OpenVPN Remote Netzwerk nicht erreichbar

nkraft · April 21, 2024, 10:47:39 AM

Hallo,

ich habe hier ein Site-to-Site OpenVPN, die Opnsense ist der Server und auf der anderen Seite ist ein Mikrotik OPENVPN Client.
Beide kommunizieren über ihr Tunnelnetzwerk, die Opnsense hat 10.10.10.1/24 und der Miktrotik 10.10.10.2/24
Einen Ping auf die Tunnel IP zum Mikrotik klappt. Von der OPNSENSE aus ping 10.10.10.2, geht.
Ich kann vom Mikrotik aus die Netzwerke erreichen, nur umgekehrt geht es nicht.
Das Mikrotik Netzwerk hat die 192.168.7.0/24.
EIn Gateway ist auch drin. Client Specific Overrides sind drin. Wird auch mit CSO verwendet.
Firewall ist auch nichts geblockt.
Vielleicht kann mir jemand einen Tipp geben. Vielen Dank. VG

default 192.168.0.1 UGS igb1
10.10.10.0/24 link#14 U ovpns1
10.10.10.1 link#14 UHS lo0
10.99.99.0/24 link#13 U wg1
10.99.99.1 link#13 UHS lo0
10.99.99.2 link#13 UHS wg1
10.99.99.3 link#13 UHS wg1
10.99.99.4 link#13 UHS wg1
10.99.99.5 link#13 UHS wg1
10.99.99.6 link#13 UHS wg1
localhost link#7 UH lo0
192.168.0.0/24 link#2 U igb1
192.168.0.81 link#2 UHS lo0
192.168.3.0/24 link#4 U igb3
192.168.3.254 link#4 UHS lo0
192.168.7.0/24 link#14 US ovpns1
192.168.20.0/24 link#13 US wg1
192.168.88.0/24 link#13 US wg1
192.168.178.0/24 link#13 US wg1
192.168.200.0/24 link#6 U ax1
192.168.200.210 link#6 UHS lo0
193.0.8.0/24 link#1 U igb0

Saarbremer · April 21, 2024, 02:04:45 PM

Hallo,

ich rätsele noch, was ...

QuoteIch kann vom Mikrotik aus die Netzwerke erreichen, nur umgekehrt geht es nicht.

... das wohl bedeuten soll.

Ich vermute, du fragst danach, warum du von der OPN Sense nicht nach 192.168.7.x kommst. Wenn es das ist, musst du mal herausfinden, wie du deinem Mikrotik OpenVPN eine Route hinzufügst, bzw. dort auf Fehlersuche gehen.

Du kannst auch mal den Traffic mitschneiden während du pingst und prüfen, ob die Pakete überhaupt richtig auf OVPNS1 landen, dann bist du seitens OPNSense erst mal sauber.

nkraft · April 21, 2024, 07:37:08 PM

Hi,

bin da auf die Spur gekommen, erstmal hat der Client die Routen nicht gezogen. Ich musste im Mikrotik Router noch ein Profil anlegen. Local Address 10.10.10.2 und auf der Remote Address 10.10.10.1
Client Specific Overrides hat er nicht genommen. Im Mikrotik hab noch eine SRC Nat Masq hinzugefügt.
Zwei Forwards In und Out Interface opvn-out1

So muss es stehen. 10.10.10.0
server   OPENVPN   mikrotik   x.x.x.x:58828   10.10.10.0       2024-04-21 18:38:36   11.41 MB   33.00 MB   ok

Wenn dort eine IP-Adresse 10.10.10.2 steht, dann funktioniert das nicht mehr.
server   OPENVPN   mikrotik   x.x.x.x:58828   10.10.10.2       2024-04-21 18:38:36   11.41 MB   33.00

Die Routen und Connects , dass hatte vorher gefehlt.
server       mikrotik   x.x.x.x:58828   192.168.7.253C   2024-04-21 19:25:22
server       mikrotik   x.x.x.x:58828   192.168.7.0/24   2024-04-21 18:38:37
server       mikrotik   x.x.x.x:58828   10.10.10.0   2024-04-21 19:25:22
server       mikrotik   x.x.x.x:58828   192.168.7.1C   2024-04-21 19:25:23

In der Routing Tabelle, gibt es einen kleinen Mülleimer. Dort war durch das probieren vom GW, irgendeine Adresse "10.10.10.1" eingetragen , diese hab ich noch gelöscht und das GW nochmal neu erstellt.

Von Netzwerk der Opnsense aus.
Antwort von 192.168.7.253: Bytes=32 Zeit=41ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=63ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=44ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=69ms TTL=62
Antwort von 192.168.7.253: Bytes=32 Zeit=39ms TTL=62

Von der Mikrotik Seite
SEQ HOST SIZE TTL TIME STATUS
0 193.0.8.246 56 64 57ms616us
1 193.0.8.246 56 64 125ms786us
2 193.0.8.246 56 64 37ms379us
3 193.0.8.246 56 64 107ms477us

Beim Mikrotik funktioniert das Auth nicht, muss auf Null stehen.
Peer to Peer SSL / TLS

OpenVPN Remote Netzwerk nicht erreichbar

nkraft

April 21, 2024, 10:47:39 AM Last Edit: April 21, 2024, 01:24:28 PM by nkraft

Saarbremer

April 21, 2024, 02:04:45 PM #1

nkraft

April 21, 2024, 07:37:08 PM #2