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #1 on:
May 27, 2020, 02:29:54 pm »
OK irgendwas verstehe ich noch nicht ganz.
1) Telekom und Vodafone "LAN"s sind im gleichen Netz? Warum das denn?
2) Das LAN generell ist doch 10.10.5.0 und liegt hinter der OPNsense. Warum hängt dann der PC überhaupt noch vorne im Segment mit den Routern? Macht doch keinen Sinn?
3) IP Zuweisung auf dem Client (statisch) kann man schon machen, aber Gateway muss dann eben sein (und auf die OPNsense gehen). Warum soll der Client überhaupt noch im vorderen Netz sein?
Ohne Gateway auf die Sense ist es völlig logisch, dass dein VPN Traffic nirgendwo mehr ankommt, da der PC dann einfach alles irgendwo via seinem Gateway ins 10.0.5er Netz bläst und nicht an die Sense zurückgibt, wo dein VPN eingewählt ist.
Also würde ich gar nicht großartig weiter experimentieren und das Ding komplett und sauber aufbauen:
* WAN1 mit Telekom
* WAN2 mit Vodafone
-> wenn das eigene Router sind/bleiben, dann bitte jeden in ein sauberes eigenes Subnetz und nicht beide in 10.0.5.x
* WAN1/2 Netze auf OPNsense auflegen - oder eben die Einwahl komplett dort machen
* Clients alle in 10.10.5.0/24 rein und hinter die OPNsense und es wird auch alles funktionieren - egal ob DHCP oder nicht - weil dann dein Traffic immer via Gateway zur OPNsense fließt.
-> Dann läufts
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Jank
Newbie
Posts: 4
Karma: 0
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #2 on:
May 28, 2020, 08:45:53 am »
Guten Morgen,
vielen Dank für die Erläuterungen.
Das ist eine ungewöhnliche Konstellation, da hast Du recht.
Zusammengefasst:
Ich möchte eine VPN mit Zugang zu einem virtuellen Netz (10.10.5.x), ohne dass dieses Zugriff auf das (physische) Büro Netz hat. Daher müssen einige Geräte in beiden Netzwerken erreichbar sein.
Zu 1.
Da der TK Anschluss mittelfristig stillgelegt werden soll, wollte ich es mir leicht machen und irgendwann den Vodafonerouter die IP 10.0.5.1 verpassen, somit wären keine weiteren Einstellungen im LAN nötig.
Zu 2 und 3;
Wir haben einen s.g. PBX Anschluss bei der Telekom (Telefonie).
Über den dazugehörigen DSL Anschluss werden die VoIP Verbindungen zum TK Server aufgebaut, leider hat dieser nur 16mbit Down- / 2,5mbit Upstream.
Weil jetzt alle im Homeoffice arbeiten wollen, habe ich eine 2. Leitung bei Vodafone gebucht.
Nun kommt das 1. ABER:
Damit die VoIP Telefonie über die TK-Server, mit einem anderen ISP, funktioniert, müssen alle VoIP Telefone für die s.g. nomadische Nutzung freigegeben werden, dass das nahtlos klappt, wollten mir die Telekomiker nicht verbindlich zusagen.
Daher soll, fürs erste, die Vodafone Leitung nur für das VPN verwendet werden, alles(!) Sonstige weiterhin über die TK Leitung.
Derzeit gibt es eine Ubuntu Installation (virtualisiert, alles Folgende ebenso) auf welcher ein OpenVPN Server läuft.
Bei der Einrichtung hatte ich die inter-client Kommunikation freigegeben und alle gewünschten Ressourcen (Fileserver, 2 W10 PCs) im VPN angemeldet, anschließend die IP des FS an die Clients verteilt, Verknüpfungen auf den Desktop abgelegt und fertig.
Das Problem hierbei:
wird z.B. der VPN-Server auf Opnsense neugestartet, bekommt z.B. der FS unter Umständen eine andere VPN-IP und der Zugriff ist nicht mehr möglich.
