OpenVPN S2S Tunnel geht, aber Netzwerk auf der Clientseite nicht erreichbar

[conloos]

Hallo @all,

ich portiere grade meine FWs von IPFire zu OpnSense.
Ich hatte/habe zwischen den FWs ein OpenVPN als S2S laufen.

Zum Setup habe ich die Anleitung von OpnSense https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html genutzt. Einzige Abweichung ist die Nutzung von "Remote Access + User Auth".
Ich habe aber auch verschiedene andere Anleitungen und Videos genutzt und hatte immer das gleiche Ergebnis.

Der Tunnel funktioniert und ich kann vom OpenVPN-Client auf alle Ressourcen im OpenVPN-Servernetz zugreifen.
Ich kann das Tunnelinterface (Tunnel ist im 172.16.0.0/24 mit Server: 172.16.0.1 und Client: 172.16.0.2) auf dem OpenVPN-Client anpingen und  per SSH darauf zugreifen.

_Problem_:
Ich kann aus dem OpenVPN-Servernetz nicht auf die OpenVPN-Client IP (192.168.0.254) oder OpenVPN-Client-Netz zugreifen.

Routen auf dem OpenVPN-Server sind gesetzt:
172.16.0.0/24    link#9             U        ovpns1
172.16.0.1         link#9             UHS    lo0
192.168.0.0/24  172.16.0.2       UGS    ovpns1

Routen Client:
172.16.0.0/24    link#9             U        ovpnc1
172.16.0.2         link#9             UHS         lo0
192.168.178.0/24   172.16.0.1         UGS      ovpnc1
192.168.179.0/24   172.16.0.1         UGS      ovpnc1
192.168.180.0/24   172.16.0.1         UGS      ovpnc1

In der Live View sehe ich auf der OpenVPN-Server Seite:
ovpns1    out    172.16.0.1    192.168.0.10    icmp    let out anything from firewall host itself

In der Live View auf der OpenVPN-Client Seite sehe ich aber nichts hinkommen.

Die Rule in der Chain OpenVPN ist: IPv4+6* * * * * * *
Ich habe Logging eingeschaltet.

Gruß Frank

[conloos]

Nachfolgend eine Veranschaulichung.

Code Select Expand




┌───────────────────┐                                                    ┌───────────────────┐
│ Gateway Fritzbox  │                                                    │ Gateway Fritzbox  │
└─────────────────┬─┘                                                    └─────────────────┬─┘
   10.0.0.1        │                                                        10.0.1.1        │
                   │                                                                        │
   10.0.0.254      │                                                        10.0.1.254      │
┌─────────────────▼─┐  ┌───────────────────┐      ┌───────────────────┐  ┌─────────────────▼─┐
│  Opnsense (WAN)   │  │ OpenVPN (1194)    │      │ OpenVPN (1194)    │  │  Opnsense (WAN)   │
└──────────────────┬┘  └───────────────────┘      └───────────────────┘  └──────────────────┬┘
                    │                                                                        │
                    │                                                                        │
   192.168.178.0/24 │                                                       192.168.0.0/24   │
┌──────────────────▼┐          ping 192.168.178.10 geht                  ┌──────────────────▼┐
│  Opnsense (LAN)   │◄───────────────────────────────────────────────────┤  Opnsense (LAN)   │
└───────────────────┘                                                    └───────────────────┘
                                ping 192.168.0.10 geht nicht
                      ───────────────────────────────────────────────────►




Zusammenfassung:
Tunnel geht aber Zugriff nur in eine Richtung.
Routen sind da, s.o.
Ich sehe keinen Eingang auf dem OpenVPN-Client wenn ich von dem Open-VPNServer pinge.

In anderen Howtos wurde noch ein weiteres Interface attached. Das hatte ich auch probiert und das gleiche Ergebnis.

Wenn jemand das Problem kennt, wäre ich für einen Link dankbar.
Wenn jemand ein funktionierendes Howto für S2S mit Access von beiden Seiten hat, wäre ich auch dankbar.


Gruß Frank