OpenVPN Site-to-Site Routing Frage hinter Fritzbox
-
Hallo zusammen,
ich brauche einen kleinen Gedankenanstoß.
2x pfSense an 2 verschiedenen Standorten sollen mittels eine OpenVPN Site-to-Site Verbindung miteinander verbunden werden. Auf der "Server"-Seite ist die Pfsense auch gleichzeitig Router an einem Business Anschluss mit staischer öffentlicher IP. Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen. Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?
Vielen Dank für eure Hilfe im Voraus.
-
@heiko3001
Am Server hast du 192.168.178.0/24 als Remote Netzwerk eingetragen?Dann, falls nur ein Client damit verbunden werden soll und DCO kein Thema ist, die Tunnelmaske auf /30 setzen.
Falls mehrere Clients oder DCO, muss ein Client Specific Override konfiguriert werden, wo noch einmal das Client-seitige Netzwerk anzugeben ist.Am Client musst du noch eine Outbound NAT Regel setzen.
Das Outbound NAT in den Hybriden Modus schalten und ein Regel erstellen:
Interface: WAN
Source: das oder die Subnetz/e des anderen Standorts
Destination: WAN subnets
Translation: WAN address -
Hallo,
Wenn man am WAN Interface eine private IP Adresse hat muss an doch
Block private networks and loopback addresses
ausschalten.Hast Du das?
-
Ja, das habe ich deaktiviert, bzw. hat die PfSense schon selbst gemacht beim Erstellen des Netzes.
-
Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.
Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk. -
@Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.
Das Setzen der Routen sollte man besser OpenVPN überlassen. Dafür gibt es ja die entsprechenden Settings.
Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk.Das ja. Sollte das Client-seitige LAN Verbindungen zur Serverseite aufbauen können, brauchen die Geräte eine Route für das Servernetz auf die pfSense. Das Outbound NAT ermöglicht nur Zugriff auf die Clientseite, nicht anders rum.
Mit der Route kann man sich das NAT auch ersparen.Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.
-
@heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen.
Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.
Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.
Genau so läuft es hier seit längerem problemlos und einseparater Server für openVPN (pfsense hinter Fritte) ist nicht errforderlich.
-
@eagle61 Weil ich OpenVPN bevorzuge und keinen Zugriff auf die Fritzbox habe, lediglich auf die dahinterliegende Infrastruktur.