OpenVPN Site-to-Site Routing Frage hinter Fritzbox
-
Hallo zusammen,
ich brauche einen kleinen Gedankenanstoß.
2x pfSense an 2 verschiedenen Standorten sollen mittels eine OpenVPN Site-to-Site Verbindung miteinander verbunden werden. Auf der "Server"-Seite ist die Pfsense auch gleichzeitig Router an einem Business Anschluss mit staischer öffentlicher IP. Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen. Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?
Vielen Dank für eure Hilfe im Voraus.
-
@heiko3001
Am Server hast du 192.168.178.0/24 als Remote Netzwerk eingetragen?Dann, falls nur ein Client damit verbunden werden soll und DCO kein Thema ist, die Tunnelmaske auf /30 setzen.
Falls mehrere Clients oder DCO, muss ein Client Specific Override konfiguriert werden, wo noch einmal das Client-seitige Netzwerk anzugeben ist.Am Client musst du noch eine Outbound NAT Regel setzen.
Das Outbound NAT in den Hybriden Modus schalten und ein Regel erstellen:
Interface: WAN
Source: das oder die Subnetz/e des anderen Standorts
Destination: WAN subnets
Translation: WAN address -
Hallo,
Wenn man am WAN Interface eine private IP Adresse hat muss an doch
Block private networks and loopback addresses
ausschalten.Hast Du das?
-
Ja, das habe ich deaktiviert, bzw. hat die PfSense schon selbst gemacht beim Erstellen des Netzes.
-
Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.
Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk. -
@Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.
Das Setzen der Routen sollte man besser OpenVPN überlassen. Dafür gibt es ja die entsprechenden Settings.
Die Frage ist noch was die Clients hinter den Fritznetz für eine default Route haben?
Die finden sonst nicht zurück und brauchen auch ein zusätzliche Route in dein Netzwerk.Das ja. Sollte das Client-seitige LAN Verbindungen zur Serverseite aufbauen können, brauchen die Geräte eine Route für das Servernetz auf die pfSense. Das Outbound NAT ermöglicht nur Zugriff auf die Clientseite, nicht anders rum.
Mit der Route kann man sich das NAT auch ersparen.Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.
-
@heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Auf der anderen Seite ist eine Fritzbox an einem DSL Anschluss der Router (192.168.178.1) Dort ist eine pfSense (WAN statisch 192.168.178.220 ohne LAN) mit lediglich einer Netzwerkkarte an diesem Fritzbox-Netz angeschlossen.
Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.
Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.
Genau so läuft es hier seit längerem problemlos und einseparater Server für openVPN (pfsense hinter Fritte) ist nicht errforderlich.
-
@eagle61 Weil ich OpenVPN bevorzuge und keinen Zugriff auf die Fritzbox habe, lediglich auf die dahinterliegende Infrastruktur.
-
@heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?
Vielen Dank für eure Hilfe im Voraus.
Das wird ungemütlich und schreit nach Problemen, da es asymetrisches Routing ist!
@Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.
Nein muss man nicht. Die Route wird in OpenVPN konfiguriert. Nicht statisch irgendwo reingeklöppelt :)
@viragomann said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.
Antworten
Genau das. Die Sense direkt ins gleiche Netz wie den restlichen Kram zu hängen gibt immer Ärger. An der Fritte ist aber nun sonstiger Kram stark limitiert. Das macht es leider nicht einfach. Besser wäre an der Stelle schlichtweg die Sense auf der Seite zwischen Fritte und Rest zu hängen und sie zum Default GW zu machen und die Fritte lediglich als Internet zu nutzen. Das wäre für alle besser.
@eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.
Weil man ansonsten asymetrisches Routing hat und damit "im Kreis" oder "im Dreieck" routet was sehr häufig zu allerlei Problemen, langsamer Datenübertragung oder Verbindungs-Abbrüchen, Problemen bei der Verbindung, Lags und Latenzen führt.
@eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:
Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.
Aber Wireguard ist viel besser "yada yada"...
Das ist in diesem Fall völlig irrelevant, da der Tunnel steht. Egal ob WG oder nicht, das zu Grunde liegende Problem von Routing löst auch Wireguard nicht "magisch" in Luft auf. Es macht das Ganze nur noch unübersichtlicher. Und die Fritte als WG Device zu nutzen ist auf andere Art "challenging", weil AVM hier auch wieder einige Fußangeln eingebaut hat. Sobald das Netz nicht simpel nur "dieses eine FB Netz" routen ist, löst sich das "ist viel einfacher" schnell in Luft auf.Zumal ich hier nicht sehe, warum man - wenn eh schon eine Box mit pfSense vor Ort ist - man die lieber abschaltet als schlicht vollends als Router in Betrieb zu nehmen. Oder hat die Box ggf. nur einen NIC und kann deshalb keinen Router spielen? Das wäre dann natürlich unglücklich.
Cheers