Site-to-site VPN mit OpenVPN: ERROR: FreeBSD route add command failed

alex.f

Hallo mal wieder :)

Ich habe ein neues Problem mit OpenVPN und einem site-to-site Tunnel:

Im Log auf Clientseite steht folgendes:
ERROR: FreeBSD route add command failed: external program exited with error status: 1

Ich habe also keine Route zwischen den Netzwerken.

Pingen kann ich das gegenüberliegende Gateway (Virtuelle IP), aber das war es auch schon.

Konfiguration:

2.4.0-RC (amd64) built on Sun Aug 27 22:20:28 CDT 2017

         Internet
            :
      .-----+-----.
      |  pfSense  |------- DMZ (192.128.2.0/28)
      |   OVPN S  |
      '-----+-----'
            | 172.16.2.1
            |
            |        Tunnel Net: 172.16.0.0/30
            |
            | 172.16.2.5
      .-----+-----.
      |  pfSense  |
      |   OVPN C  |
      '-----+-----'
            | 10.0.2.4
            |
           LAN

Die pfSense auf Serverseit ist im HA-Cluster (Sync-Net: 172.16.1.0/30) -> funktioniert, auch Failover für OpenVPN
OpenVPN mit preshared key
Serverseite IPv4 Remote network(s): 10.0.0.0/8
Clientseite IPv4 Remote network(s): 192.168.2.0/28

Bei "IPv4 Remote network(s)" heißt es ja:
IPv4 networks that will be routed through the tunnel, so that a site-to-site VPN can be established without manually changing the routing tables. Expressed as a comma-separated list of one or more CIDR ranges. If this is a site-to-site VPN, enter the remote LAN/s here. May be left blank for non site-to-site VPN.
–> folglich sollten sie korrekte(n) Route(n) automatisch gesetzt werden.

Firewall (OpenVPN):
Komplett offen, vorerst, um als Fehlerquelle auszuschließen

Serverseite:
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0 /504 B IPv4 * * * * * * none

Clientseite:
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0 /6 KiB IPv4 * * * * * * none

Verbinden funktioniert, es werden für den Server die 172.16.0.1 und den Client die 172.16.0.2 als virtuelle IPs vergeben
Site-to-site VPN tunnel MUC-AUG UDP4 up Mon Aug 28 15:59:45 2017 172.16.2.5:40823 172.16.0.2 172.16.2.1:1194 6 KiB / 5 KiB

Die virtuelle IP der jeweiligen Gegenseite läßt sich Pingen -> Tunnel funktioniert.

Was habe ich übersehen?

Grüße, Alex

PS: Auf der Clientseite soll später noch 0.0.0.0/0 durch den Tunnel geroutet werden (gesamter ausgehender Traffic).

viragomann

Hallo,

@alex.f:

         Internet
            :
      .-----+-----.
      |  pfSense  |------- DMZ (192.128.2.0/28)
      |   OVPN S  |
      '-----+-----'
            | 172.16.2.1
            |
            |        Tunnel Net: 172.16.0.0/30
            |
            | 172.16.2.5
      .-----+-----.
      |  pfSense  |
      |   OVPN C  |
      '-----+-----'
            | 10.0.2.4
            |
           LAN

eine VPN ist eigentlich dafür gedacht, über ein unsicheres, also meist öffentliches, Netz zu verlaufen. Auf ein /30er Netz trifft das wohl nicht zu.
Ein Testaufbau?
Wie auch immer, die VPN sollte auch hier funktionieren, wenn auch sinnfrei.

@alex.f:

Serverseite IPv4 Remote network(s): 10.0.0.0/8

:o Ist diese Netzbreite tatsächlich erforderlich?
Besser ist es, diese so schmal als möglich zu wählen.
Wenn alle Angaben stimmen, sollte aber auch das kein Problem darstellen.

Wie sieht deine Client VPN Konfiguration aus?

Laufen am Client noch andere OpenVPN Instanzen?

Wie sieht die Routing-Tabelle am Client aus?