OpenVPN Roadwarrior auf Site2Site per Wireguard

[cklahn]

Hallo,

ich habe zwei Standorte mittels Wireguard verbunden. Standort A hat 192.168.0.0/24, Standort B hat 172.16.10.0/24. An beiden Standorten befinden sich OPNsenses. Ich kann jeweils von beiden Standorten auf Netzwerkfreigaben des gegenüberliegenden Standortes zugreifen. So weit so gut.

Nun habe ich bei Standort A zusätzlich OpenVPN für Roadwarrior eingerichtet, damit man per Notebook auf die Netzlaufwerke von Standort A zugreifen kann. Funktioniert auch.

Nun möchte ich aber, dass ich bei bestehender OpenVPN-Verbindung zu Standort A von ausserhalb auch gleichzeitig auf die Freigaben von Standort B zugreifen, ohne dass ich für Standort B auch ein OpenVPN einrichten muss.

Pings von Extern auf Standort A klappen, auf Geräte in Standort B nicht.

Wie bzw. welche Regeln muss ich zusätzlich bauen?

Für mein Verständnis befindet sich der externe Client bei stehendem OpenVPN-Tunnel im entsprechenden Tunnelnetz. Ich habe hier die folgende Regel:

IP IPv4+6, Protocol Any, Source: OpenVPN_Server Net, Port *, Destination *, Port *, Gateway *, Schedule *

Damit sollte doch alles funktionieren, oder?

Gruß
Christoph

[Monviech (Cedrik)]

Das Problem ist das Routing.

Auf Site B kennt kein Gerät das OpenVPN Netz, die Pakete werden nicht zurückgeroutet.

Löse es entweder durch Source NAT (Site A OpenVPN client IPs auf Site A LAN interface IP)...

oder durch anpassen des Wireguard Tunnels dass das OpenVPN Netz durchgeroutet wird. Alle Geräte auf Site B müssen zum OpenVPN Netz zurückrouten dürfen.

Beides nicht leicht (wenn man nicht weiß wie), am besten ein Schaubild zeichnen und mal händisch den Weg eines Paketes nachspielen, das hilft immer.

Im Routing Schaubild folgende Fragen für sich selbst beantworten:

- Wer kennt welches Netz?

- Wer ist Gateway für wen?

- Wo wird genattet?

- Wo endet der Tunnel?

- Welche Netze dürfen durch die Policy des Tunnels?

- Wie kommt das Antwortpaket zurück?