OPENVPN als Client, ohne den gesamten Traffic

Started by WWestermann, November 18, 2024, 06:13:59 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 18, 2024, 06:13:59 PM
Erlaubt mir diese "wirre" Überschrift...

Guten Abend in die Runde,

ich möchte folgendes Szenario aufbauen:

[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]

Hintergrund:

Häufig arbeite ich im Wohnmobil mit einer Telekom-WWAN-Verbindung. Aus dem Wohnmobil kann ich mit OpenVPN eine VPN-Verbindung zu einem virtuellen Server (bei Ionos platziert) aufbauen. Vom Büro aus kann ich mit OpenVPN auch eine VPN-Verbindung zu dem Server aufbauen.

Beide VPN-Clients bekommen eine eigene IP-Adresse (10.8.0.x), ich bekomme aber vom Wohnmobil keinen Zugriff auf das lokale Netzwerk hinter der OPNsense.

Folgendes habe ich bisher gemacht.

Auf dem Ionos-Server ist OpenVPN installiert und die zwei Clients sind vorhanden. Der Server bekommt die 10.8.0.1, der eine Client die .2 und der andere die .3 - Adresse.

Die Installation auf der OPNsense habe ich über "VPN/OpenVPN/Instances" realisiert. Der Verbindungsaufbau klappt auch soweit.

Jetzt geht aber jeder Traffic über die VPN-Verbindung. Das ist das eine Problem, das andere Problem liegt darin, dass ich keine Verbindung von dem einen Client zum Netzwerk hinter der OPNsense bekomme.

Kann mir da jemand unter die Arme greifen?
November 18, 2024, 07:06:19 PM #1
Quote from: WWestermann on November 18, 2024, 06:13:59 PM
[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]
Direkt ist nicht möglich?

In der OpenVPN Server Konfig benötigst du:

Code Select
client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.
November 19, 2024, 02:05:10 PM #2
Quote
Direkt ist nicht möglich?

Nein, leider nicht, da ich im OPNsense - Netz nur eine IPv6-Adresse habe und im Wohnmobil nur eine IPv4.


Quote
In der OpenVPN Server Konfig benötigst du:

Code Select
client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

Werde ich ausprobieren und mich dann melden.
November 19, 2024, 06:16:45 PM #3 Last Edit: November 19, 2024, 06:27:29 PM by WWestermann
Quote from: viragomann on November 18, 2024, 07:06:19 PM
In der OpenVPN Server Konfig benötigst du:

Code Select
client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.
Kurze Nachfrage dazu.

Ich habe jetzt die beiden Netze als "Route" eingetragen, der OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.
November 19, 2024, 07:26:51 PM #4
Verstehe nichts davon.

Quote from: WWestermann on November 19, 2024, 06:16:45 PM
Ich habe jetzt die beiden Netze als "Route" eingetragen
Hast du 2 lokale Netze?
Also Route?

In der Server Konfig wie im Beispiel ist das anzugeben.

Quoteder OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wo?
Und was ist letzteres?
Eine Firewall Regel am OpenVPN Interface braucht es, die den Zugriff erlaubt.
Wenn du diesen einschränken möchtest, dann auf die Tunnel Netzwerk als Quelle.

QuoteWobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.
??
Der gesamte Upstream des Clients?

Wenn es ins Detail gehen soll, musst du schon mehr Details zum Setup liefern. Ohne die VPN Server Konfig, die Client Konfigs und die Subnetze zu kennen, gehen die Fragen zu weit.
Print
Go Up Pages1
User actions