OpenVPN funktioniert, aber kein direkter Zugriff auf 2. Firewall

[tbarth]

Hallo,

ich habe auf einer ersten Firewall "opnsense1" den Service OpenVPN soweit einrichten können, dass ich mich mit dem Netz verbinden kann. Ich habe Zugriff auf die Web-GUI der ersten Firewall, kann die IP anpingen und mich per SSH einloggen. Ich habe zudem auch Zugriff auf die Web-GUI eines HP-Switches, der im gleichen Netz eine eigene IP hat.
Ich habe auf einem zweiten Server OPNSense eingerichtet, der Backup werden soll. Komischerweise kann ich bei einer VPN-Verbindung auf diesen Server nicht direkt zugreifen. ERST, wenn ich mich auf opnsense1 einlogge, kann ich mich auf opnsense2 einloggen, obwohl er sich im selben vLAN befindet. Was kann das denn sein? Erst dachte ich, es liegt vielleicht an der Source-IP, die aus dem Tunnel-Netz stammt, und müsste bereits dafür auch schon eine Regel für den VPN-Traffic erstellen. Aber es gibt doch diese Anti-Lockout-Regel für die Ports 80,443 für das LAN-Interface für jede Source. Warum klappt der direkte Zugriff auf die Web-GUI dann trotzdem nicht?

Hier hangel ich mich zum opnsense2 durch
tbarth@Debian10:~$ ssh -p 222 root@192.168.2.101
*** opnsense1: OPNsense 20.1.9 (amd64/OpenSSL) ***
 LAN (igb0)      -> v4: 192.168.2.101/24
 WAN (igb1)      -> v4: 172.18.0.101/24

  0) Logout                              7) Ping host
  1) Assign interfaces                    Shell
Enter an option: 8

root@opnsense1:~ # ssh -p 222 root@192.168.2.102
*** opnsense2: OPNsense 20.1 (amd64/OpenSSL) ***

 LAN (igb0)      -> v4: 192.168.2.102/24
 WAN (igb1)      -> v4: 172.18.0.102/24

Der zweite Server ist also da.

[micneu]

hast du mal bitte zum besseren verständnis einen grafischen netzwerkplan, bitte

[tiermutter]

Was sagt denn das FW Log deiner 2. Sense? Lässt sie Anfragen aus dem VPN schonmal rein?
Hat Deine 2. Sense eine Route für das VPN zum LAN damit sie nicht default an das WAN routet?

ERST, wenn ich mich auf opnsense1 einlogge, kann ich mich auf opnsense2 einloggen

Meinst Du über das GUI einloggen? 

Ich stand mal vor der selben Problematik, da es aber nur temporär war und ich ohnehin auf beiden VPN laufen hatte, habe ich das über die verschiedenen VPN gemacht. Anfragen sind bei der zweiten Sense durchgegangen, die Antworten wurden aber scheinbar falsch geroutet oder in der ersten Sense geblockt, habe ich nicht weiter verfolgt...

[tbarth]

Was sagt denn das FW Log deiner 2. Sense? Lässt sie Anfragen aus dem VPN schonmal rein?

Code: [Select]

tbarth@Debian10:~$ ssh -p 222 root@192.168.2.102

root@opnsense2:~ # tcpdump -i igb0 -n host 192.168.3.6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes

10:46:20.088964 IP 192.168.3.6.39592 > 192.168.2.102.222: Flags [S], seq 3875960924, win 64240, options [mss 1357,sackOK,TS val 1701548012 ecr 0,nop,wscale 7], length 0

Hat Deine 2. Sense eine Route für das VPN zum LAN damit sie nicht default an das WAN routet?

Nein, hat sie noch nicht. Offensichtlich muss ich dann auf dem OpenVPN Interface bereits die selbe Regel erstellen, wie ich sie auf der 1. Firewall eingerichtet habe?

Code: [Select]

Protocol Source Port Destination Port Gateway Schedule Description
IPv4 * 192.168.3.0/24 * * * * * Allow OpenVPN traffic


ERST, wenn ich mich auf opnsense1 einlogge, kann ich mich auf opnsense2 einloggen

Meinst Du über das GUI einloggen? 

Sorry, da meinte ich den SSH-Login

[tbarth]

Eine Frage hätte ich dazu noch nachträglich: Kann ich diese Regel nicht auch über die Konsole "irgendwo" in einer config eintragen, oder bin ich hier immer auf die Web-GUI angewiesen? Irgendwie müsste das möglich sein, weil ja über PFSYNC auch Änderungen in Form von "Snippets" an den Backup-Server übertragen werden, oder?

[c-mu]

Ich habe an einigen Standorten auch ein HA Setup. Die zweite Firewall ist meiner Meinung nach nicht erreichbar, da sie die Quell IP, von der Du kommst, an ihren eigenem OpenVPN Gateway antworten will (Route).

Ich habe mir so beholfen, dass ich einfach eine NAT Outbound Rule auf der FW1 eingerichtet habe, so in etwa:

Interface LAN
Source: Das Netz von dem du kommst
Destination: die IP von FW2
Port *
NAT Address: "Interface address", oder eine beliebige aus dem Netz, in dem beide FW's sind
NAT Port *
Static Port NO

[tbarth]

Ich habe an einigen Standorten auch ein HA Setup. Die zweite Firewall ist meiner Meinung nach nicht erreichbar, da sie die Quell IP, von der Du kommst, an ihren eigenem OpenVPN Gateway antworten will (Route).

Ich habe mir so beholfen, dass ich einfach eine NAT Outbound Rule auf der FW1 eingerichtet habe, so in etwa:

Interface LAN
Source: Das Netz von dem du kommst
Destination: die IP von FW2
Port *
NAT Address: "Interface address", oder eine beliebige aus dem Netz, in dem beide FW's sind
NAT Port *
Static Port NO

Ich kam erst jetzt wieder dazu, mich damit auseinander zu setzen. Ich kann als Destination hier nicht die IP der 2. FW eintragen. Die Web-GUI der 1. FW ändert mir während des Speicherns automatisch die Adresse aus dem Feld "Single Host or Network" in die LAN-Netzwerkadresse um (192.168.2.0 anstelle von 192.168.2.102). Daher habe ich diese Regel nicht endgültig übernehmen können.

[c-mu]

Dann nutzt du vermutlich die flasche Subnet Mask. /32 ist für einen Singlehost.

[tbarth]

Dann nutzt du vermutlich die flasche Subnet Mask. /32 ist für einen Singlehost.

Danke, jetzt funktioniert es. Nun kann ich beides über die Web-GUI abgleichen. Das Feld  "Subnet Mask" ist zunächst deaktiviert bei Auswahl von SingleHost or Network, auch wenn man die IP-Adresse einträgt. Man muss dann trotzdem auf das deaktivierte Feld klicken, damit es aktiviert wird. Ich werde morgen trotzdem wohl zu den Servern fahren müssen, das rote Kabel der 2. FW muss ne Macke haben. Ich komme auf der 2. FW überhaupt nicht raus und kann kein Update durchführen.

[JeGr]

> Ich habe mir so beholfen, dass ich einfach eine NAT Outbound Rule auf der FW1 eingerichtet habe, so in etwa:

Nur nochmal dazu: Das ist kein Behelf, sondern schlicht die Lösung für die Situation. Die 2. FW in einem Cluster kann nie die Rückroute zum anderen Firewall Peer haben, da sie das VPN ja ebenfalls konfiguriert haben wie der Primäre Knoten. Daher einfach eine NAT Outbound Regel erstellen, die das VPN Netz abgehend zur IP der 2. FW NATtet und schon klappt das sauber.