Client2Side-Verbindung

kenobits · November 20, 2020, 04:33:07 PM

Hallo zusammen,

ich bin noch recht neu in der Thematik, bitte also "newbie" Fehler zu verzeihen und wenn ich was fachlich falsch bezeichnet habe, gerne darauf hinweisen, man lernt ja dann mit ;)

Folgendes Problem:
wir haben eine neue OpenSense die als Firewall und OpenVPN-Server für Home-Office User herhalten soll. Dafür habe ich bereits einen Server und User nach folgender Anleitung erstellt: https://docs.opnsense.org/manual/how-tos/sslvpn_client.html
Der Verbindungsaufbau funktioniert auch, allerdings kann ich dann nur noch auf die OpenSense zugreifen, alle anderen Server im VPN-Netz sind nicht erreichbar

auf der Firewall WAN-seitig habe ich den Port 1194 erlaubt (ist auch so in der konfig) und testweise auch erstmal alles auf erlaubt gestellt (abgesehen von den automatisch erstellten Regeln der opensense) (eigentlich bräuchte ich doch keine Erlaubnis für WAN, zum OpenVPN-Server muss ja nichts durchgereicht werden, die FW ist ja schon der Server)
im OpenVPN-Tab habe ich alles erlaubt
NAT-Outbounding ist aktiviert

als local Network habe ich unser Netz angegeben(10er) und zum Tunneln ein anderes privates Netz (169.54.0.0/16), dazu noch einen DNS-Server aus dem lokalen Netz

Habt ihr eine Idee wo man hier ansetzen kann?
Ich bin mit meinem Latein langsam am Ende

micneu · November 20, 2020, 05:38:13 PM

Bitte einen grafischen netzwerkplan

Gesendet von iPhone mit Tapatalk Pro

chemlud · November 20, 2020, 05:51:27 PM

Hallo bei OPNsense! :-)

Quote from: kenobits on November 20, 2020, 04:33:07 PM

Der Verbindungsaufbau funktioniert auch, allerdings kann ich dann nur noch auf die OpenSense zugreifen,

Also du gibts am remote client in den Browser die 10.0.0.1 ein (IP deiner OPNsense im LAN, vermute ich) und kommst an die GUI?

Quote from: kenobits on November 20, 2020, 04:33:07 PM

alle anderen Server im VPN-Netz sind nicht erreichbar

Damit meinst du die Server in deinem 10er LAN Netz, korrekt?

Mach mal ein pacakge capture (Interfaces -> Diagnostics -> Package Capture) auf dem LAN und schau, was da von deinem remote client ankommt und ob was von den "Servern" zurückkommt...

shb256 · November 21, 2020, 10:10:25 AM

Hallo

Quoteanderes privates Netz (169.54.0.0/16),

bist du dir da sicher?
Hast du die Firewallregeln auf den OpenVPN interface gemacht?

kenobits · November 23, 2020, 08:11:18 PM

Sorry für die späte Antwort und vielen Dank für die Antworten :)

Quote from: micneu on November 20, 2020, 05:38:13 PM
Bitte einen grafischen netzwerkplan

Das ist ein bisschen schwierig, ich versuchs mal so prägant wie möglich schriftlich dazustellen:

Homeoffice User --Tunnel-Netzwerk(hab dafür jetzt die 169.54.0.0/16 gewählt)-->OpenVPN-Server bzw. Firewall (IP: 10.7.15.3) --> Rechner im Netzwerk 10.7.15.0

Quote from: chemlud on November 20, 2020, 05:51:27 PMAlso du gibts am remote client in den Browser die 10.0.0.1 ein (IP deiner OPNsense im LAN, vermute ich) und kommst an die GUI?
die 10.7.15.3, aber ja genau ich komm dann auf die GUI im LAN
und genau die anderen Server im gleichen Netz im LAN sind nicht erreichbar - den Test für ich morgen in der Arbeit durch und meld mich dann mit den Ergebnissen :)

Quote from: shb256 on November 21, 2020, 10:10:25 AM
Hallo

bist du dir da sicher?
Hast du die Firewallregeln auf den OpenVPN interface gemacht?
also steht zumindest so in der config und ich bekomm auch eine IP aus dem Netz zugewiesen
die Fireallregeln hab ich gemacht und kann sie nach belieben ändern, das Ding läuft noch nicht produktiv

chemlud · November 23, 2020, 08:18:49 PM

" und zum Tunneln ein anderes privates Netz (169.54.0.0/16),"

https://en.wikipedia.org/wiki/Private_network

QuoteIn IPv4, link-local addresses are codified in RFC 6890 and RFC 3927. Their utility is in zero configuration networking when Dynamic Host Configuration Protocol (DHCP) services are not available and manual configuration by a network administrator is not desirable. The block 169.254.0.0/16 was allocated for this purpose. If a host on an IEEE 802 (Ethernet) network cannot obtain a network address via DHCP, an address from 169.254.1.0 to 169.254.254.255[Note 2] may be assigned pseudorandomly. The standard prescribes that address collisions must be handled gracefully.

Maybe?

kenobits · November 24, 2020, 11:34:26 AM

Tatsache, hab die 192.168.0.0/16 als Tunnelnetzwerk genommen - bekomme dann auch erwartungsgemäß die 192.168.0.2 als IP, komm jetzt allerdings auf alle Server drauf - ich werd mal testen, wenns noch mal probleme gibt meld ich mich

Danke euch, ihr habt einem junior Admin grad ziemlich weiter geholfen :)

chemlud · November 24, 2020, 12:37:18 PM

Wenn nicht die halbe Welt in dein VPN verbinden soll, reicht auch ein /26 oder kleiner, gerne was Aussergewöhnliches als erste IP, das gibt am Ende weniger Kollisionen. 192.168.x.x ist ja schon das private Netz im LAN von Hinz und Kunz...

kenobits · November 27, 2020, 02:53:05 PM

Danke :)

was wäre denn ein geeignetes ungewöhnliches Netzwerk?
10er fällt bei uns komplett raus, da kommts zu konflikten

lfirewall1243 · November 27, 2020, 09:01:17 PM

Quote from: kenobits on November 27, 2020, 02:53:05 PM
Danke :)

was wäre denn ein geeignetes ungewöhnliches Netzwerk?
10er fällt bei uns komplett raus, da kommts zu konflikten

172.16-32.X.X/24 z.B

Meine bis 32 oder 31

Client2Side-Verbindung

kenobits

November 20, 2020, 04:33:07 PM

micneu

November 20, 2020, 05:38:13 PM #1

chemlud

November 20, 2020, 05:51:27 PM #2

shb256

November 21, 2020, 10:10:25 AM #3

kenobits

November 23, 2020, 08:11:18 PM #4

chemlud

November 23, 2020, 08:18:49 PM #5

kenobits

November 24, 2020, 11:34:26 AM #6

chemlud

November 24, 2020, 12:37:18 PM #7 Last Edit: November 24, 2020, 12:39:18 PM by chemlud

kenobits

November 27, 2020, 02:53:05 PM #8

lfirewall1243

November 27, 2020, 09:01:17 PM #9