(gelöst)OpenVPN Site to Site lokale Netzwerke nicht erreichbar

Started by SigmundSeegras, August 22, 2023, 05:46:33 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 22, 2023, 05:46:33 PM Last Edit: September 15, 2023, 09:01:54 PM by SigmundSeegras
Hallo,

ich versuche seit ein paar Tagen einen OpenVPN Peer to Peer Tunnel einzurichten.
Der VPN Tunnel kann erfolgreich aufgebaut werden, allerdings können sich die Netze auf beiden Standorten gegenseitig nicht erreichen.

Außer mit tcpdump schauen, auf welchen Interfaces was ankommt, und im Firewall Live Log zu prüfen, ob etwas geblockt wird, weiß ich nicht wie ich die Ursache hier weiter eingrenzen kann.

In den angehangenen Screenshots versuche ich von Standort 1 LAN das Standort 2 LAN Interface anzupingen.
Und von Standort 2 LAN das Standort 1 Server Interface anzupingen.


Standort1:
DEC 690
OPNsense 23.7.1_3-amd64
FreeBSD 13.2-RELEASE-p2
OpenSSL 1.1.1v 1 Aug 2023

Standort2:
OPNSense VM auf Proxmox
OPNsense 23.7.1_3-amd64
FreeBSD 13.2-RELEASE-p2
OpenSSL 1.1.1v 1 Aug 2023


Mit tcpdump sehe ich, dass die Ping Pakete bis zum OpenVPN Interface der lokalen OPNSense kommen, allerdings auf keinem Interface der entfernten OPNsense ankommen.
Auf beiden OPNsense gibt es Routen, die auf das VPN Interface zeigen.

In den Firewall live Logs nach icmp gefiltert wird nichts geblockt.
Firewallregeln in Standort 2 erlauben alles, auf allen Interfaces.
Firewallregeln in Standort 1 erlauben alles auf den VPN Interfaces, auf dem LAN Interface alles zu den RFC1918 Addressen.

Aufgrund der Größeneinschränkungen, kann ich meine Screenshots hier nicht alle im Post mitliefern, deshalb hier ein einem öffentlichen mega.nz Ordner:
https://mega.nz/folder/wJtWVRgC#Va0ZxTq7rOKrDMNqirfYjg


August 25, 2023, 04:17:38 PM #1
Meinst du mit P2P ein Site2Site VPN?


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 25, 2023, 05:24:32 PM #2
QuoteMeinst du mit P2P ein Site2Site VPN?

Genau.
Nach meinem Verständnis ist der korrekte Server Mode für Site to Site VPN "Peer to Peer" lag ich da falsch?
August 28, 2023, 06:23:31 PM #3
Hat jemand eine Idee wie ich herausfinde, was mit den Ping Paketen passiert, nachdem sie im lokalen VPN Interface ankommen?

Mit den Firewall Live Logs und tcpdump sehe ich nur, dass sie im lokalen VPN Interface ankommen, aber nicht im entfernten VPN Interface.
Was mit den Paketen dazwischen passiert und "wohin die verschwenden" weiß ich nicht, und weiß auch nicht wie ich das herausfinde.

Kann ich meinen Post sonst noch verbessern?
September 09, 2023, 03:29:22 AM #4
Ich habe die OpenVPN Konfiguration auf beiden Seiten mal auf UDP4 gestellt, und nur IPv4 Netze eingetragen.
Aus 10.1.1.0/24 kann ich 10.2.1.0/24  immernoch nicht erreichen.

Allerdings eine neue Erkenntnis:
Von 10.1.1.10 kann ich 10.255.1.6 (virtuelle Adresse des entfernten Standords) erreichen.
Von 10.255.1.6 kann ich 10.1.1.10 erreichen.
September 13, 2023, 12:40:02 PM #5
Die Routen stimmen auf beiden Seiten?
September 13, 2023, 07:20:56 PM #6
Ich würde sagen ja.
Hier der Routing Status
September 15, 2023, 09:01:19 PM #7
Nein die Routen stimmen nicht. Hab da so oft drauf geschaut und es die ganze Zeit einfach nicht gesehen...

Die automatisch generierten Routen haben auf falsche IP Adressen gezeigt.
Ich habe nun das Tunnel Netz auf /30 geändert, und nun sind die automatischen Routen korrekt, und alles ist wie erwartet erreichbar.
Print
Go Up Pages1
User actions