Site 2 Site OpenVPN MULTISITE

[shb256]

Hallo,

ich möchte der Opnsense zwei Site 2 Site Verbindungen aufbauen.

Die Gegenstellen ist jeweils openwrt.

Netzlplan:

+---------------+
|172.31.2.0/24|
+---------------+
            |
+-------------------------+
|172.31.2.1  10.10.12.2|
| openwrt    S2S-02       |
+-------------------------+
              |
+------------------------+
|10.10.12.1 10.10.11.1|
| opnsense                  |
+------------------------+
      |
+------------------------+
|10.10.11.2 172.31.1.1|
| openwrt    S2S-01     |
+------------------------+
      |
+---------------+
|172.31.1.0/24|
+---------------+

Ich kann mich mit beiden Seiten verbinden.
ich kann von beiden auf die Firewall pingen
Ich kann beide openwrt Router auf den 10.10.1X.2 pingen
ich habe für beide Sites Client Specific Overrides angelegt.
ich komme von der Firewall auf die 172.31.1.1 und das Netz dahinter
ich komme NICHT von der Firewall auf die 172.31.2.1 und das Netz dahinter. Da liegt auch mein Problem.

Ich habe meiner Meinung nach alle Daten von der Konfiguration 172.31.1.1 kopiert und angepasst.
Ich denke, dass es an der route liegt und nicht an openwrt. Da unter openVPN unter  VPN: OpenVPN: Connection Status die routen fehlen.
Common Name    Real Address    Virtual Address    Connected Since    Bytes Sent    Bytes Received    
S2S-02             XXX.XXX.XXX.XXX:9174    10.10.12.2    2021-01-22 18:04:50    398 KB    3.60 MB


Common Name    Real Address                  Target Network    Last Used    
S2S-02          XXX.XXX.XXX.XXX:9174    10.10.12.2    Fri Jan 22 18:27:26 2021

Common Name    Real Address    Virtual Address    Connected Since    Bytes Sent    Bytes Received    
S2S-01            XXX.XXX.XXX.XXX:9434    10.10.11.2    2021-01-22 17:36:41    1.76 MB    1.95 MB


Common Name    Real Address                   Target Network    Last Used    
S2S-01            XXX.XXX.XXX.XXX:9434    172.31.1.0/24    Fri Jan 22 17:36:41 2021    
S2S-01            XXX.XXX.XXX.XXX:9434    10.10.11.2    Fri Jan 22 18:27:26 2021    

Zusätzlich habe ich noch die Gateways erstellt
Name    Interface    Protocol    Priority    Gateway
S2S-02    LAN       IPv4     255      10.10.12.2
S2S-01    LAN     IPv4     255       10.10.11.2

Und nochmal extra dir Routen
Network            Gateway
172.31.1.0/24   S2S-01 - 10.10.11.2
172.31.2.0/24   S2S-02 - 10.10.12.2

und das kommt beim status raus
Proto Destination         Gateway          Flags Use MTU   Netif
ipv4   172.31.1.0/24   10.10.11.2   UGS   6   1500   ovpns2           
ipv4   172.31.2.0/24   10.10.12.2   UGS   6   1500   ovpns4           
ipv4   172.31.3.0/24   10.10.13.2   UGS   0   1500   ovpns3           


Hat hier jemand für mich einen Denkanstoß?

Danke Stefan

[Gauss23]

Hast du beide Remote Networks auch im Haupt-OpenVPN Server mit drin? Die müssen dort UND dann jeweils in den Client-Specific-Overrides drin sein. Wird gerne übersehen.

[shb256]

Ja ich habe in beiden Hauptservern und in beiden Overrides das Transportnetz und das Remotenetz eingetragen
Ich habe für jede Site2Site Verbindung je ein VPN Server erstellt.

[Gauss23]

Dann wird der Client-Specific-Override offenbar nicht ausgeführt. Penibel darauf achten, dass der Common-Name wirklich passt.