OpenVPN weiteres Subnetz über Client Routen | Windows Routing
-
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Das Gateway muss immer ein Gerät im lokalen Subnetz sein.
Arg, schon mein erster Denkfehler!
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Auf diesem braucht es dann auch noch mal eine Route für 192.168.5.0/24, die auf Device 1 zeigt, falls die noch nicht schon gesetzt ist.
Ja so geht es auf jeden Fall, leider habe ich noch ein "weiteres" Problem:
Wir haben für jedes (sind >100) Device1 ein unterschiedliches Subnetz und jeweils im VPN hinterlegt. Jetzt kommt aber die Schwierigkeit das jedes dieser Device1 Geräte zusätzlich noch ein statisches Device2 Gerät mit dem festen Subnetz 192.168.5.0/24 bekommt.
Klar könnte ich jetzt immer nur bei einem VPN Client das 192.168.5.0/24 hinterlegen,
das wäre aber eine sehr unsaubere Lösung welche immer ein Admin Eingriff bräuchte.Keine einfache Aufgabe...
-
@slu said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Wir haben für jedes (sind >100) Device1 ein unterschiedliches Subnetz und jeweils im VPN hinterlegt.
Das möchtest du aber nicht mehr vor dem Wochenende erledigt haben, oder?Jetzt kommt aber die Schwierigkeit das jedes dieser Device1 Geräte zusätzlich noch ein statisches Device2 Gerät mit dem festen Subnetz 192.168.5.0/24 bekommt.
Auf der Serverseite müssen die Netze natürlich eindeutig sein, um sie richtig routen zu können, bis einschließlich OpenVPN Server.
D.h., du könntest sie nur auf Clientseite natten und am Server das Ersatzsubnetz verwenden, um mit ihnen zu kommunizieren.Sollen Zugriffe in beide Richtungen erfolgen können?
-
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Das möchtest du aber nicht mehr vor dem Wochenende erledigt haben, oder?:) nein, nein die Clients gibt es schon lange. Zukünftig soll aber auch auf das neue Subnetz zugegriffen werden, allerdings betrifft das nur neue Projekte.
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
D.h., du könntest sie nur auf Clientseite natten und am Server das Ersatzsubnetz verwenden, um mit ihnen zu kommunizieren.
Leider ist hier Steuerungstechnik verbaut auf die ich sehr wenig Einfluss habe, alles irgendwie eine Sackgasse.
Sollen Zugriffe in beide Richtungen erfolgen können?
Nein, "nur" von Windows auf eine TCP Verbindung auf Device2.
So wie es aussieht gibt es nur die Möglichkeit auf der pfSense eine Route für das Netz 192.168.5.0/24 mit dem Gateway auf Device1 zu setzten (noch nicht probiert, aber das sollte funktionieren)?
Damit habe ich das Problem das ich jedes mal die Route setzen muss und immer nur eine VPN Client dieses Netz haben kann.
Wäre eine sehr unschöne Lösung aber ich sehe im Moment keine andere.
-
@slu said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Leider ist hier Steuerungstechnik verbaut auf die ich sehr wenig Einfluss habe, alles irgendwie eine Sackgasse.
Device 1 u. 2?
Aber routen kann das Ding, jedoch nicht natten?So wie es aussieht gibt es nur die Möglichkeit auf der pfSense eine Route für das Netz 192.168.5.0/24 mit dem Gateway auf Device1 zu setzten (noch nicht probiert, aber das sollte funktionieren)?
Am Server, also in OpenVPN, und am Client.
Damit habe ich das Problem das ich jedes mal die Route setzen muss und immer nur eine VPN Client dieses Netz haben kann.
Wäre eine sehr unschöne Lösung aber ich sehe im Moment keine andere.Ohne NAT auf Clientseite fällt mir da nichts ein. Auf der Serverseite musst du den Geräten ja eindeutig sagen können, wohin du dich verbinden möchtest, damit die Pakete zum richtigen Client gesendet werden.
-
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Device 1 u. 2?
