Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN Client auf dem Client erreicht fremdes Netz nicht
« previous
next »
Print
Pages: [
1
]
Author
Topic: VPN Client auf dem Client erreicht fremdes Netz nicht (Read 1287 times)
scriptOS
Newbie
Posts: 7
Karma: 0
VPN Client auf dem Client erreicht fremdes Netz nicht
«
on:
September 23, 2023, 01:50:46 am »
Guten Morgen zusammen,
ich bin seit zwei Wochen Nutzer einer OPNsense und habe mich heute Nacht frisch bei euch registriert.
Ich habe leider ein Problem, mit dem ich mich nun schon seit einer Woche rumschlage.
Zuerst meine Konfiguration
- Eine Fritzbox Cable, welche als Gateway fungiert (öffentliche IPv4 im /30er Netz von VDF.
- Eine OPNsense ebenfalls mit öffentlicher IPv4 im VDF Netz, die Fritzbox ist mein Moden
- Ein VLAN VID10 (10.0.1.0/24)
- Falls Wichtig: Mein LAN Interface (physikalisch) hat 192.168.1.0/24 und darüber gehen auch die VLANs raus
In dem VLAN10 stehen zwei virtuelle Clients, welche ich vor der Umstellung auf die OPNsense für VPN Verbindungen genutzt habe.
- WS06-VM | 10.0.1.206 -> per Wireguard nach Österreich
- WS07-VM | 10.0.1.201 -> per NordVPN nach Deutschland
Beide VPN Verbindungen werden hergestellt, aber ich kann in dem Netz dahinter keine Geräte erreichen.
Ab diesem Moment funktioniert komischer weise auch der Internetzugriff nicht mehr.
Beispiel: WS06-VM versucht im entfernten Netz 192.168.0.0/24 ein Gerät per Browser zu erreichen -> 192.168.0.100, der Versuch schlägt fehl.
Die Netzwerkeinstellungen an meiner WS06-VM:
Unbekannter Adapter tws:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 10.6.0.7
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 10.0.1.206
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.1.1
Ich habe das starke Gefühl, dass die OPNsense eine Rolle dabei spielt und ich vielleicht hier was definieren muss, damit ich raus darf?
Ich habe eine Regel, die besagt, dass ich nicht auf andere RFC1918_Netzwerke darf. Die Regel habe ich testweise deaktiviert und die Regel, dass die Geräte im VLAN10 überall hin dürfen, habe ich aktiviert. (Default allow LAN to any rule)
Als ich noch die Fritzbox als Router genutzt habe, hat das die letzten Jahre wunderbar funktioniert.
In der Liveansicht kann ich jedoch nichts erkennen, die IP Adresse meiner WS06-VM taucht auch nicht auf.
Aktuell weiß ich nicht, was ich falsch mache. Ich frage deshalb euch.
Hat von euch jemand einen VPN Client auf seinem Client installiert, mit dem er sich in fremde Netze wählt?
Zur Info: Das Netz 192.168.0.0/24 (Das entfernte Netz, welches ich per Wireguard erreichen möchte) ist in meinem Setup nicht bekannt. Ich nutze es zuhause nicht.
Ich hoffe, ich habe mich deutlich genug ausgedrückt und hoffe, dass mir jemand auf die Sprünge helfen kann.
Falls noch was benötigt wird, dann liefere ich gern nach.
Ich danke euch vielmals.
Grüße, Patrick
«
Last Edit: September 23, 2023, 02:26:21 am by scriptOS
»
Logged
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #1 on:
September 23, 2023, 11:43:16 am »
Hi,
Wie sind FritzBox und OPNSense miteinander verbunden? Ist das ein Transfer IP Netz mit eigener Range und wenn ja, welche ist das?
Das hört sich so an, als ob hinter deinen VPN Verbindungen Netze mit gleicher Range lauern.
Frage 2: Die VPN Maschinen sind reine Clients für Remote Netze und stellen selbst kein Site-2-Site für dein Netz zur Verfügung? Wie lauten die IP Ranges der Remote Netze?
Logged
scriptOS
Newbie
Posts: 7
Karma: 0
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #2 on:
September 23, 2023, 12:23:41 pm »
Guten Morgen.
