OpenVPN Routing

[fw115]

Ich komme bereits ins vom LAN ins Internet.
Der VPN Tunnel steht und ist connected.
Was ich nicht kann , weil das NAT sicher nicht stimmt evt. GW ?, ist von aussen auf
195.8.x pingen oder die virtuelle IP des VPN Tunnels die vom Provider gesetzt wurde.

Man möge mir verzeihen, aber irgendwie habe ich den dreh mit Opensense noch nicht raus.

Als Bilder noch System GW und Nat.

Rules zum Testen erstmal überall any any.

Was sehe ich nicht oder wo bin ich falsch abgebogen ?

Danke.

[fw115]

Mehr Bilder

[fw115]

Übersicht

[userbenutzer]

Entschuldige, aber ich verstehe nicht, was dein Ziel überhaupt ist.

195.xx ist doch ein öffentliches Netz und du hast es auf der DMZ? Und die DMZ scheint nicht richtig verbunden oder angeschlossen zu sein, siehe das rote X in der Übersicht.

[trixter]

Würde auch sagen : Erst mal das DMZ-Interface hoch bekommen, sonst kann das nichts werden

Verstehe auch den Sinn nicht, eine DMZ mit öffentlichen Adressen zu betreiben. Das schränkt doch viel zu sehr ein und ist anfällig für Fehler.

Würde empfehlen die DMZ mit privaten Adressen zu betreiben und per NAT/PAT/Reverse-Proxy Dienste ins Netz zu stellen.
Wenn dann mal versehentlich ein Port offen und die Regeln zu lasch sind, schlägt das nicht gleich bis zum Server durch.

[fw115]

Hallo zusammen,

erstmal danke für die Antworten.

War mein Fehler .. DMZ INT ist 192.168.100.1
Und mein Plan war auch wie die Empfehlung von trixter, sind aber irgendwie die VPN IPs als DMZ IPs in den Plan gerutscht.

Dennoch fehlt mir aber das richtige Routing.

Ich habe als GW für DMZ jetzt :

Int: DMZ , GW IP: 192.168.100.1

Wie Route ich denn jetzt die VPN IPs zu 192.100.x Zielen in der DMZ ?

[userbenutzer]

Wenn die opnsense als Gateway eingetragen ist und du entsprechende Firewall Regeln erstellt hast, müsste geroutet werden.

Du kannst dir die Routing Tabelle anschauen unter System > Routes > Status

Fehlende Routen kannst du erstellen unter System > Routes > Configuration

[trixter]

bitte vor lauter Routen nicht vergessen die Rules zu ergänzen.

[fw115]

Scheinbar bin ich echt zu blöd...

Bei der Astaro / Shopos UTM9 war das easy...

Hier suche ich mich Tod in den div. Sub Menüs, was es nicht gerade einfacher macht.
Ein Traceroute zeigt mir, das er bis zum Tunnelinterface des Provides kommt und dann Ende.
Also gibt es von meiner Seite aus keine entsprechende Antwort.

Ich hab keine Plan mehr was ich wo hier noch machen soll.

[trixter]

Kein Grund die Flinte ins Korn zu werfen...

Wenn Du OpenVPN machst und der Tunnel aufgebaut wird, kann es nur an mangelnden Regeln oder fehlendem Routing bzw NAT liegen.

Regeln kannst Du im Live-Log unter Firewall checken.
Routen wie bereits beschrieben unter System / Routes / Status

Hast den schlimmsten Teil hinter Dir.

[fw115]

Danke, aber so richtig will das noch nicht.

Also Interfaces:

DMZ > igb1 > 192.168.100.1/32
Glasfaser > vlan01 100.6x.X.X./16  DHCPv4
LAN > igb0 > 192.168.2.1
Tunnel > ovpnc2 > 213.24x.x./32 mit meinem 195.8x.x./29

Alles an Traffic muss über Glasfaser nach außen. Logisch

Alles was von LAN kommt muss über Glasfaser rein und raus

Alles von vom Tunnel kommt soll an DMZ und jeweils an eine 192.168.100.x und von da wieder zurück durch den Tunnel nach außen.

NAT wie ?
Rules im Moment alle auf any any auf jedem Interface um da erstmal den Kopf frei zu haben.
Brauche ich zusätzliche Routen ?


Ich komme hier einfach nicht weiter.

Aus dem LAN komme ich raus. Kann Webseiten aufrufen usw.
Ich kann jedoch keine Adresse in der DMZ erreichen.
Aus der DMZ komme ich aus raus.

Irgendwas überseh ich und das treibt mich gerade ein wenig in den Wahnsinn.

[userbenutzer]

Hallo,
ich würde fast schon vermuten es ist ein sehr einfacher Fehler oder der Fehler ist vielleicht anderswo zu suchen.

Falls du jetzt sehr viel eingestellt hast und schon probiert hast, vielleicht noch einmal ganz von vorn zu starten und die opnsense einmal auf Werkseinstellung zu setzen?

In der Werkseinstellung ist dann erlaubt, dass LAN überall hin darf.

Und dann ein Thema nach dem anderen.

Ich verstehe es jetzt so, dass du aus dem LAN in die DMZ zugreifen willst und es soll vom Tunnel was an die DMZ und ins LAN weitergeleitet werden.
Ich würde erstmal starten mit Zugriff LAN > DMZ. Wenn das läuft dann das nächste Thema.

Wenn die Netzwerke korrekt in der opnsense eingerichtet sind, die opnsense als Gateway beim Client eingetragen ist (und keine Regeln das verbieten) wird automatisch geroutet und du musst keine zusätzlichen Routen eingeben.

Wenn du da schon Probleme hast, erstmal darauf konzentrieren und weiter suchen. Stimmt mit dem Netzwerk alles? Kannst du die DMZ IP der opnsense erreichen? Wird vielleicht doch was geblockt? (Live-Log prüfen)
Traceroute kann auch manchmal helfen. Kannst du über die opnsense deine Geräte erreichen? Entweder über SSH auf die opnsense oder sonst findest du unter Interfaces > Diagnostics auch eine GUI für Ping oder Traceroute.

Ich wünsch dir viel Erfolg!

[fw115]

Also ich komme vom LAN in die DMZ und umgekehrt.

ich erreiche jedoch keine IP über den VPN Tunnel.
Der Tunnel steht als connected. Die Tunnel IP vom Provider wird mir angezeigt.

Ich habe z.B. der DMZ eine virtuelle IP zugewiesen, die 195.8.x.x die dann auf DMZ 192.168.100.1 liegt

Ich kann alles von der Firewall und meinem Laptop anpingen, nur eben von außen nicht.

Ein PING mit einem Online Ping Tool ergibt einen Timeout.
Der Traceroute hört bei der Firewall auf.
Das obowohl ersteinmal alles auf ANY ANY steht in jedem Interface zum testen

[fw115]

So, heute mal reset und restart from scratch.

Ergebnis, bin soweit wie vorher. :'(

[Patrick M. Hausen]

Das "allow any any" gilt auch für das OpenVPN Interface? Frag nur