OpnVPN internes Routing [solved]

Started by patriko, January 06, 2022, 12:13:21 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 06, 2022, 12:13:21 PM Last Edit: January 07, 2022, 08:07:58 AM by patriko
Hallo und Grüße an alle,

irgendwie stehe ich grade etwas auf dem Ethernetkabel hier.

Ich hab die Anleitung von Thomas Krenn, "OpenVPN für Road Warrior" genutzt um das VPN auf der OPNsense einzurichten, nach etwas fummeln, vermutlich zwischendurch irgendwo vertippt. Kann ich mich auch mit OpenVPN Connect Verbinden. Leider komme ich nicht an die anderen Netze ran.

Ich habe ein DMZ interface mit 10.10.112.1/24
Ich hab ein Lan interface mit 192.168.178.1/24
und ein WAN interface mit 192.168.112.10/24

OpenVPN Server hat als Tunnel Network 10.11.112.0/24
und IPv4 Local Network 192.168.178.0/24,192.168.112.0/24

Firewall hat OpenVPN regeln für "in" für das interface OpenVPN mit any any any, WAN regeln in auf OpenVPN Port und any any.

VPN Benutzer die sich verbinden bekommen jetzt die Virtual Adress 10.11.112.6.

Wie kann ich das jetzt intern so routen das die auf 192.168.178.0/24 rausgeworfen werden und auch wieder zurück kommen? Würde mich über jeden Tipp oder Trick freuen. Frohes Neues und einen schönen Tag allen Lesern :)


Versions    OPNsense 21.7.3_3-amd64
FreeBSD 12.1-RELEASE-p20-HBSD
OpenSSL 1.1.1l 24 Aug 2021
January 06, 2022, 04:03:29 PM #1
Vermutlich ne Firewall-Regel vergessen.
January 06, 2022, 04:15:21 PM #2
Wenn ich im LiveView der Firewall schaue zeigt er mich auch, dass das Paket weitergeleitet wird, nur danach scheint es zu verschwinden, hab auch schon versucht regeln für den Rückweg einzutragen in der FW aber ich bekomme auch in der FW keine Meldung das etwas geblockt wird.
January 06, 2022, 04:21:27 PM #3 Last Edit: January 06, 2022, 04:25:30 PM by Ketanest
Quote from: patriko on January 06, 2022, 04:15:21 PM
Wenn ich im LiveView der Firewall schaue zeigt er mich auch, dass das Paket weitergeleitet wird, nur danach scheint es zu verschwinden, hab auch schon versucht regeln für den Rückweg einzutragen in der FW aber ich bekomme auch in der FW keine Meldung das etwas geblockt wird.

Rückroute brauchst du nicht, das regeln die States.

Sehe ich das richtig, du möchtest aus dem VPN ein Gerät im 192.168.178.0/24er Netz erreichen? Kennt dieses Gerät das VPN-Netz? Bzw. ist das Standardgateway die OPN?

EDIT: Die Live-View zeigt nur dein LAN Interface, was sagt denn die Live-View aufm VPN-Int?
EDIT2: Vergiss es, wenns aufm LAN rausgeht, isses inbound ja schon durchs VPN-Interface und damit durch diese Regel durch. Denkfehler.

Wie gesagt, ich vermute ein Routing Problem. Was macht denn ein Trace?

Gruß
Ketanest
January 06, 2022, 04:29:40 PM #4
Ja genau, ich hab den VPN an nem Client (aussen) verbunden mit der OPNsense (OpenVPN Server) die OPNsense ist das Standardgateway im Netzwerk auch für das 192.168.178.0/24er Netz
Der VPN Client bekommt z.B. die 10.11.112.6/30 zugewiesen.
Und soll den Client an 192.168.178.220/24 erreichen.
Es sieht für mich halt auch so aus als wenn er Packete von 10.11.112.6 auch an das passende Interface rauswirft dahinter ist direkt ein Switch. Vom Switch aus komme ich auch ohne Probleme an das 192.168.178.220 ran und zurück. Nur über den VPN halt nicht.

Trace zeigt mir nur zeitüberschreitung permanent :(
January 06, 2022, 04:45:31 PM #5
Ok ich habs hinbekommen, ich melde mich morgen nochmal nach etwas testen was genau der Fehler war muss morgen noch paar sachen wieder rauswerfen um das genau zu sagen woran es lag.

Doch noch ohne Kopfschmerzen in den Feierabend, Danke für die Hilfe :)
January 06, 2022, 05:49:24 PM #6
Hattest du das Interface assigned?
Falls ja, deaktivier' mal das automatisch erzeugte Gateway. Sonst erzeugt OPNsense dir im Default deine Regeln mit reply-to und der Traffic verschwindet in einem magischen Blackhole, siehe auch https://docs.opnsense.org/troubleshooting/openvpn.html
January 06, 2022, 09:04:03 PM #7 Last Edit: January 06, 2022, 09:06:35 PM by Ketanest
Hab bei mir mal durchgeschaut: Ich kann meine automatisch generierten Gateways gar nicht deaktivieren... Auch interessant...

EDIT: Bei mir sind die Regeln mit "Reply-To: default" angelegt, funzt aber alles...
January 06, 2022, 10:33:50 PM #8
Quote from: Ketanest on January 06, 2022, 09:04:03 PM
Hab bei mir mal durchgeschaut: Ich kann meine automatisch generierten Gateways gar nicht deaktivieren... Auch interessant...

EDIT: Bei mir sind die Regeln mit "Reply-To: default" angelegt, funzt aber alles...

Bei S2S funktioniert das nach meiner Erfahrung auch, bei Roadwarrior allerdings nicht. Die Gateways kann man deaktivieren wenn man auf Edit geht und dann den Haken setzt
January 06, 2022, 10:37:55 PM #9
Ah, Augen auf und so XD

Ja funzt schon, trotzdem überflüssig...
January 07, 2022, 08:07:42 AM #10
So ich hab noch ein wenig getestet, funktioniert alles so wie es soll.
Ein wenig aufgeräumt in den Regeln alles mal so nach und nach aus gemacht, waren alle überflüssig wie von mir auch gedacht.

Problem war das im OpenVPN Server der OPNsense unter: IPv4 Local Network zwei Adressen mit Komma getrennt eingetragen waren, vermutlich mochte er die zweite Adresse nicht. Warum weiß ich grade nicht genau aber nun funzt es.

Vielen Dank nochmal für die ganzen Vorschläge und Tips
January 07, 2022, 08:12:37 AM #11
Quote from: patriko on January 07, 2022, 08:07:42 AM
Problem war das im OpenVPN Server der OPNsense unter: IPv4 Local Network zwei Adressen mit Komma getrennt eingetragen waren, vermutlich mochte er die zweite Adresse nicht. Warum weiß ich grade nicht genau aber nun funzt es.
Wenn Du nach dem Komma ein Leerzeichen hast, funktioniert es nicht. Ist bekannt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 07, 2022, 10:05:03 AM #12
Quote from: pmhausen on January 07, 2022, 08:12:37 AM
Wenn Du nach dem Komma ein Leerzeichen hast, funktioniert es nicht. Ist bekannt.
Jupp so ist es. Konnte man sich das nicht aussuchen entweder Leerzeichen ODER Komma aber nicht beides? Oder war das bei der pf? Oder lieg ich ganz daneben?
Weiß man, ob es dafür schon einen RFC gibt?

Gruß
Ketanest
Print
Go Up Pages1
User actions