Die zwei sind per LAN Kabel auf Port 2 der Fritzbox und dem WAN Port der OPNsense verbunden.
Ich habe von vdf ein 30er Subnetz bekommen.
Dazu habe ich ein Screenshot angehängt. Das Screenshot zeigt, dass ich beispielhaft die *.47 für meine OPNsense nutzen kann und so ist sie auch konfiguriert. Das passt also. Meine Freigaben ins Internet passen auch und meine Server sind auch von außen erreichbar.
Hinter dem VPN Netz gibt es genau zwei RFC1918 Netze, welche ich zuhause nicht konfiguriert habe.
Also wenn ich diese Netze ohne VPN aufrufen würde, würde einfach nichts passieren weil es die nicht gibt.
Richtig. Die Clients stellen einfach nur eine Verbindung zu einem Remote Netz her.
Die IP Ranges sind 192.168.0.0/24 für das interne Netz (der Router macht das Netz auf) und das interne VPN Netz des Wireguards Servers ist die 10.6.0.0/24. Hier erhalte ich eine IP Adresse vom VPN Server. Ein Routing ist eingestellt, sodass ich in das interne 192er Netz darf mit meinem Client.
Eine Site-to-Site Verbindung gibt es nicht.
Grüße, Patrick
Gesendet von meinem SM-N9860 mit Tapatalk
Logged
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #3 on:
September 23, 2023, 02:00:38 pm »
Ich bin immer noch geneigt zu sagen, dass es ein VPN/Wireguard Thema ist.
Lt. deinen Regeln darf VLAN 10 alles und Internet scheint ja im LAN normal zu funktionieren, nehme ich an.
Verbindest du jetzt VPN/Wireguard ändert sich auf dem Client die Routingtabelle. Dort würde ich anfangen mit Fehlersuche. Was liefert denn ein Traceroute auf einen bekannten Internethost ohne und mit aktiviertem VPN/Wireguard?
Auch würde mich die Routingtabelle, sowie die IP Konfiguration während einer aktivierten VPN/Wireguard Verbindung interessieren.
On Top: Kannst du mal deine Interfacekonfiguration der OPNSense geben? Außerdem sagst du mit der Fritzbox ging es vorher, was hat die für ein IP Netz aufgespannt?
Logged
scriptOS
Newbie
Posts: 7
Karma: 0
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #4 on:
September 24, 2023, 06:24:41 pm »
Hallo tron80,
sorry für meine späte Rückmeldung. Leider war ich seither nicht mehr am Rechner.
Ich habe ein paar Screenshots angehängt. Ich hoffe, sie sind aufschlussreich.
Private, öffentliche Schlüssel sowie meine öffentliche IPv4 habe ich ausgeblendet.
Bzg. meiner Interfacekonfig:
Ich weiss nicht, welche du brauchst. Ich hab dir mal WAN1 (die Schnittstelle, über der ich ins Internet gehe), LAN (die physikalische Schnittstelle, auf der meine ganzen VLANs raus gehen) und die meines VLAN10 vorbereitet.
Meine öffentliche IP an der OPNsense endet mit *.46
Die IP meines Gateways (Fritzbox) endet mit *.45
Was mir auch aufgefallen ist: Ich habe mit TRACERT.exe mir den Weg zu Google zeigen lassen. Bei aktiviertem VPN (Wireguard) hat das gefühlt ewig gedauert. Ich merk das auch, wenn ich eine Internetseite im Browser aufrufen möchte.
Ein Ping auf eine IP im Netzwerk im VPN hat übrigens auch nicht funktioniert.
Meine Fritzbox habe ich zurück gesetzt, als ich den Bride-Mode aktiviert habe.
Die Fritzbox hat vorher folgendes Subnetz zu Verfügung gestellt: 192.168.30.0/24
Jetzt stellt die das Standard Netz zu Verfügung: 192.168.178.0/24
Ich danke dir, dass du dir das anguckst.
Für mich ist die OPNsense noch relativ neu, daher bin ich über jeden Hilfe dankbar.
