OPENVPN in Site2Site VPN

[Schaefer76]

Guten Tag Zusammen,

ich habe ein mächtiges Problem mit einer sehr komischen Netzwerkstruktur.
Die IT-Struktur habe ich erst übernommen und mir ist klar, dass ein Neuaufbau die beste Lösung wäre, aber da wir ein produzierendes Unternehmen sind kann ich die bestehende Struktur nicht einfach ändern. Ich hoffe, ihr versteht das.

Zum Problem:
Wir haben in unserer Verwaltung immer mehr Ausfälle durch Covid-19, daher möchten wir unseren Mitarbeitern ein VPN zur Verfügung stellen.
Eine OPNSENSE Firewall haben wir auch im Einsatz. Und können über OPENVPN auf unser LAN-Netzwerk zugreifen. Das funktioniert ohne Probleme.

Aber da wir in unserer Region das Problem haben, dass wir keine IT-Mitarbeiter finden können, haben wir uns vor einigen Jahren entschieden, wichtige Software wie ERP System in ein Citrix Rechenzentrum zu geben.
Vom Dienstleister haben wir ein VPN Site2Site Cisco Router in unserem LAN-Netzwerk bekommen. Alle Geräte im LAN haben diesen Router als Gateway. Das wurde über die DHCP-Einstellung standardmäßig gesetzt.
Alle Anfragen, die nicht in das Netz vom Rechenzentrum gehen werden über eine Route über unsere OPNSENSE verteilt.

Unsere OpenVPN-Clients erreichen LAN-Clients via ICMP problemlos. Aber ich erreiche die das Netz vom Rechenzentrum nicht.

Auf unserer Opnsense Firewall ist bereits eine statische Route in die Richtung hinterlegt.
Vor einigen Monaten hatten wir ein Synology NAS als OPENVPN Server verwendet, dies hatte dasselbe IP-Netz für die OPENVPN Clients. Leider ist dieses NAS kaputt und wir brauchen eine Lösung.



Ich hoffe, ihr könnt mir helfen.

[chemlud]

Die Mitarbeiter machen site-to-site openVPN? Ist in der Config der Mitarbeiter denn das entfernte Netz (Rechenzentrum) eingetragen?

Ist es ein DNS-Problem? Können die Server von remote per IP erreicht werden?

[KHE]

Hi,

ist im Site2Site VPN Gateway eine Statische Route zur OPNsense für den VPN-Client IP-Bereich angelegt?
Ich denke die Pakete kommen bis zum Remote Client und sogar zurück bis zum VPN Gateway. Nur weiß der halt dann nicht weiter und verwirft sie.

Gruß
KH

[mace]

Vermute auch das in den VPN Einstellungen das Remotenetz fehlt,
im OpenVPN bei IPv4 Local Network (push route openvpn) deine Netze auch eingetragen auch das Remote

Die Frage ist die OPNsense nur als VPN-Server im Lan oder hat sie auch einen eigenen WAN Anschluss ?

Wenn OPNsense nur als VPN-Server im Lan hängt und es mit dem Synology NAS funktioniert hat die IP Netze gleich sind sollte es nicht am Routing des Site2Site VPN Gateway liegen.

[chemlud]

...Wenn OPNsense nur als VPN-Server im Lan hängt und es mit dem Synology NAS funktioniert hat die IP Netze gleich sind sollte es nicht am Routing des Site2Site VPN Gateway liegen.

...das wären dann die "Local Networks" im openVPN Server auf der opnsense, dort müsste auch das Datacenter mit rein.

[Schaefer76]

Hallo zusammen, vielen Dank für die schnellen Antworten.

Die Mitarbeiter machen site-to-site openVPN? Ist in der Config der Mitarbeiter denn das entfernte Netz (Rechenzentrum) eingetragen?

Ist es ein DNS-Problem? Können die Server von remote per IP erreicht werden?

hatte ich auch vermutet, daher ping ich die IP-Adresse an.

Hi,

ist im Site2Site VPN Gateway eine Statische Route zur OPNsense für den VPN-Client IP-Bereich angelegt?
Ich denke die Pakete kommen bis zum Remote Client und sogar zurück bis zum VPN Gateway. Nur weiß der halt dann nicht weiter und verwirft sie.

Gruß
KH

Was im S2S Gateway-Router angelegt ist, weiß ich nicht genau, da dieser Router nicht von uns verwaltet wird. Aber da der IP-Bereich auch auf dem Synology NAS verwendet wurde, denke ich nicht, das es daran liegen kann.

Ich habe aber auf der OPNSENSE die Route gesehen.

