Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN Site-to-Site Routing Frage hinter Fritzbox

    Scheduled Pinned Locked Moved
    Deutsch
    5
    9
    163
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      heiko3001
      last edited by

      Hallo zusammen,

      ich brauche einen kleinen Gedankenanstoß.

      2x pfSense an 2 verschiedenen Standorten sollen mittels eine OpenVPN Site-to-Site Verbindung miteinander verbunden werden. Auf der "Server"-Seite ist die Pfsense auch gleichzeitig Router an einem Business Anschluss mit staischer öffentlicher IP. Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen. Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?

      Vielen Dank für eure Hilfe im Voraus.

      V E JeGrJ 3 Replies Last reply Reply Quote 0
      • V
        viragomann @heiko3001
        last edited by

        @heiko3001
        Am Server hast du 192.168.178.0/24 als Remote Netzwerk eingetragen?

        Dann, falls nur ein Client damit verbunden werden soll und DCO kein Thema ist, die Tunnelmaske auf /30 setzen.
        Falls mehrere Clients oder DCO, muss ein Client Specific Override konfiguriert werden, wo noch einmal das Client-seitige Netzwerk anzugeben ist.

        Am Client musst du noch eine Outbound NAT Regel setzen.
        Das Outbound NAT in den Hybriden Modus schalten und ein Regel erstellen:
        Interface: WAN
        Source: das oder die Subnetz/e des anderen Standorts
        Destination: WAN subnets
        Translation: WAN address

        1 Reply Last reply Reply Quote 0
        • S
          Snoopy354
          last edited by

          Hallo,

          Wenn man am WAN Interface eine private IP Adresse hat muss an doch
          Block private networks and loopback addresses
          ausschalten.

          Hast Du das?

          H 1 Reply Last reply Reply Quote 0
          • H
            heiko3001 @Snoopy354
            last edited by

            @Snoopy354

            Ja, das habe ich deaktiviert, bzw. hat die PfSense schon selbst gemacht beim Erstellen des Netzes.

            1 Reply Last reply Reply Quote 0
            • S
              Snoopy354
              last edited by Snoopy354

              Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.

              Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
              Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk.

              V 1 Reply Last reply Reply Quote 0
              • V
                viragomann @Snoopy354
                last edited by

                @Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.

                Das Setzen der Routen sollte man besser OpenVPN überlassen. Dafür gibt es ja die entsprechenden Settings.

                Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
                Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk.

                Das ja. Sollte das Client-seitige LAN Verbindungen zur Serverseite aufbauen können, brauchen die Geräte eine Route für das Servernetz auf die pfSense. Das Outbound NAT ermöglicht nur Zugriff auf die Clientseite, nicht anders rum.
                Mit der Route kann man sich das NAT auch ersparen.

                Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.

                1 Reply Last reply Reply Quote 0
                • E
                  eagle61 @heiko3001
                  last edited by eagle61

                  @heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                  Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen.

                  Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.

                  Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.

                  Genau so läuft es hier seit längerem problemlos und einseparater Server für openVPN (pfsense hinter Fritte) ist nicht errforderlich.

                  H 1 Reply Last reply Reply Quote 0
                  • H
                    heiko3001 @eagle61
                    last edited by

                    @eagle61 Weil ich OpenVPN bevorzuge und keinen Zugriff auf die Fritzbox habe, lediglich auf die dahinterliegende Infrastruktur.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @heiko3001
                      last edited by

                      @heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                      Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?

                      Vielen Dank für eure Hilfe im Voraus.

                      Das wird ungemütlich und schreit nach Problemen, da es asymetrisches Routing ist!

                      @Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                      Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.

                      Nein muss man nicht. Die Route wird in OpenVPN konfiguriert. Nicht statisch irgendwo reingeklöppelt :)

                      @viragomann said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                      Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.

                      Antworten

                      Genau das. Die Sense direkt ins gleiche Netz wie den restlichen Kram zu hängen gibt immer Ärger. An der Fritte ist aber nun sonstiger Kram stark limitiert. Das macht es leider nicht einfach. Besser wäre an der Stelle schlichtweg die Sense auf der Seite zwischen Fritte und Rest zu hängen und sie zum Default GW zu machen und die Fritte lediglich als Internet zu nutzen. Das wäre für alle besser.

                      @eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                      Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.

                      Weil man ansonsten asymetrisches Routing hat und damit "im Kreis" oder "im Dreieck" routet was sehr häufig zu allerlei Problemen, langsamer Datenübertragung oder Verbindungs-Abbrüchen, Problemen bei der Verbindung, Lags und Latenzen führt.

                      @eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

                      Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.

                      Aber Wireguard ist viel besser "yada yada"...
                      Das ist in diesem Fall völlig irrelevant, da der Tunnel steht. Egal ob WG oder nicht, das zu Grunde liegende Problem von Routing löst auch Wireguard nicht "magisch" in Luft auf. Es macht das Ganze nur noch unübersichtlicher. Und die Fritte als WG Device zu nutzen ist auf andere Art "challenging", weil AVM hier auch wieder einige Fußangeln eingebaut hat. Sobald das Netz nicht simpel nur "dieses eine FB Netz" routen ist, löst sich das "ist viel einfacher" schnell in Luft auf.

                      Zumal ich hier nicht sehe, warum man - wenn eh schon eine Box mit pfSense vor Ort ist - man die lieber abschaltet als schlicht vollends als Router in Betrieb zu nehmen. Oder hat die Box ggf. nur einen NIC und kann deshalb keinen Router spielen? Das wäre dann natürlich unglücklich.

                      Cheers

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post