Problem mit sftp Backup über VPN

Started by harald99, November 20, 2025, 04:39:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 20, 2025, 04:39:01 PM
Hallo zusammen,

ich habe folgenden Aufbau:

Code Select
       ...Client...
            |
        LAN | 10.1.2.0/24
            |
      .-----+-----.
      | OPNsense2 | 
      '-----+-----'
            |
        VPN |
            |
      .-----+------.
      | OPNsense1  +
      '-----+------'
            |
        LAN | 10.1.1.0/24
            |
       ...Server...

Wenn ich ein sftp backup von der OPNsense1 auf den Server mache, funktioniert es.
Der Client kann per SSH auf den server zugreifen.
Wenn ich ein sftp Backup von der OPNsense2 anstoße, kommt die OPNsense2 nicht per SSH an den Server.

Wie bekomme ich die OPNsense 2 dazu per sftp auf den Server zu sichern?

Salü
.h
November 20, 2025, 07:31:03 PM #1
Hallo,

Quote from: harald99 on November 20, 2025, 04:39:01 PMWenn ich ein sftp Backup von der OPNsense2 anstoße, kommt die OPNsense2 nicht per SSH an den Server.
kennt sie denn die Route dahin?
Hat der Server eine Route zu OPNsense2?

Wenn ja, lässt OPNsense1 die Verbindung zu?
November 21, 2025, 03:19:20 PM #2
Ich komme momentan nicht an die OPNs, aber hab die konfigs und ziehe mir das im vm lab hoch, dann prüfe ich die Routen.
November 22, 2025, 03:46:43 PM #3
So, setup im Lab ferit, gleiches Problem, was in dem Falle ja gut ist.

Routing OPNsense1:
Code Select
Proto Destination Gateway Flags Use MTU  Netif
...
ipv4  10.1.1.0/24 link#7  US    NaN 1412 wg0
...

Routing OPNsense2:
Code Select
Proto Destination Gateway Flags Use MTU  Netif
...
ipv4  10.1.2.0/24 link#7  US    NaN 1412 wg0
...

Im Live-Log der FW sehe ich weder allow noch deny Pakete.

route show mit jeweiliger anderweitiger IP hängt dran.



November 22, 2025, 06:24:21 PM #4
Ich vermisse da die Gateways. Eine Route auf einem Interface reicht nicht fürs Routing, es braucht eine konkrete Ziel-IP innerhalb des Interface-Subnetzes.
Bist du dir sicher, dass du die Gateways und Routen korrekt gesetzt hast?

Bezügliche Wireguard, bedenke auch, dass Server IP in den erlaubten IPs auf OPNsense2 enthalten sein muss, wenn nicht genattet.
Today at 12:43:40 PM #5
Die Netze sind gegenseitig in den WG-Peers erlaubt.

Wenn ich versuche eine Route für das Netz 10.1.1.0/24 über die Shell hinzuzufügen, kommt die Meldung, dass es bereits eine Route hierfür gibt.

Über die GUI kann ich keine neue Route hinzufügen, da das WG-Interface nicht in der Auswahlliste steht.
Today at 01:17:10 PM #6
Quote from: harald99 on Today at 12:43:40 PMÜber die GUI kann ich keine neue Route hinzufügen, da das WG-Interface nicht in der Auswahlliste steht.
Ein solches muss auch erst manuell zugewiesen werden:

In Interfaces > Assignments die jeweilige WG Instanz auswählen und Interface hinzufügen. Anschließend dessen Einstellungen öffnen und aktivieren.

Nachdem die Netzwerkkonfiguration von  Wireguard erledigt wird, ist nichts weiter zu tun. Das Interface bekommt eine IP und ein Gateway.
Das Gateway ist dann für die statischen Routen zur Remoteseite zu nutzen.
Today at 03:23:13 PM #7 Last Edit: Today at 05:16:12 PM by harald99
ok, Interfaces sind jetzt da, in der Lobby kann ich sehen, dass sie IPs haben.
in der gatewayliste für die Routen tauchen sie aber erst auf, wenn ich den haken bei "This interface dos not require an intermediate System to act as a gateway" gesetzt ist.
Nach setzen der Routen und der entsprechenden FW Regeln funktioniert es jetzt.

Vielen Dank für die Hilfe
Print
Go Up Pages1
User actions