OPENVPN als Client, ohne den gesamten Traffic

[WWestermann]

Erlaubt mir diese "wirre" Überschrift...

Guten Abend in die Runde,

ich möchte folgendes Szenario aufbauen:

[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]

Hintergrund:

Häufig arbeite ich im Wohnmobil mit einer Telekom-WWAN-Verbindung. Aus dem Wohnmobil kann ich mit OpenVPN eine VPN-Verbindung zu einem virtuellen Server (bei Ionos platziert) aufbauen. Vom Büro aus kann ich mit OpenVPN auch eine VPN-Verbindung zu dem Server aufbauen.

Beide VPN-Clients bekommen eine eigene IP-Adresse (10.8.0.x), ich bekomme aber vom Wohnmobil keinen Zugriff auf das lokale Netzwerk hinter der OPNsense.

Folgendes habe ich bisher gemacht.

Auf dem Ionos-Server ist OpenVPN installiert und die zwei Clients sind vorhanden. Der Server bekommt die 10.8.0.1, der eine Client die .2 und der andere die .3 - Adresse.

Die Installation auf der OPNsense habe ich über "VPN/OpenVPN/Instances" realisiert. Der Verbindungsaufbau klappt auch soweit.

Jetzt geht aber jeder Traffic über die VPN-Verbindung. Das ist das eine Problem, das andere Problem liegt darin, dass ich keine Verbindung von dem einen Client zum Netzwerk hinter der OPNsense bekomme.

Kann mir da jemand unter die Arme greifen?

[viragomann]

[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]

Direkt ist nicht möglich?

In der OpenVPN Server Konfig benötigst du:

Code: [Select]

client-to-client
push "route <Subnet> <Mask>"
Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

[WWestermann]

Direkt ist nicht möglich?

Nein, leider nicht, da ich im OPNsense - Netz nur eine IPv6-Adresse habe und im Wohnmobil nur eine IPv4.

In der OpenVPN Server Konfig benötigst du:

Code: [Select]

client-to-client
push "route <Subnet> <Mask>"
Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

Werde ich ausprobieren und mich dann melden.

[WWestermann]

In der OpenVPN Server Konfig benötigst du:

Code: [Select]

client-to-client
push "route <Subnet> <Mask>"
Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

Kurze Nachfrage dazu.

Ich habe jetzt die beiden Netze als "Route" eingetragen, der OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.

[viragomann]

Verstehe nichts davon.

Ich habe jetzt die beiden Netze als "Route" eingetragen

Hast du 2 lokale Netze?
Also Route?

In der Server Konfig wie im Beispiel ist das anzugeben.

der OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wo?
Und was ist letzteres?
Eine Firewall Regel am OpenVPN Interface braucht es, die den Zugriff erlaubt.
Wenn du diesen einschränken möchtest, dann auf die Tunnel Netzwerk als Quelle.

Wobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.

??
Der gesamte Upstream des Clients?

Wenn es ins Detail gehen soll, musst du schon mehr Details zum Setup liefern. Ohne die VPN Server Konfig, die Client Konfigs und die Subnetze zu kennen, gehen die Fragen zu weit.