Daher mein Gedanke;
1. Router (nennen wir den mal GW1) ist weiterhin für Telefonie und, übergangsweise, dass "alte" VPN zuständig (Portforwarding auf Ubuntu).
2. Router GW2 bekommt ein Portforwarding auf die Opnsense Installation, hier ist ebenfalls ein VPN Server eingerichtet.
Um das Problem mit der wechselnden IP zu umgehen aber nicht gleich das ganze Büro-LAN erreichbar zu machen, habe ich zwei Switches erstellt.
SW1 ist ein "privater", d.h. nur die VMs können untereinander kommunizieren, kein Zugriff auf das "echte" (physische LAN).
SW2 ist ein "externer" und kann sowohl mit VMs als auch dem "echten" LAN kommunizieren.
In Opnsense sind LAN Interface mit SW1 und WAN Interface mit SW2 verbunden.
SW1 verbindet Opnsense mit einer Test-VM NIC1 (10.10.5.109), NIC2 der Test-VM (10.0.5.109) ist mit SW2 verbunden und stellt die Verbindung zum "echten" LAN zur Verfügung.
Es ist möglich, zumindest Windows, händisch eine route zu setzen aber hier habe ich wohl ein Verständnisproblem
So stellte ich mir das vor:
Test-VM
route ADD 10.10.50.0 MASK 255.255 255.0 10.10.5.109
funktioniert aber nicht.
Ich denke das eine manuell gesetzte Route die Lösung wäre;
"wenn traffic an das Netz 10.10.50.0 geschickt werden soll, nehme die NIC mit der IP 10.10.5.109"
Sollte das gar nicht zu realisieren sein, würde ich wieder alle Geräte als Clients einbinden aber wie vermeide ich den IP Wechsel?
«
Last Edit: May 28, 2020, 09:09:47 am by Jank
»
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #3 on:
May 29, 2020, 06:55:58 pm »
ich habe immernoch ein verständnis problem, bitte mal einen netzwerkplan. das hilft mir zum verständnis.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Jank
Newbie
Posts: 4
Karma: 0
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #4 on:
June 02, 2020, 03:02:20 pm »
Also ich hab das mal auf das wesentlichste runtergekürzt und den Kram mit den 2 Leitungen erstmal aussen vor gelassen..
Im Bsp. sollen nur W10 und der FS über das VPN zu erreichen sein, zeitgleich müssen beide natürlich auch über das Bürolan erreichbar bleiben.
Die "als Code einfügen" Funktion will nicht so richtig mitspielen, daher die Übersicht als Anlage..
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #5 on:
June 03, 2020, 01:32:15 pm »
ok?
warum hast du die sense mitten in dein netzwerk gepackt?
ich würde den router/modem und daran die sense hängen, und an die sense das rechtliche lan, so das die sense auch das default gateway ist, warum hast du das nicht so gemacht?
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Jank
Newbie
Posts: 4
Karma: 0
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #6 on:
June 03, 2020, 01:39:53 pm »
Das würde die Problematik mit dem "extra VPN LAN" nicht lösen.
Unabhängig von meiner VPN Geschichte, hatte ich das mal gemacht. Leider waren einige VoIP Geräte anschliessend sporadisch nicht erreichbar..
Kennst Du eine Möglichkeit einer "Einwahl" VPN Verbindung eine feste IP, die auch einen reboot von Opnsense übersteht, zu geben?
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: VPN Roadwarrior ohne DHCP möglich?
«
Reply #7 on:
June 04, 2020, 09:48:54 am »
also, ich habe die sense immer als echtes blech direkt am wan laufen.
hinter der sense ist das lan/dmz oder was auch immer.
entweder denke ich nicht komplex genug oder irgend wie hast du bei dir in deinem wunsch netzwerk umsetzung einen denk fehler. hier so wie ich bei mir am laufen habe, recht simpel alles umgesetzt. da bei mir die sense als default gateway ist haben die geräte keine probleme mit der vpn (wenn man von extern kommt)
dein netzwerkplan ist für mich nicht wirklich verständlich.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN Roadwarrior ohne DHCP möglich?