OPENVPN

[MoChri]

Hallo Leute,

Ich habe ein Problem wo ich nicht dahinter komme an was es genau liegt.

Habe auf meine OPNsense Firewall einen openvpn Server installiert und die Verbindungen zu diesem Server funktioniert problemlos mit der OPENvpn Software 3.3.6 (WIN10) und kann mich auch zwischen den Klienten (WIN10 PCs) verbinden was eigentlich für mich das wichtigste ist da ich eine kleines Fernwartungssystem aufbauen möchte.

Also Test erfolgreich daher habe ich für die Maschinen einen [GL-MT300N-V2] zugelegt und die openvpn Config installiert wo der Kunde mit dem Schalter diese Funktion ein/aus Schalten kann wenn er ein Problem hat.

Verbindung wird auch aufgebaut soweit komme auch auf die WebGui von diesem Gerät.

Das eigentlich Problem ist aber das ich auf keine einziges Gerät im Lan Netz dieses Gerät zugreifen kann. Habe im netz schon alles mögliche gesucht probiert nur komme ich da nicht dahinter bzw. habe ich zu wenig Erfahrungen mit den Routen.

Ich beschreibe mal das ganze was ich bis jetzt eingestellt habe...
OPNsense OPENvpn Server ist konfiguriert 10.11.13.1/24 mit Hacken Klienten Kommunikation freigeben.


(Techniker PC) mit Internet stick unterwegs
OPENvpn für WIN10 verbindet sich mit OPNsense OPENvpn Server und bekommt die IP 10.11.13.22

(PC_HOME) IP 192.168.111.120
OPENvpn für WIN10 verbindet sich mit OPNsense OPENvpn Server und bekommt die IP 10.11.13.6

(GL-MT300N-V2 Router) IP 192.168.214.254
[WAN] Internet OK und der OPENvpn Client verbindet sich mit OPNsense OPENvpn Server und bekommt die IP 10.11.13.26
[LAN] da stecken verschiedene Geräte und möchte nur eins erreichen mit IP192.168.214.1 da alle Ports bzw. wichtig wäre 22,102,5900

Also vom Techniker PC zu PC_HOME kann ich eine RDP Verbindung aufbauen mit der IP 10.11.13.6 ohne Probleme aber mit Techniker PC zu IP 10.11.13.26 komme ich nur auf die WebGui des Router.

Habe schon einige Firewall regeln probiert und herum getüftelt ich bin am ende meines Latein/Verständnis das ich keine Route zu dem IP192.168.214.1 Gerät hinbekomme

würde mich für Ideen oder links freuen da ich selber nach Tagelanger Sucherei nichts gefunden habe was mich weiter brachte.

Was aber noch perfekter wäre wenn das funktioniert das ich den Clienten eine fixe IP zuweisen kann über den OPNsense Server da habe ich eigentlich keine Funktion gefunden.

[micneu]

was für eine OpenVPN Konfig hast du denn gebaut?
- S2S oder C2S
- ist der GLinet denn das default gateway auf der gegenseite?
- bitte mal einen ordentlichen grafischen netzwerkplan
- bitte mal genau skizzieren wer mit wem über was die verbindung hat
- was bedeutet

Verbindung wird auch aufgebaut soweit komme auch auf die WebGui von diesem Gerät.

welche ip oder was ist das gerät?

- ist das 10.11.13.0/24 dein OpenVPN Transfernetz?
- ist das dein LAN wo deine sense steht 192.168.111.0/24?
- ist das 192.168.214.0/24 Kunden LAN?
- was ist das für ein gerät 192.168.214.1, hat es vielleicht eine eigene firewall?

[MoChri]

was für eine OpenVPN Konfig hast du denn gebaut?
- S2S oder C2S -> C2S
- ist der GLinet denn das default gateway auf der gegenseite? -> NEIN
- bitte mal einen ordentlichen grafischen netzwerkplan -> werde ich versuchen
- bitte mal genau skizzieren wer mit wem über was die verbindung hat -> ist auf da grafik dann
- was bedeutet -> ich komme auf die Einstellseite des Glinet aber nicht weiter

Verbindung wird auch aufgebaut soweit komme auch auf die WebGui von diesem Gerät.

welche ip oder was ist das gerät?