Wenn ich als LAN Client mein Standardgateway von x.254 auf die x.250 ändere (also vom Remote Gateway zur Opensense), funktioniert die Verbindung zum Remote Netz, daher kann es nicht an der Route liegen oder?

Vermute auch das in den VPN Einstellungen das Remotenetz fehlt,
im OpenVPN bei IPv4 Local Network (push route openvpn) deine Netze auch eingetragen auch das Remote

Die Frage ist die OPNsense nur als VPN-Server im Lan oder hat sie auch einen eigenen WAN Anschluss ?

Wenn OPNsense nur als VPN-Server im Lan hängt und es mit dem Synology NAS funktioniert hat die IP Netze gleich sind sollte es nicht am Routing des Site2Site VPN Gateway liegen.

ich habe im Remotenetz von Openvpn-Server das LAN eingetragen, habe es aber auch mit dem Remote-Netz per Komma getrennt mit eingetragen. Aber ändert nichts.
Muss ich das "push route openvpn" im Client (OVPN Datei) eintragen?




Die OPNsese wird als Firewall verwendet, soll aber jetzt auch VPN können. VPN Hat vorher Synology NAS gemacht.
Das Synology NAS war als Client im Netz und hat eine statische Route in das Remote Netz.

OPENVPN auf Synology NAS:


Route:

[mace]

Auf die schnelle,
Firewallregeln für OpenVPN vorhanden mal testweise alles zugelassen,
den OpenVPN Service mal neu gestartet nach dem eintragen der Netze ?
'auf der Client conf must du eigentlich nichts eintragen solle mit IPv4 Local Network erledigt sein'

Werde leider aus dem oberen Plan nicht schlau wie die Anbindung ans Öffentliche Netz realisiert ist,
das Synology war ja nur als VPN-Server im Lan.

ist die OPNsense neu dazugekommen ?     

[Schaefer76]

Auf die schnelle,
Firewallregeln für OpenVPN vorhanden mal testweise alles zugelassen,
den OpenVPN Service mal neu gestartet nach dem eintragen der Netze ?
'auf der Client conf must du eigentlich nichts eintragen solle mit IPv4 Local Network erledigt sein'

Werde leider aus dem oberen Plan nicht schlau wie die Anbindung ans Öffentliche Netz realisiert ist,
das Synology war ja nur als VPN-Server im Lan.

ist die OPNsense neu dazugekommen ?   

Guten Morgen Mace,

die OPNSense ist mit der WAN Schnittstelle am Telekomrouter, am Router ist ein port forwarding für den VPN Port eingerichtet.

Die Regeln habe ich bei LAN gesetzt, ist das richtig?

(Nicht verwirren lassen, habe die anderen Regeln ausgeblendet)

Die Verbindung zur OPNSESE aus dem Internet funktioniert. Oder meinst du den S2S Cisco Router? Dieser hat seine eigne WAN Schnittstelle mit einem eigenen WAN Router.

Die OPNSense war schon da, hatte aber kein OPENVPN Dienst installiert. Aber es musste wohl schnell gehen..

[lfirewall1243]

Ich vermute folgendes.
Da wird für die VPN Verbindungen wahrscheinlich kein NAT gemacht, weder auf der OPNsense noch auf dem S2S-VPN Gateway.

Das bedeutet die Pakete der OpenVPN Clients kommen im Rechenzentrum mit der Quell-IP 10.0.8.7 an, dieses Netzwerk ist dem Rechenzentrum wahrscheinlich nicht bekannt, sondern nur euer LAN-Netz und daher gehen die Antworten nicht zurück an euch.
 Gibt dann 2 Lösungswege

1. Im Rechenzentrum wird eine Route für euer OpenVPN-Client Netzwerk hinterlegt (denke nicht wirklich machbar)
2. Du hinterlegst in der OPNsense Ausgehendes NAT mit folgenden Daten
Quelle: OpenVPN-Client Netzwerk bzw. Tunnelnetz
Ziel: Remote Client, also Rechenzentrum Netz
Interface: LAN
NAT-Adresse: LAN Adresse

Vielleicht die gleiche Regel auch nochmal, aber mit dem Ziel S2S-Gateway, um die Pakete auch abzudecken
Dadurch kommen die Pakete im Rechenzentrum an, aber mit der Quell IP 192.168.8.250, dieses Netz ist dem RZ natürlich bekannt und die Antworten werden passend geroutet.

[mace]

1. bitte vom VPN Client aus Verbindung herstellen und tracert 192.178.9.146 ums mal einzugrenzen

2. Regel 1 - sollte auf OpenVPN (Tunnel Rule) nicht aufs LAN