OpenVPN Routing in IPSec Tunnel
-
Dein Rechner, mit dem du in das Remote Netz möchtest und die pfSense sind im selben Netzsegment bzw. am selben Interface der FB?
Wenn so, dürften nicht mal ins Firmennetz TCP Verbindungen möglich sein.
Ping (ICMP) mag funktionieren. -
Nein,
Zuhause -> FritzBox --> OPNSense virtualisert im selben LAN Segment (OpenVPN Client)
|
OpenVPN Tunnel
|
HQ -> pfsense (OpenVPN Server bis ins LAN geht hier geht ALLES)
|
IPSec Tunnel
|
Datacenter -
Okay, dann ersetze in meiner Frage oben mal pfSense durch OPNSense.
Die Frage ist, ob der VPN Endpunkt bei dir zuhause im selben Subnetz liegt wie der Rechner mit dem du auf das Remote-Netz zugreifen möchtest.
Wenn so, können wir uns längere mühen ersparen. -
ja
-
Kann mir nicht vorstellen, dass damit eine z.B. RDP-Verbindung ins Firmennetz möglich ist, auch nicht HTTP oder SMB.
-
warum? die fb leitet per static route den traffic an die opnsense weiter, welche tunnelt und dann hab ich zugriff zum lan, und an der opnsense wiederrum ist ja die fb als gateway eingetragen.
das ist nur so weil ich halt wg. unitymedia an die fb gebunden bin, naja eigentlich nicht ..aber ich hab jetzt so kein grund für mich das zu ändern
-
Warum versuchst du es nicht einfach.
Grund ist, weil das ein asymmetrisches Routing ergibt. D.h. Dein Rechner schickt die Request-Pakete zur FB, die schickt sie an die OPNSense weiter, wo sie über die VPN geroutet werden. Antwort-Pakete kommen zurück zur OPNSense und gehen von da direkt an den Rechner. Die FB wird also auf dem Rückweg ausgespart und üblicherweise beklagt sich dann ein Geräte, dass sie nicht das richtige Paket bekommt.
-
Ok,
ich werde das ganze Szenario mal in einer Zweigstelle mit Ruhe nachbilden, dort ist die pfsense direktes Gateway.
Danke jedenfalls erstmal für deine Mühe, ich berichte. -
Eine Frage noch:
Wenn ich am Rechner manuell eine Statische Route erstelle ist das ausgeschlossen oder?
-
Bin gerade dabei, das vorzuschlagen...
Einfachst Lösung wäre, die VPN mit der FB (dem Standard-Gateway) herzustellen.
Du kannst aber auch auf all deinen Heimgeräten, mit denen du in die Remote-Netze möchtest, Routen für diese einrichten, die auf die OPNSense gehen.
-
Ja, und dann noch die Interfaces.
Auf der OPNSense dürfte das nicht nötig sein, aber vermutlich auf der Remote-pfSense, speziell, wenn mehrere OpenVPN Instanzen laufen.Dazu einfach unter Interfaces > Assign bei "available network ports" die entsprechende OVPN Instanz auswählen, das neue Interface öffnen, aktivieren, nach Belieben einen passenden Namen vergeben und speichern. Mehr ist nicht nötig.