PfSense Routing von separaten OpenVPN-Tunneln
-
Hi Leute,
ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
und unterschiedlichem IP-Range am laufen.
2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
jeweils mit dem Server-LAN und der DMZ.
Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
Zugriffe funktionieren in jeweils beide Richtungen problemlos.
Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
nur einen Tunnel im Multi-Client-Modus laufen.
Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
sie funktioniert nicht direkt vom Client aus.
Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
leider eben nicht direkt von Tunnel zu Tunnel.
Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
auf der pfSense hier überhaupt funktioniert.
Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
meine Verbindung zur pfSense kappen.
Gruß & Danke orcape -
Ahoi,
soweit ich das sehe, liegt dein Hauptproblem darin, dass die Tunnel-Endnetze von #1 und #2 nicht auf deinem verbundenen VPN Client ankommen (können), weil er die Route nicht hat. Es sollte bei der Verbindung von #3 (dein Client-VPN) theoretisch genügen, mit einem zusätzlichen "PUSH n.n.n.n" Statement am Ende die Routen für die Netze #1 und #2 an deine Clients von VPN #3 zu veröffentlichen. Als machbar sehe ich das aber schon.
Grüße
-
Hi JeGr,
danke erst mal für Dein Feedback.
Das Problem liegt wohl daran, das sich alle 3 Tunnel-Server auf einem Interface befinden und die Server geroutet werden müssen.
Die Server wissen ja automatisch die Route zu Ihren Clients, nur weiß Tunnel-Server 3 nichts von den anderen beiden.
Der Versuch nur mit push "route allein genügt nicht. das habe ich schon festgestellt.
Die Config sollte eigentlich wie folgt funktionieren….
Server 3 unter "Advanced configuration"route TunnelNetz 2; route TunnelNetz 3; push "route TunnelNetz 2"; push "route TunnelNetz 3";
unter Client Spezifische Conf.(openvpn.csc/ccd) Tunnel3….
iroute TunnelNetz 2; iroute TunnelNetz 3;
Leider bin ich noch 2 Wochen gezwungen von remote über Tunnel 3 auf die pfSense zuzugreifen und will deshalb jetzt kein Risiko eingehen.
Ich melde mich wenn ich dann wieder zu Hause bin und hab es getestet.
Gruß orcape -
Hi,
hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
Hier mal eine Beispiel-conf….OpenVPN-Server3 Advanced Configuration push "route 10.7.8.0 255.255.255.0"; # zu OVPN-Netz 1 push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1 route 192.168.65.0 255.255.255.0; # zu LAN hinter OVPN 1 push "route 10.14.8.0 255.255.255.0"; # zu OVPN-Netz 2 push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2 route 192.168.187.0 255.255.255.0; # zu LAN hinter OVPN 2
OpenVPN-Server2 Advanced Configuration push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3 route 10.13.6.0 255.255.255.0; # zu Tunnel3
OpenVPN-Server1 Advanced Configuration push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3 route 10.13.6.0 255.255.255.0; # zu Tunnel3
Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren... pass Tunnel3-Tunnel1 pass Tunnel3- LAN 1 pass Tunnel1-Tunnel3 pass LAN1 -Tunnel3 pass Tunnel3-Tunnel2 pass Tunnel3- LAN 2 pass Tunnel2-Tunnel3 pass LAN 2 -Tunnel3
…und schon klappt die Verbindung in die remoten LAN´s.
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß. ;)
Leider habe ich dazu nichts in den Manuals finden können.
Gruß orcape