Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [gelöst]OpenVPN multi-client routing geht nicht …

    Deutsch
    3
    7
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bitboy0
      last edited by

      Also ich hab da ein Grundsätzliches Problem mit dem Verständnis, wie mir scheint:

      ich habe einen OpenVPN-Server.
      lokales Netz ist 10.10.10.0/24
      tunnel Netz ist 10.10.91.0/24
      hinter jedem der externen Router ist ein Netzwerk mit 192.168.x.0/24 und x ist dabei 1-20

      Ich möchte nun gerne erst mal aus dem LOKALEN Netz auf jeden Client zugreifen können.
      Das geht über die Adresse aus dem Tunnel-Netzwerk z.B. 10.10.91.6 (für den ersten Router)

      Auf das dahinter befindliche Netz 192.168.1.0/24 sollte ich natürlich auch zugreifen können, aber das geht nicht aus dem Lokalen Netz, sondern nur über die SSH-Konsole von der Sense…

      Von den Clients kann ich aber auf das lokale Netz hier zugreifen.

      Die Clients bekommen ja Interfaceadressen aus 10.10.91.0/24 ... z.B. eben 10.10.91.6, aber in der Routingtabelle der Sense steht dann nichts von diesen Adressen ...

      1 Reply Last reply Reply Quote 0
      • F
        flix87
        last edited by

        Wichtig ist das im OpenVpn Server Lokale und remote Netze alle definiert sind.
        Da kann man ja mehrere angeben durch Komma getrennt.
        Bei IPv4 Local Network/s müsste dann bei dir
        10.10.10.0/24
        stehen und bei
        IPv4 Remote Network/s
        192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, usw.

        Und in diesen Netzen muss natrülich dann auch die Rückroute definiert sein. je nachdem was da für ein OpenVPN Client drauf ist trägt der automatisch Routen anhand des bei dir definierten Local Networks ein.
        Firewall Regeln nicht vergessen (zum testen kann ja Any Any sein)

        Hoffe das ich alles richtig verstanden und erklärt habe  ;)

        1 Reply Last reply Reply Quote 0
        • B
          bitboy0
          last edited by

          Also … ich hab das schon verstanden, bin aber nicht sicher, ob die Sense das richtig versteht.

          Lokales Netz ist 10.10.10.0/24
          TUN-Netz ist 10.10.91.0/24
          VPN1-Netz ist 192.168.1.0/24
          VPN2-Netz ist 192.168.2.0/24
          ...
          VPN9-Netz ist 192.168.9.0/24

          Nach der Einwahl haben die verschiedenen externen Router auch Adressen im TUN-Netz
          also VPN1-Interface ist 10.10.91.6 (weil das NETZ ist 10.10.91.4, der VPN-Server bekommt die 10.10.91.5 und der Client die 10.10.91.6. Broadcast ist 10.10.91.7
          also VPN2-Interface ist 10.10.91.10 (weil das NETZ ist 10.10.91.8, der VPN-Server bekommt die 10.10.91.9 und der Client die 10.10.91.10. Broadcast ist 10.10.91.11
          usw.

          Ich kann dann die Weboberfläche der entsprechenden Router über die VPN-Interface-Adresse erreichen.

          In dem Zustand ist es aber zufällig, welche Anlage welche Interface-Adresse erhält. Außerdem kann ich NUR diese Adresse erreichen und auch nicht vom VPN hier her pingen.

          Also schreibe ich in die Serverconfiguration unter "Advanced":
          route 192.168.4.0 255.255.255.0 (in dem Fall eben für Anlage Nr.4)

          Und jetzt lege ich einen Eintrag "Client Override" an.
          Da nenne ich den common name des Client-Zertifikates für das ich die speziellen Einstellungen haben will.
          Unter "IPv4 Remote Network": 192.168.4.0/24 (eben das Netzwerk dort)
          Unter "advanced": iroute 192.168.4.0 255.255.255.0

          Sobald ich das mache habe ich von der SSH-Shell der Sense Zugriff auf die Geräte in dem remote-Subnetz. Auch kann ich von da aus auf das Lokale Netz.