Liebe Grüße, Patrick
Logged
scriptOS
Newbie
Posts: 7
Karma: 0
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #5 on:
September 24, 2023, 06:25:28 pm »
Man kann nur 4 Bilder pro Posting hochladen, deshalb der Rest hier:
(ich habe hier noch mal alle Bilder zusammen hochgeladen:
https://och1.media-techport.de/c12275276766
)
- Der Link ist ab heute 8 Wochen gültig
«
Last Edit: September 24, 2023, 06:27:24 pm by scriptOS
»
Logged
scriptOS
Newbie
Posts: 7
Karma: 0
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #6 on:
September 24, 2023, 07:23:09 pm »
Ich muss mich hier noch mal zurück melden:
Ich habe noch ein zweites VLAN, das ist mein VLAN30_home.
Dort habe ich meine persönlichen Gerätschaften drin stehen. Eben auch ein Notebook.
Das Notebook hat sich erfolgreich im VPN angemeldet und kann auch sämtliche Gerätschaften dahinten anpingen und aufrufen.
Jetzt bin ich maximal verwirrt.
Das Servernetz, aus dem ich es schon ne weile versuche, gibt es schon lange. Damals hatte ich einen EDGE Switch, welche das Netz 10.0.1.0/24 physikalisch auf gemacht hat. Den Switch gibts heute natürlich nicht mehr. Da hab ich ja das VLAN10_server nun für.
Anbei die Einstellungen für heim Heimnetz (VLAN30_home)
Das Subnetz ist 192.168.30.0/24.
Ich habe mich gerde versichert, dass Gegenüber das Netz mich nicht in irgendeiner art aussperrt.
Von meinem Mobilfunk aus kann ich mich ebenfalls auf dem VPN verbinden und sehe die Gerätschaften dahinter.
(Mein Handy nutzt das O2 Netz mit irgendeiner IPv4, welche mir O2 vergibt)
Logged
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #7 on:
September 25, 2023, 10:27:17 am »
Hi,
danke für die Screenshots. Ich bin kein Wireguard Experte, dennoch fällt mir eine Sache auf:
Auf deinem funktionierenden VLAN 30 ist die Allow All Regel für alle Hosts am Interface erlaubt (*) statt nur für das VLAN Netzwerk wie in VLAN 10. IP Ranges sehen sonst gut aus.
Kannst du das Notebook versuchsweise in VLAN10 hängen und prüfen, ob es dann auch (nicht mehr) geht?
Falls es geht, liegt es nicht an OPNSense; falls nicht, bringt es was, die Default Allow Firewall Regel von VID10 bei Quelle auf * zu setzen?
Logged
scriptOS
Newbie
Posts: 7
Karma: 0
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #8 on:
September 27, 2023, 05:29:09 pm »
Hallo Tron80
Also, ich habe nun folgendes gemacht:
1. Mein NB per LAN ins Servernetz gehangen und siehe da: Das VPN funktionierte ohne murren und knurren.
Dann habe ich mir natürlich Gedanken gemacht, warum das bei meinen VMs nicht funktioniert.
2. Jedenfalls habe ich dann testweise beiden VMs jeweils eine zusätzliche NIC gegeben. Dann funktionierte auch bei beiden das VPN. Komischerweise nur mit einem E1000 Adapter und nicht mit einem VirtIo Adapter, aber OK.
Ich bin verwirrt, aber es funktioniert. Ich brauche also zwei Netzwerkkarten, damit meine VMs sich mit dem VPN gegenüber verbinden können.
Komisch? Ja. Weils vor der Umstellung auf die FW problemlos funktioniert hat.
Aber ich kann damit leben. Damit hat sich das Thema für mich erst mal erledigt.
Tron80? Ich danke dir, dass du dir für mich Zeit genommen und mir bei der Fehlersuche geholfen hast.
Danke dir vielmals!
Thema kann nun geschlossen werden.
Grüße, Patrick
Logged
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: VPN Client auf dem Client erreicht fremdes Netz nicht
«
Reply #9 on:
September 27, 2023, 09:38:07 pm »
Ich freue mich, dass es Fortschritte gab. Auch wenn es keine elegante Lösung ist
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN Client auf dem Client erreicht fremdes Netz nicht