- ist das 10.11.13.0/24 dein OpenVPN Transfernetz? -> Ja OPENserver auf OPNSENSE
- ist das dein LAN wo deine sense steht 192.168.111.0/24? nein mein Privater Rechner mit OPENvpn Client software
- ist das 192.168.214.0/24 Kunden LAN? -> die Maschine hinter Gline
- was ist das für ein gerät 192.168.214.1, hat es vielleicht eine eigene firewall? NEIN

[micneu]

- warum hast du ein C2S OpenVPN gewählt?
- du willst geräte im entfernetn netzwerk erreichen, also währe meine wahl ein S2S Tunnel
- da es ja für eine firma sein soll, würde ich dir auf alle fälle empfehlen einen dienstleister zu angarieren der dich da unterstützt. mir kommt es vor das du von netzwerke nicht so wirklich ahnung hast.
- du hast auf die frage nicht geantwortet was das für ein gerät ist

- was ist das für ein gerät 192.168.214.1, hat es vielleicht eine eigene firewall? NEIN

das ist eine wichtige info.
bitte mal einenscreenshot der netzwerkkonfiguration von diesem gerät

[MoChri]

1. Verbindung zwischen den beiden Techniker PC funktioniert einwandfrei
2. Verbindung zu dem GL-MT300N-V2 auf die Konfigurationsseite mit der IP10.11.13.26 funktioniert auch einwandfrei.
3. Verbindung in das LAN IP192.168.214.1/24 zu einem Gerät z.b 192.168.214.1:5900 mit einem VNC-Viewer bringe ich nicht zum laufen.

Ich denke das Problem liegt generell das der GL-MT300 nicht der DHCP-Server ist und daher die anderen Geräte nicht wissen wohin sie antworten sollen. Nur das Problem ist ich kann/soll bei den Geräten in der Maschine keine Änderungen vornehmen.

[MoChri]

Das wäre die Firewall regel im GL-MT300

[micneu]

ich frage nochmal:
- warum hast du ein C2S VPN erstellt?
- woher kennt deine sense das netzt 192.168.214.0/24?
- für die sense ist der glinet nur ein client mehr nicht (10.11.13.26)
- ich bin in den glinet teilen nicht fit, frage mich nur was das bringen soll (firewallregel auf dem glinet), siehe zeile 3
- und ich frage nochmal, was ist das für ein gerät 192.168.214.1
- screnshoots:
-- VPN Konfig
-- Firewall OpenVPN
-- glinet LAN, WAN Interface, OpenVPN Konfig
- hast du mal getestet vom glinet den rechner 192.168.214.1 anzupingen, was kommt als ergebnis?
- kannst du von dem gerät 192.168.214.1 das LAN der sense erreichen?

[MoChri]

Guten Tag leute,

Das problem liegt am OpenVPN Client [GL-MT300N-V2] der läst mich vom OpenVPN nicht ins LAN wer weis auch immer oder die Antwort vom Gerät wird blokiert da muss ich mich mal genauer beschäftigen.

Zu den Fragen:
- warum hast du ein C2S VPN erstellt?
weil es keine vernetzung von Standorten ist sondern Benutzereinwahl !!!
- woher kennt deine sense das netzt 192.168.214.0/24?
von nirgends soll sie auch nicht OPNsense soll nur vermitteln zwischen den Clienten das ja auch funktioniert.
- und ich frage nochmal, was ist das für ein gerät 192.168.214.1
Das ist irgend ein Gerät war als Beispiel gedacht da in einem solchen Netz verschiedene geräte sind und ich den [GL-MT300N-V2] so konfigurieren möchte das ich mit der Adresse 10.11.12.26:5900 z.b. geroutet werde auf das LAN vom [GL-MT300N-V2] z.b zu dem Gerät 192.168.214.1 wo der VNC-Server läuft.
- hast du mal getestet vom glinet den rechner 192.168.214.1 anzupingen, was kommt als ergebnis?
habe ich nicht werde ich versuchen

Der gesamte Hintergrund ist das man einen nicht so fitten Programmierer diesen [GL-MT300N-V2] mit gibt und wenn er Unterstützung benötigt kann sich ein anderer Programmierer auch verbinden und unterstützen.
Und da hätte ich noch viele mehr möglichkeiten....
Aber solange ich diesen [GL-MT300N-V2] nicht dazubringe mir die geräte im Lan freizugeben ist es nur eine Idee

[micneu]

