OPenVPN Routing Problem / Default GW Problem

Started by fw115, Today at 05:48:30 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
Today at 05:48:30 PM Last Edit: Today at 05:50:08 PM by fw115
Hallo zusammen,

nutze das Legacy Plugin.

2 Zustände:

Lasse ich beim VPN Client die routen ziehen komme ich über das VPN an meine Webserver , ping usw. So wie es eben soll.
Dafür kann ich dann nicht mehr aus dem LAN raus ins Internet.

Mach ich beim VPN Client no route pull, komme ich vom LAN ins Netz und dafür aber nicht mehr an meiner Webserver und co.

Was übersehe ich ?



Config:
LAN > 192.168.1.0/24
WAN > über Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 groutet ist

Die Firewall DMZ hat die erste Nutzbare IP Adresse des / 29 als Interface Adresse
DMZ > 195.8.xx.xx.1/29

Today at 05:51:26 PM #1
Füge bei der Allow-Regel am LAN deinen Gateway ausdrücklich hinzu.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 06:04:22 PM #2
OK, irgendwie bin ich echt zu blöd für Networking....

Aber macht es nicht Sinn, dass WAN > über Vlan 132 32.xx.xx./24 das default GW ist ?

Im Moment ist das VPN das default GW und ich weiss nicht warum ?

Hier mal das was unter System > Gateways > Configuration ist:

Irgendwie sieht das auch nicht ganz so richtig aus.

Today at 08:53:25 PM #3
Quote from: fw115 on Today at 06:04:22 PMAber macht es nicht Sinn, dass WAN > über Vlan 132 32.xx.xx./24 das default GW ist ?
Hängt von deiner Umgebung ab.
Aber es funktioniert doch, wenn du die VPN deaktivierst? So wird das nicht die Ursache deiner Probleme sein.

Quote from: fw115 on Today at 06:04:22 PMIm Moment ist das VPN das default GW und ich weiss nicht warum ?
Wenn der Server die Default-Route pusht und "route no-pull" nicht aktiviert ist, ist das so.

Ich weiß noch immer nicht, was du eigentlich haben möchtest. Nur Zugriff aus der VPN aufs DMZ? Nur DMZ über VPN? Allen Upstream Traffic über die VPN?
Für Upstream Traffic über die VPN braucht es eine Outbound NAT Regel am VPN Interface.
Today at 09:07:07 PM #4
Seine DMZ bekommt über das VPN ein globales /29 geroutet ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 09:13:01 PM #5
Ja, hatte ich noch in Erinnerung. Aber das beantwortet nicht, wie er mit ausgehenden Traffic verfahren möchte.
Today at 09:19:37 PM #6 Last Edit: Today at 09:21:54 PM by fw115
Genau.

Hier nochmal meine Gateways als Screen Shot.
Warum steht das WAN mit  defunct (upstream) da drin ? Versteh ich nicht.
Today at 09:29:08 PM #7
Quote from: viragomann on Today at 09:13:01 PMJa, hatte ich noch in Erinnerung. Aber das beantwortet nicht, wie er mit ausgehenden Traffic verfahren möchte.

Also:
Alles aus dem und in das LAN über :

WAN > über Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP

alles aus der DMZ und in die DMZ :

OpenVPN > 213.240.xx.xx./32 auf das ein 195.8.xx.xx/29 groutet ist 1 nutzbare /29 Adresse hat das Interface der DMZ.
Today at 09:37:48 PM #8
Wenn du verschiedene Gateways nutzen möchtest, kommst du um Policy-Routing nicht herum.
Das würde ich dann für die DMZ machen.

Also erst mal im OpenVPN Client "route no-pull" aktivieren.
Und dann in der DMZ Regel, die ausgehenden Traffic erlaubt, das VPN Gateway setzen.

