Site to Site VPN Routing geht nicht

[Mathias]

Hallo,

ich versuche gerade eine Openvpn Site to Site Verbindung einzurichten. Die Tunnel-IP Adressen kann ich auch per Ping von einem Client und von der Opnsense erreichen. Jedoch kann ich keine IP per Ping erreichen, die eigentlich durch das Tunnel-Netz geroutet werden soll. Hat jemand eine Idee was ich noch prüfen kann? Firewall habe ich auf beiden Seiten * auf any gestellt. Kann ich irgendwie das routing prüfen? Die Route müsste ja auf beiden Seiten automatisch angelegt werden oder?

[chemlud]

Firewall habe ich auf beiden Seiten * auf any gestellt.

FW-Regeln auf den openVPN-Tabs UND den LAN-Tabs (jeweils beide Seiten) zeigen?
Kann man denn vom LAN der einen sense die LAN-IP der anderen sense anpingen?

[Mathias]

Ich habe gerade folgendes gesehen: Auf dem Opnsense VPN Server steht bei routing folgende Adresse: 192.168.120.0/24 = Gateway 10.0.2.2

Der Client auf der anderen Seite bekommt aber als Tunnel-Adresse immer die 10.0.2.6. Kann das dann überhaupt funktionieren?

Auf dem Client steht beim Routing 192.168.1.0/24 = 10.0.2.5

obwohl er als Tunnel-Adresse die 10.0.2.6 hat
Kann man dem Client irgendwie eine feste Tunnel-Adresse geben?

[Mathias]

Man kann von keiner Seite aus die andere Lan-Adresse erreichen. Man kann nur die Tunnel-IP Adressen erreichen. Vom Client als auch von der Opnsense.

[chemlud]

Gibt es irgenwelche Überschneidungen mit dem 10.0.2.0/ Netz? Warum sollten im Tunnel nicht die 10.0.2.1 und 10.0.2.2 vergeben sein?

Mal rebootet?

[Mathias]

Reboot habe ich gerade gemacht, leider keine Besserung. Er hat anach dem reboot wieder die 10.0.2.6 bekommen. Andere Bereiche mit 10.0.2.0 habe ich nicht.

[Mathias]

Habe jetzt mal die Tunneladresse geändert, trotzdem zieht der Client wieder die 6 als IP-Adresse: 10.10.10.6.
Der Server hat die 10.10.10.1 

[Mathias]

Hier die Daten der Schnittstellen. Komischerweise bekommt die Serverschnittstelle ein /32 Netz angezeigt, obwohl ich 24 Netz eingestellt habe.

[Gauss23]

Hast du auf dem Server zu dem Client auch einen Client specific override? Dort muss das remote network nochmal angegeben werden

[Mathias]

Das habe ich nur für einen anderen Client bei einen anderen von Dienst auf dem selben Server. Zieht das dann der anderen Openvpn Server auch?

[micneu]

ich benötige um alles zu verstehen einen grafischen netzwerkplan, hilf mir ungemein

[lfirewall1243]

Wenn zu von Seite A einen point stuff das remote Netzwerk absetzt.
Siehst du auf Seite A und b was in den live logs (logging gut die Regeln aktivieren)

[Gauss23]

Das habe ich nur für einen anderen Client bei einen anderen von Dienst auf dem selben Server. Zieht das dann der anderen Openvpn Server auch?

Also ich brauche in solchen Fällen neben der Serverdefinition auch einen Client Specific Override. Dort muss das Remote-Netzwerk nochmal definiert sein. In der Hauptserverdefinition muss es natürlich auch schon stehen. Irritierenderweise scheint die Routingtabelle zu stimmen. Der OpenVPN Daemon leitet die Pakete dann aber nicht weiter, wenn nicht ein entsprechender Client Specific Override vorhanden ist.

[Mathias]

Problem gelöst. Habe auf beiden Seiten die Openvpn Config gelöscht und neu angelegt und dann ging es.