Site2Site OpenVPN-Verbindung

[kenobits]

Hallo zusammen,

ich bin noch neu in der Thematik und bei OpnSense, sollte etwas schwammig formuliert sein, bzw. fachlich falsch, bitte drauf hinweisen, möchte ja auch dazu lernen.

Folgendes Problem:
Wir nutzen in der Firma verschiedene OpenVPN-Zugänge über eine VM - quasi client to site mäßig, diese sollen nun als Site2Site-Verbindung auf eine neue OpnSense-Firewall migriert werden. Dafür habe ich die alten ovpn Datein auf der OpenSense "nachgebaut", die Firewall-Regeln angepasst und der OpenVPN-Verbindung ein Interface-Zugewiesen (auch hier FW-Regeln angepasst).
Die Verbindung baut sich auch auf und es findet ein Handshake erfolgreich statt.
Das Problem ist jetzt nur, ich erreiche keine Hosts auf der Gegenseite. Das Routing wird von der andern Seite gepushed und es sieht für mich so aus als würde es auch richtig in die routing-tabellen der opnsense eingetragen.
Ein Tracert zeigt die IP des gepushten GW als ersten Hops, kommt dann aber nicht weiter.
Bin mit meinem Latein momentan grad ziemlich am Ende, sollte hier wer eine Idee haben und ein bisschen Zeit würde ich mich echt freuen

Grüße

[Gauss23]

Hast du denn Firewall Regeln, die den Traffic erlauben? Sieht man was im Live view?

[Gauss23]

Und werden die Routen in der OPNsense angelegt?
System:Routes:Status

[kenobits]

Danke für die Antwort
Also FW-mäßig müsste alles passen: testweise sowohl in dem Reiter OpenVPN als auch in dem zu meinem Inteface das ich mit der Verbindung verknüpft habe alles erlaubt, WAN sollte auch passen. Der live-View hat bei einem Tracert alles auf grün gezeigt und auch dass die Verbindung nach draußen erlaubt ist. Aber kann es überhautp ein FW Problem sein, der VPN-Endpoint ist ja schon die Firewall also es muss ja nichts durchgereicht werden an einen OpenVPN-Server hinter der Firewall oder?

Nach Verbindung sehen die Routen dazu wie folgt aus:
pv4   10.20.20.0/24   10.20.21.1   UGS   0   1500   ovpnc2   Openvpn       
ipv4   10.20.21.0/24   10.20.21.1   UGS   12   1500   ovpnc2   Openvpn

was mich ein bisschen wundert, ist dass ich das GW nicht pingen kann

[chemlud]

Du brauchst die korrekten lokalen und entfernten Netze in den openVPN configs, die richtigen Regeln auf dem lokalen LAN (damit du in das entfernte LAN darfst) und im entfernten openVPN Tab die Regeln, damit der eingehende Verkehr durchgelassen wird.

Nur beim SERVER brauchst du auf WAN eine Regel für den Port aus deiner Server-Konfiguration.

Ohne Screenshots ist das aber wie rühren mit langen Stangen im Nebel.

[kenobits]

Danke für den Hinweis
Achso ja ich konfigurier nur den Client, der Server läuft auf der Gegenseite bei einem Kunden auf den ich keinen direkten Zugriff habe
Im LAN ist alles nach IN freigegeben. Kann davon aber gerne mal einen screenshot machen.
Ist es in der Config nicht möglich sich die Routen, IP etc pushen zu lassen? In der "orginal" config waren die nicht vermerkt, deswegen frag ich.
Von was genau brauchst du screenshots, nur von der client config?

[micneu]

- bitte einen netzwerkplan
- ist die Sense default Gateway?


Gesendet von iPad mit Tapatalk Pro

[kenobits]

Netzwerkplan (hab leider kein Visio, werd das versuchen mal so zu beschreiben):

OpenSense als Firewall mit public WAN-Adresse und OpenVPN-Host - Verbindung zu Kunden-Netzwerk (Routen und Tunnel-Netzwerk etc. werden vom Kunden remote gepushed)
"Hinter" der Firewall befindet sich momentan noch nichst, da die Sense die alte ablösen soll und im Zuge dessen einzelne OpenVPN-Clients als Site2Site migriert werden sollen

Die Sense ist auch für das Lan noch kein Default GW - die Pings etc habe ich immer direkt von der GUI ausgeführt

[Gauss23]

Schau mal:
https://forum.opnsense.org/index.php?topic=7216.0

Geht auch ohne Visio

[kenobits]

oh Danke


<code>
      |
      .-----+------.   
      |  Kundennetz
      '-----+------'
              IP/GW ? (wird gepushed)
      |
      .-----+------.   
      |  VPN-Server+ Kunden-VPN-Server
      '-----+------'
             |

      WAN / Internet
            :
            : Cable
            :

            |
        WAN | Public WAN-Adress vom Provider
            |
      .-----+------.   
      |  OPNsense  +
      '-----+------'   OpenVPN-Client und Server (Server für VPN-User im Homeoffice)
            |
        LAN | 10.7.15.3/24
            |
            |
      .-----+------.   
      |  alte FW+
      '-----+------'  genutzt als Gateway in bestehendes LAN
</code>

[Gauss23]

Hast Du dem ovpnc2 ein Interface zugewiesen? Wenn ja, schmeiß das mal weg.

[kenobits]

Hab das ganze gerade noch mal neu angelegt
ovpnc2 ist jetzt keinem IF mehr zugewiesen
Verbindungsaufbau funktioniert weiterhin, Connection wird als "Up" bezeichnet - erreichen kann ich trotzdem keine Hosts

Routing sieht folgend aus (kam automatisch, habe selbst nichts konfiguriert):

ipv4   10.20.20.0/24   10.20.21.1   UGS   0   1500   ovpnc2           
ipv4   10.20.21.0/24   10.20.21.1   UGS   9   1500   ovpnc2   
ipv4   10.20.21.1   link#9   UH   24   1500   ovpnc2

im FW-Rule/OpenVPN ist weiterhin alles auf pass

Für ein Tracert zb 10.20.21.5 nimmt er auch ganz brav die 10.20.21.1

[Gauss23]

Dann leg jetzt bitte ein Interface für den ovpnc2 an.
Wer belegt denn da die Nummer 1?

Bitte nenne es NICHT OpenVPN. Irgendwas anderes bitte.

Das Interface aktivieren und IPv4 und IPv6 auf none. Speichern.

OpenVPN Verbindung neu aufbauen.

Bitte dann die Daten von:
Interfaces: Overview
mit aufgeklapptem OpenVPN Client-Interface.

[kenobits]

Hab ich gemacht hab auch noch den haken bei " Dynamic gateway policy" gesetzt

Status   up
MAC address   00:00:00:00:00:00 - XEROX CORPORATION
MTU   1500
IPv4 address   10.20.21.34 / 24
Gateway IPv4   10.20.21.1
IPv6 Link Local   fe80::3eec:efff:fe4a:9d54 / 64
In/out packets   1165 / 219(218 KB / 11 KB )
In/out packets (pass)   1165 / 219(218 KB / 11 KB )
In/out packets (block)   0 / 0(0 bytes / 0 bytes )
In/out errors   0/0
Collisions   0


die 1 ist von einem andern, schon konfiguriertem, aber momentan deaktivierten ovpn client in benutzung

ein tracert auf eine IP in dem Netz ergibt dass er das default GW für das Netz nicht nimmt als ersten Hop (obwohl im Routing so vermerkt)

[Gauss23]

Zeig doch mal deine Client config (Sicherheitsrelevantes bitte streichen)

Da läuft doch laut Interface Traffic drüber