- kannst du noch die gewünschten infos liefern.
screnshoots:
-- VPN Konfig (sense)
-- Firewall OpenVPN (sense)
-- glinet LAN, WAN Interface, OpenVPN Konfig
- grafischen netzwerkplan
- ist das 192.168.214.1 ein jump host auf dem du VNC laufen lässt (welches betriebssystem, screenshot netzwerkkonfig)

[MoChri]

- kannst du noch die gewünschten infos liefern.
screnshoots:
-- VPN Konfig (sense)
   OpenVPN Server mi haken  Inter-Client-Kommunikation
-- Firewall OpenVPN (sense)
   alles was diesem OpenVPN Server betrifft, gesperrt in alle anderen Netzwerke der Firewall (sense)
-- glinet LAN, WAN Interface, OpenVPN Konfig
    mach ich
- grafischen netzwerkplan
   siehe Bild im anhang
- ist das 192.168.214.1 ein jump host auf dem du VNC laufen lässt (welches Betriebssystem, screenshot netzwerkkonfig)
   Dieses Gerät z.b. ist eine SIEMENS NCU 840D Betriebssystem Linux diese hat 3 Netzwerke
   1. Serviceschnittstelle 192.168.215.1/30 inkl. DHCP
   2. Interne Schnittstelle 192.168.214.1/24 inkl. DHCP (da ist dann MSST/OP/usw. angesteckt)
   3. Firmennetzwerk Schnittstelle (DHCP Client) kann ich nicht nehmen braucht die Firma und die Schnittstelle ist Firewall technisch auf der NCU gesperrt zweck Sicherheit die mochte ich nicht zu 192.168.214.x durchlassen.

Generell lieg das Problem am aussengerät Gline habe jetzt mal test durchgeführt:
1. Gerät Werkseinstellung und Wan (DHCP) eingestellt LAN fix IP192.168.214.254 dann rechner am lan angesteckt FIX IP192.168.214/24 G:192.168.214.254 DNS:192.168.214.254 und internet Geht am rechner.
2. So jetzt OpenVPN Tunnel zur Sense aktiviert --> Internet weg keine Kommunikation ja OK ist auch gut so da ich eh nicht will das die Geräte die am LAN hängen ins Internet können.
3. Test von einem anderem Rechner der sich auch an die sense (OpenVPN-Server) anmeldet der kommt auf die Weboberfläche des Gline mi der IP10.11.13.26:443. Wenn ich dann ein Portverschaltung (siehe Bild) mache mit dem Port 5900VNC sollte ich ja dann auch zu der Adresse IP192.168.214.1 kommen oder? Was mir nur auffällt habe ich die aktiviert braucht der VNC-Viewer länger mir zu sagen das er keine Verbindung zustande bringt als wenn sie generel deaktiviert ist.

[micneu]

ist doch logisch, für den glinet bist du ja im netz (nicht mehr vor dem wan, im internet) also wird das so mit deiner portforwarding nicht gehen (gedankenfehler) was ist wenn du von einem gerät vor dem glinet mal versuchst den vnc mit der WAN ip des glinet aufzurufen?
- geht ein ping zu deiner sense (10.11.13.1) von den: 192.168.214.1, 192.168.214.12, 192.168.214.241

[MoChri]

ist doch logisch, für den glinet bist du ja im netz (nicht mehr vor dem wan, im internet) also wird das so mit deiner portforwarding nicht gehen (gedankenfehler) was ist wenn du von einem gerät vor dem glinet mal versuchst den vnc mit der WAN ip des glinet aufzurufen?
- geht ein ping zu deiner sense (10.11.13.1) von den: 192.168.214.1, 192.168.214.12, 192.168.214.241

1. Also hab zwei Rechner mit OpenVPN Client mit der opnsense verbunden und da kommt jeder zu jedem mit allem. -OK
2. Rechner an Gline LAN gesteckt -> am Gline ein USB Modem -> Verbindung mit OpenVPN Client an sense komme ich auf an Rechner 2 mit allem (z.b. RDP) nur nicht umgekehrt.
Jetzt wäre es interesant eigentlich wer weis was ich jetzt wie verschalten mus am Gline
Port Forwarting -> Passt mal nicht angeblich
Diese Einstellungen gibts unter standart oberfläche
Bild Gline1-3
Erweiterte Einstellungen Bild Gline4
Ich weis es ist jetzt das Problem nicht an der Opnsense aber das Forum ist es trotzdem denke ich ihr seit alle spezialisten punkto Firewall und irgendwer kann mir helfen.

