Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OVPN -> Traffic über IPSEC
« previous
next »
Print
Pages: [
1
]
Author
Topic: OVPN -> Traffic über IPSEC (Read 4605 times)
airdatec
Newbie
Posts: 20
Karma: 0
OVPN -> Traffic über IPSEC
«
on:
December 08, 2017, 04:19:31 pm »
Hallo Zusammen,
ich beschäftige mich seit einiger Zeit mit OPNsense und bin schlichtweg begeistert. Ich komme aus der IPCOP Ecke und es wird alles Farbig und Bunt =).
So jetzt zu meinem Problem, wir betreiben 2 x Opensense über Glasfaser an 2 Standorten (A 192.168.1.0 und B 192.168.2.0) über eine IPSEC Verbindung mit aktivierter Floating Regel.
Am Standort A gibt es OVPN Roadwoarrier (10.0.0.0) die auf das LAN am Standort A zugreifen, klappt soweit sehr gut.
Jetzt sollen die OVPN Roadwoarrier mit auch auf das Lan des Standorts B zugreifen:
OVPN 10.0.0.0 -> WAN Standort A (Intern 192.168.1.0) -> IPSEC-> Wan Standort B ->LAN 192.168.2.0
Bisher konnten ich das bei der IPCOP immer nur über einen zweiten IPSEC Tunnel mit dem Netzwerk 10.0.0.0 lösen.
Das ist aber keine prickelnde Lösung.
Ich hab schon Floating (OVPN/IPSEC), dem Client eine manuelle Route usw vergeben bin aber nicht weitergekommen. Eventuell hat einer von euch ja das ganze schon einmal gebaut und einen Tip für mich.
Danke
Chris
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: OVPN -> Traffic über IPSEC
«
Reply #1 on:
December 08, 2017, 05:49:00 pm »
Theoretisch sollte es gehen, mehrere Netze im IPsec Daemon zu definieren [1], wird aber leider nicht im GUI unterstützt. Daher müssten derzeit mehrere P2-Einträge erstellt werden.
Du kannst aber einen Feature Request machen - vielleicht wird es ja implementiert (sieht ja nicht sonderlich aufwendig aus).
[1]
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
(ctrl + f -> rightsubnet)
Logged
airdatec
Newbie
Posts: 20
Karma: 0
Re: OVPN -> Traffic über IPSEC
«
Reply #2 on:
December 13, 2017, 09:18:56 am »
Hallo Fabian
Danke für die Antwort. Wundert mich das diese Funktion bisher niemand wirklich gebraucht hat.
Den Feature Request stelle ich am besten wo ? hier im Board unter welcher Rubrik oder gibt es hier ein extra Portal ?
Logged
franco
Administrator
Hero Member
Posts: 17668
Karma: 1611
Re: OVPN -> Traffic über IPSEC
«
Reply #3 on:
December 13, 2017, 09:58:17 am »
Hallöchen und willkommen!
Phase 2, Advanced, Manual SPD entries:
Strongswan automatically creates SPD policies for the networks defined in this phase2. If you need to allow other networks to use this ipsec tunnel, you can add them here as a comma seperated list.When configured, you can use network address translation to push packets through this tunnel from these networks.
Ist noch recht neu.
Grüsse
Franco
Logged
airdatec
Newbie
Posts: 20
Karma: 0
Re: OVPN -> Traffic über IPSEC
«
Reply #4 on:
December 13, 2017, 04:42:10 pm »
Hallo Franco,
danke für die Antwort
RE: Phase 2, Advanced, Manual SPD entries
hab ich kapiert und hier das OVPN Netz 10.10.0.0/24, muss das an beiden Seiten des IPSEC Tunnels konfiguriert werden ?
RE: Strongswan automatically creates SPD policies for the networks defined in this phase2. If you need to allow other networks to use this ipsec tunnel, you can add them here as a comma seperated list.When configured, you can use network address translation to push packets through this tunnel from these networks.
Wie sollte ich hier die NAT Regel am besten aufbauen 1zu1 Nat ist es ja wahrscheinlich nicht, deshalb müsste ich hier eine Regel (FIREWALL NAT Ausgehend machen). Hier wahrscheinlich der Hybrid Modus und eine manuelle Regel.
Hab hier einiges durchprobiert jedoch geht mein PING über den OVPN Roadwoarrier nicht durch, auch hier die Frage ist das auf beiden Firewalls invertiert zu konfigurieren ?
Gibt es irgenwo ein Hotow mit einer Basiskonfiguration für diese Thematik. Wenn es bei mir funktioniert würde ich mich sehr gerne an einer Erstellung beteiligen.
Grüße Chris
Logged
franco
Administrator
Hero Member
Posts: 17668
Karma: 1611
Re: OVPN -> Traffic über IPSEC
«
Reply #5 on:
December 13, 2017, 04:54:29 pm »
Hallo Chris,
Jeweils auf der Seite auf der dies ausgehend zu übermitteln ist, d.h. das interne nicht-IPsec (also wenn es nicht zum selben Phase 1 gehört) Netz dort hinterlegen.
NAT ist unnötig solange die Netzbereiche nicht überlappen. Michael weiss dazu mehr...
Grüsse
Franco
Logged
airdatec
Newbie
Posts: 20
Karma: 0
Re: OVPN -> Traffic über IPSEC
«
Reply #6 on:
December 13, 2017, 05:27:38 pm »
Hallo Franco,
danke für die schnelle Antwort, hab das OVPN Netz mal über die SPD Option auf beiden Seiten erweitert um das OVPN Netz 10.11.0.0/24 hat wechselseitig/gleichzeitig nicht funktioniert.
Muss ich evtl. für den OVPN Client noch eine Route pushen ? der weiß ja nicht wirklich was er mit dem Netz anfangen soll.
Gruß Chris
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: OVPN -> Traffic über IPSEC
«
Reply #7 on:
December 13, 2017, 05:34:05 pm »
Muss ich evtl. für den OVPN Client noch eine Route pushen ? der weiß ja nicht wirklich was er mit dem Netz anfangen soll.
[/quote]
Dem Client muss das Netz, welches er indirekt erreichen kann, als Route mitgeteilt werden.
Alternativ kann der Standardgateway gesetzt werden.
Logged
airdatec
Newbie
Posts: 20
Karma: 0
Re: OVPN -> Traffic über IPSEC
«
Reply #8 on:
December 14, 2017, 01:25:21 pm »
Hallo Fabian,
habe ich mal manuell gemacht testweise am Client manuell eine Route auf den OVPN Netz GW IP und auf die Firewall ip selbst.
Bei beiden Routen geht nichts durch.
Hat das evtl hiermit zu tun ?
https://forum.opnsense.org/index.php?topic=5927.0
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OVPN -> Traffic über IPSEC