          Aber ich kann NICHT aus dem lokalen Netz (z.B. von meinem PC mit der IP 10.10.10.20) auf 192.168.4.3 zugreifen, obwohl es von der Sense geht, die unter der IP 10.10.10.252 im Netz steht.

          Wenn ich auf der Sense die Routen Anzeige, über die Shell mit "netstat -r" wird angezeigt: 192.168.4.0  10.10.91.2  UGS  ovpn3
          das Interface "10.10.91.2" ist aber nicht richtig, denn der Client "4" hat definitiv das Net 10.10.91.16/30 und der Router dort bekommt die Adresse 10.10.91.18
          das Interface "10.10.91.17" wird als solches aber gar nicht angezeigt.

          Über die Weboberfläche wird unter "Status OpenVPN" als Route für den Client angezeigt:
          BB004 176.0.120.58:4044 192.168.4.0/24
          BB004 176.0.120.58:4044 10.10.91.18

          Da stimmt also die Adresse des Client.

          Auf dem externen VPN-Router wird als Route-Tabelle ausgegeben

          10.10.91.17	255.255.255.255			0.0.0.0		0	tun0
1.1.1.3		255.255.255.255			0.0.0.0		0	ppp0
192.168.4.0	255.255.255.0			0.0.0.0		0	lan0
10.10.10.0	255.255.255.0			10.10.91.17	0	tun0
10.10.91.0	255.255.255.0			10.10.91.17	0	tun0
192.168.255.0	255.255.255.0			0.0.0.0		0	dmz0
127.0.0.0	255.0.0.0			0.0.0.0		0	lo
default		0.0.0.0				1.1.1.3		0	ppp0

          Also was fehlt noch ??? Warum kann ich nicht vom lokalen Netz aus auf das remote-Netz zugreifen, aber von der Sense geht es.

          1 Reply Last reply Reply Quote 0
          • F
            flix87
            last edited by

            Also schreibe ich in die Serverconfiguration unter "Advanced":
            route 192.168.4.0 255.255.255.0 (in dem Fall eben für Anlage Nr.4)

            Würde ich nicht machen ich würde es so wie ich gesagt habe

            Bei IPv4 Local Network/s müsste dann bei dir
            10.10.10.0/24
            stehen und bei
            IPv4 Remote Network/s
            192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, usw.

            damit mal getestet?
            Weil wenn du das so machst legt die PfSense alle Routen auf der Seite im OpenVPN Server an

            1 Reply Last reply Reply Quote 0
            • B
              bitboy0
              last edited by

              Bei dieser Art von Tunnel gibt es bei den Servereinstellungen keinen Punkt "Remote IPv4-Networks" …
              Ich trage es bei den "Client Overrides" ein, aber dann wird gar keine Route erzeugt.

              Erst wenn ich es beim Server unter "Advanced" eintrage, geht es wenigstens von der Konsole der Sense...

              Zwischenablage02.png
              Zwischenablage02.png_thumb

              1 Reply Last reply Reply Quote 0
              • B
                bitboy0
                last edited by

                UFF!!!

                Grade wo ich das abgesendet habe …

                Die Anleitung, die ich hier habe, sagt ich soll "Remote-access (SSL/TLS)" benutzen ... ich hab dann mal "Peer 2 Peer (SSL/TLS)" eingetragen und DANN kann ich die remote-netze angeben und DANN geht das endlich auch

                Ich HASSE DEN SCHREIBER der Anleitung!!! ;)

                Und danke dir!!

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Was vielleicht daran liegen kann, dass du irgendeine externe Anleitung nutzt, die sich auf eine alte pfSense Version bezieht? Das sollte man ggf. vorher berücksichtigen.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.