[micneu]

deine aussage:

Jetzt wäre es interesant eigentlich wer weis was ich jetzt wie verschalten mus am Gline
Port Forwarting -> Passt mal nicht angeblich

warum testest du es nicht, dann wirst du es sehen, hatte ja geschrieben wie du es testen kannst.
Wenn du mit deinen Netzwerkkenntnissen nicht klar kommst solltest du dir mal Zerotier anschauen, in der Aktuellen CT haben sie einen bericht geschrieben (Warscheinlich werde ich jetzt hier im Forum zerissen für den vorschlag). Heise hat auch was zu dem thema geschrieben.
was mir noch bei deinen screenshots aufgefallen ist, warum setzt du so eine alte OpenWrt version ein, OpenWrt ist aktuell die version 22.03.3
- warum setzt ihr glinet ein?
- so wie du geschrieben hast soll es so sein das jeder programmierer so ein teil in seiner tasche hat und das einfach in ein kundennetzwerk hängt, habe ich das so richtig verstanden, wenn ich es so richtig verstanden habe wirst du auch noch probleme bekommen, denn ich gehe davon aus das nicht jeder kunde immer die gleichen IP bereiche einsetzen wird, aslo würde dann das routing nicht mehr funktionieren, in deiner schilderung sind einige sachen nicht beachtet worden.

[MoChri]

deine aussage:

Jetzt wäre es interesant eigentlich wer weis was ich jetzt wie verschalten mus am Gline
Port Forwarting -> Passt mal nicht angeblich

warum testest du es nicht, dann wirst du es sehen, hatte ja geschrieben wie du es testen kannst.
Wenn du mit deinen Netzwerkkenntnissen nicht klar kommst solltest du dir mal Zerotier anschauen, in der Aktuellen CT haben sie einen bericht geschrieben (Warscheinlich werde ich jetzt hier im Forum zerissen für den vorschlag). Heise hat auch was zu dem thema geschrieben.
-was mir noch bei deinen screenshots aufgefallen ist, warum setzt du so eine alte OpenWrt version ein, OpenWrt ist aktuell die version 22.03.3
- warum setzt ihr glinet ein?
- so wie du geschrieben hast soll es so sein das jeder programmierer so ein teil in seiner tasche hat und das einfach in ein kundennetzwerk hängt, habe ich das so richtig verstanden, wenn ich es so richtig verstanden habe wirst du auch noch probleme bekommen, denn ich gehe davon aus das nicht jeder kunde immer die gleichen IP bereiche einsetzen wird, aslo würde dann das routing nicht mehr funktionieren, in deiner schilderung sind einige sachen nicht beachtet worden.

-was mir noch bei deinen screenshots aufgefallen ist, warum setzt du so eine alte OpenWrt version ein, OpenWrt ist aktuell die version 22.03.3
-> Laut Gline Web gui ist die die aktuellste

- warum setzt ihr glinet ein?
-> weil ich im netz darüber gestolpert bin und ich den betrieb mit USB unkompliziert finde daher und klein ist, OpenVPN kann hast du ein besseres Gerät?

- so wie du geschrieben hast soll es so sein das jeder programmierer so ein teil in seiner tasche hat und das einfach in ein kundennetzwerk hängt....
-> 1. NEIN würde über einen HUWAI LTE Stick verwendet wenn der nicht ginge dann nur mit absprache der iT von der Firma !!! GANZ WICHTIG !!!

[MoChri]

Hallo,

Problem 1:
wurde gelöst bin durch zufall darauf gekommen das ich diesen Schalter nicht einschalten darf!
Habe den Gline auf Werkseinstellung zurück gesetzt OpenVPN installiert mit meiner OPNsense verbunden über einen USB Internet Stick.
Kam dann nicht auf die WebGui das aber immer ging da habe ich dann eine route WebGui (siehe Bild) gesetzt und ging sofort. Dann habe ich natürlich die Route RDP (siehe Bild) gesetzt sie da ich kam auch auf dem rechner mit RDP.
So jetzt war meine frage warum geht das jetzt plötzlich und vorher ums verrecken nicht?
Ja dieser Schalter (siehe Bild) war die Ursache wenn man diesen Aktiviert kommt man zwar auf die WebGui des Gtline aber sonst nirgends wo hin da kannst routen setzen was du willst.

Problem 2:
Gibts eine möglichkeit in der OPNsense den OpenVPN Server zu sagen das er den OpenVPN Clienten immer die gleiche IP zuweist?