Aber routen kann das Ding, jedoch nicht natten?Device 2 ist die Steuerung, Device 1 ist ein Teltonika, der sollte "alles" könnten :)
Ich versuche das mal aufzubauen, vielleicht ergibt sich noch eine andere Idee welche ich gerade noch nicht sehe... -
@slu
Die Clients selbst sind pfSense?Oder wenn die Clients auch NAT-fähig sind, was ich annehme, hätte ich noch eine bessere Idee, oder jedenfalls eine, die den Konfigurationsaufwand deutlich verkürzen könnte:
Du nattest auf den Clients alle Ports, die du benötigst, direkt von der Client-IP auf die Ziel-IPs, also auf Device 1 oder 2. Sollte ein bestimmter Port auf mehreren Geräten benötigt werden, musst du einen Ersatzport dafür nehmen.
Auf dem Client braucht es nach wie vor die Route für das 2. Netz.
Auf der Serverseite musst du dann eben unterschiedliche Ports für deine jeweiligen Protokolle verwenden, aber das Ziel ist dann immer einfach nur die Client-IP.Dann könnte man alle Clientseiten völlig identisch konfigurieren, was die Sache wahrscheinlich deutlich vereinfachen würde.
Auf Windows braucht es nur eine Route für das Tunnel-Netzwerk und du sprichst jede Clientseite direkt mit ihrer Client-IP an, musst allerdings unterschiedliche Ports verwenden, falls du auf eine Clientseite einen bestimmten Port auf mehreren Zielgeräten benötigen würdest.
-
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Die Clients selbst sind pfSense?
Leider nein, Teltonika Router.
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Du nattest auf den Clients alle Ports, die du benötigst, direkt von der Client-IP auf die Ziel-IPs, also auf Device 1 oder 2. Sollte ein bestimmter Port auf mehreren Geräten benötigt werden, musst du einen Ersatzport dafür nehmen.
Das muss ich klären, es sieht wohl im Moment (Halbwissen) nicht danach aus als ob die Software mit unterschiedlichen Ports umgehen könnte.
Ich behalte das aber im Kopf, danke für den Hinweis.
pfSense Gold subscription
-
@slu said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Leider nein, Teltonika Router.
Ich hatte es so verstanden, dass dem Device 1 (=Teltonika) noch ein OpenVPN-Client vorangeschaltet ist.
Aber egal, der Teltonika Router kann ja auch NAT.Das muss ich klären, es sieht wohl im Moment (Halbwissen) nicht danach aus als ob die Software mit unterschiedlichen Ports umgehen könnte.
Das wäre nur serverseitig nötig, also auf Windows.
Auf der Clientseite würde der Router wieder auf die korrekten Ports natten, vorausgesetzt, er kann das. -
Na jetzt würde eine Zeichnung der Netzstruktur helfen.
Ggf. macht es ja Sinn einen ganz anderen Bereich für das VPN Netz zu verwenden und den VPN Konzentrator an einer zentralen Stelle über ein Transfernetz anzubinden.
-
@slu said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Die Clients selbst sind pfSense?
Leider nein, Teltonika Router.
@viragomann said in OpenVPN weiteres Subnetz über Client Routen | Windows Routing:
Du nattest auf den Clients alle Ports, die du benötigst, direkt von der Client-IP auf die Ziel-IPs, also auf Device 1 oder 2. Sollte ein bestimmter Port auf mehreren Geräten benötigt werden, musst du einen Ersatzport dafür nehmen.
Das muss ich klären, es sieht wohl im Moment (Halbwissen) nicht danach aus als ob die Software mit unterschiedlichen Ports umgehen könnte.
Ich behalte das aber im Kopf, danke für den Hinweis.
Ansonsten bring das ganze mit in die nächste Usergroup, dann malen wirs auf - oder wenns zu speziell ist bzw. Details enthält die man nicht teilen sollte, kannst du mich auch direkt erreichen.
-
Ich konnte es wie von @viragomann schon vorgeschlagen mit DNAT auf dem Teltonika lösen.
Es hat jetzt wirklich eine Weile gedauert (und viele EMails mit dem Hersteller) bis ich von diesem "Net Device2" alle Informationen zusammen hatte, dass war eine ziemliche Blackbox (war mir vorher nicht bekannt/klar).
Vielen Dank an die Beiträge und eure Hilfe.
