OpenVPN Server hinter OPNsense. Verbindung aber keine Response auf Outboundtraff

[JoTec2002]

Hallo zusammen,

ich bin aktuell dabei von einer FritzBox als Router umzusteigen auf OPNsense. Der ganze "Standard kram" war soweit kein Problem zum größten Teil.

Erstmal der Netzaufbau: (siehe auch Anhang)
Remote Netz 192.168.0.0/24
Local Netz 192.168.1.0/24
OpenVPN Tunnel 10.8.0.0/24

Problem ist nun folgendes:
Wenn ich Traffic aus dem Local Netz in das Remote Netz schicke, dann kommen die Pakete zwar im Remote Netz an, aber die Antwort auf die Pakete fehlt.
Direkter Traffic aus dem Remote Netz ins Local Netz klappt aber (incl. Antwort zurück).
Ich kann also wenn ich im Local Netz bin Daten aus dem Remote Netz herunterladen aber keine Hochladen.
Ping und tracert klappen auch.

Nun ist mir folgendes Aufgefallen in der Firewall der OPNsense (Local Netz):
Es kommen Pakete an am WAN Interface mit verschiedener Quelle und als Destination die Öffentliche IP-Adresse des Remote Netzes. Diese wurden Standardmäßig geblockt aber auch ein freigeben dieser brachte nichts. Wrsl fehlt dann hier irgendeine NAT Regel? Aber welche?


VPN Server und Client sind richtig konfiguriert, da diese schon genau so konfiguriert, mit der FritzBox als Router funktioniert haben.
Warum nicht der OpenVPN Server der OPNsense? - Benutzerverwaltung & Zertifikate sind alle eingerichtet auf dem OpenVPN Server das wollte ich erstmal so bestehen lassen. (Hatte ja bisher auch funktioniert).

Kann mir irgendwer helfen welche Regel in der OPNsense nicht passt / ich hinzufügen muss?

Im vorhinein schonmal vielen Dank und Viele Grüße

[JeGr]

Dein OVPN Server ist auf deiner Seite die OPNsense, was ist es denn auf der Remote Seite? Da steht nur Router. Macht der selbst OpenVPN oder macht das eine Kiste dahinter? Das geht aus der Zeichnung gerade nicht so sehr hervor.

Wenn das eine getrennte Kiste ist, die NICHT das Default GW ist, dann dürftest du an asymmetrischem Routing leiden und der Default GW Router weiß schlicht nix von deinem VPN Netz und routet das dann ins Internet statt zu dir zurück. Daher die Frage wie das genau aufgebaut ist.

Cheers
\jens

[JoTec2002]

Ich habe auf beiden Seiten hinter dem Router eine eigenen Rechner.

Auf der Local Seiten den OpenVPN Server. Auf der Remote Seite den OpenVPN Client.

Die einzige Änderung war, dass auf der Local Seite nun statt der FritzBox die OPNsense zum Einsatz kommt. Mit der FritzBox hatte noch alles funktioniert.

[JeGr]

Darf man fragen, warum das auf nem eigenen Rechner läuft, wenn du doch mit der OPNsense das auch machen kannst?

Das Problem ist dann eben bei asymmetrischem Routing, dass die Router - und die Default GWs deiner Netze - nichts von der anderen Seite mit den IPs wissen, auch nicht das Transfernetz. Die wissen nicht wo sie den Kram hinschicken sollen. Es sei denn du trägst da dann eben manuell ne Route auf den OpenVPN Rechner jeweils ein auf dem Gateway aber genau das ist dann asymmetrisch, da das auf dem einen Weg PingPong über drei Ecken geht, die Antwort zurück aber direkt vom OpenVPN Server kommt der im gleichen Netz steht wie die Clients. Sowas versucht man auf jeden Fall zu vermeiden, weil es immer Seiteneffekte hat die nicht gut laufen.

Cheers

[JoTec2002]

Darf man fragen, warum das auf nem eigenen Rechner läuft, wenn du doch mit der OPNsense das auch machen kannst?

Wie in meinem ursprünglichen Post schon erwähnt Benutzerverwaltung & SSL-Zertifikate.

 

Das Problem ist dann eben bei asymmetrischem Routing, dass die Router - und die Default GWs deiner Netze - nichts von der anderen Seite mit den IPs wissen, auch nicht das Transfernetz. Die wissen nicht wo sie den Kram hinschicken sollen. Es sei denn du trägst da dann eben manuell ne Route auf den OpenVPN Rechner jeweils ein auf dem Gateway aber genau das ist dann asymmetrisch, da das auf dem einen Weg PingPong über drei Ecken geht, die Antwort zurück aber direkt vom OpenVPN Server kommt der im gleichen Netz steht wie die Clients. Sowas versucht man auf jeden Fall zu vermeiden, weil es immer Seiteneffekte hat die nicht gut laufen.

Okay und welche Route genau müsste ich dann in der OPNsense einrichten? Und das mag jetzt vielleicht etwas naiv klingen aber die letzten zwei Jahre mit der FritzBox als Router hat es doch auch Problemlos geklappt?

[JeGr]

Die Fritzbox macht gar viel automagisch und filtert vor allem VON INNEN her gar nichts. Die OPNsense ist eine volle Firewall und filtert was nicht erlaubt wird. Daher kann ich dir nicht sagen warum es vorher ging. Eventuell hast du auf dem Rechner selbst oder auf den anderen Rechnern noch zusätzliche Routen gesetzt oder greifst nur von diesem Rechner aus auf die andere Seite zu? Ohne etwas mehr Details kann ich das leider schlecht sagen. Aber das betrifft in dem Fall ja nicht nur deine Seite sondern die andere ja auch, wenn dort auch nicht das Gateway der OpenVPN Endpunkt ist.

[JoTec2002]

In der OpnSense sind zwei Routen.

eine für das Remote Netz (192.168.0.0/24) und eine für das VPN Netz (10.8.0.0/24) jeweils mit dem Gateway gesetzt auf den OpenVPN Server

Auf der Remote Seite schaut das ganze ähnlich aus nur mit den IP Adressen angepasst 192.168.1.0/24 und 10.8.0.0/24.

Was für Details bräuchtest du noch?

Von Innen nach außen läuft der Verkehr ja auch Problemlos. Das Problem ist der Weg wieder rein. :-) Kann es ein Nat Problem sein. Muss ich da evtl das ganze auf Static setzen? (nur geraten)

[blodone]

Ist das Problem direkt nach reboot aufgetreten?

Bei mir ist folgendes Problem mit pppoe WAN und UDP outbound NAT:
https://forum.opnsense.org/index.php?topic=38525

[JoTec2002]

Das Problem besteht seit dem umstieg auf OPNsense. Das Problem besteht immer egal wann der VPN verbunden wird.

[chemlud]

"asymetric routing" ist das Stichwort, wie schon oben geschrieben. Mach doch mal package capture an den unterschiedlichen Stellen und schau, wo die Pakete falsch abbiegen. Vermutlich doch am entfernten Router auf dem Rückweg...