Benötigt die DMZ Zugriff auf lokale Services, bspw. DNS auf der OPNsense, musst du eine eigene Regel dafür erstellen, die nur für Zielport 53 und diese über die Policy-Routing setzen, denn diese zwingt allen Traffic, auf den die Bedingungen zutreffen (Protokoll, Quell-IP, -Port, Ziel-IP, -Port) auf das Gateway.
Today at 09:41:27 PM #9
Stimme zu - über das OpenVPN keine Default-Route ziehen. reply-to einschalten bzw. eingeschaltet lassen (ist der Default) und für die DMZ eine Policy-Regel anlegen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 10:00:34 PM #10
OK,

habe route- no-pull gesetzt.

dann in OPENvpn eine Rule erstellt:

ipv4 ICMP > Soource * > Port * > Dest. DMZ Net > Port * > Gateway _VPN_LEG_VPNv4


Kein Ping mehr möglich.

Jetzt kommt sicher wieder mein Problem, dass ich Garantiert im falschem Interface  bin
oder nicht verstanden habe wie die DMZ  Policy-Regel richtig angelegt wird, da kein ping usw. mehr funktioniert.
Today at 10:05:50 PM #11
Quote from: fw115 on Today at 10:00:34 PMJetzt kommt sicher wieder mein Problem, dass ich Garantiert im falschem Interface  bin
Interface könnte VPN_LEG sein, ist aber nicht entscheidend für diesen Zweck.

Aber die Destination muss any sein.
DMZ net würde nur Traffic auf die FW Interface IP betreffen.
Today at 10:17:50 PM #12
Du hast eine globale Floating Rule, die "ping" erlaubt wie in dem anderen Thread empfohlen? Dann solltest du die VPN-Adresse der OPNsense und die Adresse der OPNsense in der DMZ bereits aus dem Internet anpingen können. Klappt das?

Die Policy-Rule brauchst du für den ausgehenden Verkehr der Server in der DMZ - die gehört also auf das DMZ-Interface.

Und für eingehenden Verkehr brauchst zu z.B.

Interface: das OpenVPN-Dings
Source: any
Destination: DMZ net
Destination port: z.B. 80 und 443 - man kann einen Alias bauen mit beidem und den z.B. "Web" nennen

Das sollte es eigentlich sein. Der VPN-Provider schickt den Kram ja in den Tunnel und dann landet er bei deinen Servern. Der "state" in Verbindung mit reply-to (per Default an) sollte dafür sorgen, dass die Antworten auch wieder im Tunnel landen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 10:30:37 PM #13 Last Edit: Today at 10:34:36 PM by fw115
Quote from: Patrick M. Hausen on Today at 10:17:50 PMDu hast eine globale Floating Rule, die "ping" erlaubt wie in dem anderen Thread empfohlen? Dann solltest du die VPN-Adresse der OPNsense und die Adresse der OPNsense in der DMZ bereits aus dem Internet anpingen können. Klappt das?
Wenn route-no-pull nicht disabled ist, dann ja. Nehme ich route pull raus, vorbei mit ping.

Quote from: Patrick M. Hausen on Today at 10:17:50 PMDie Policy-Rule brauchst du für den ausgehenden Verkehr der Server in der DMZ - die gehört also auf das DMZ-Interface.
Ich glaube ich check mal wo was lang geht mit :
curl --interface igb0 https://ifconfig.me

Und für eingehenden Verkehr brauchst zu z.B.

Interface: das OpenVPN-Dings
Source: any
Destination: DMZ net
Destination port: z.B. 80 und 443 - man kann einen Alias bauen mit beidem und den z.B. "Web" nennen

Das sollte es eigentlich sein. Der VPN-Provider schickt den Kram ja in den Tunnel und dann landet er bei deinen Servern. Der "state" in Verbindung mit reply-to (per Default an) sollte dafür sorgen, dass die Antworten auch wieder im Tunnel landen.

Genau so habe ich es auch gemacht. Allerdings ging dann alles über das VPN.

iCh glaube ich check das mal mit:

curl --interface igb0 https://ifconfig.me
Today at 10:38:36 PM #14
Komm doch am Freitag mal zum virtuellen Stammtisch, dann gucken wir uns den Kram live an.

Der Jens hat mit OpenVPN auch noch deutlich mehr Erfahrung als ich, ich benutz wo ich kann lieber IPsec oder WireGuard.

Stammtisch-Info: https://forum.opnsense.org/index.php?topic=18183.0
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1 2
User actions