Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?

    Scheduled Pinned Locked Moved Deutsch
    15 Posts 3 Posters 931 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      @viragomann said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

      Nicht ohne auch die Konfigurationen der S2S anzupassen.

      Außer er nattet ausgehend das Netz der OVPN RWs der pfSense A auf deren Tunnel IP, so dass Zugriffe auf die Tunnelnetze über deren Gateway Adresse laufen. Damit sollte es auch ohne Tunnelanpassung gehen, schöner ist es aber mit sauberem Routing. Lediglich die Route auf die anderen Netze (.3.x, .4.x etc.) muss dann aber an die RW Clients gepusht werden.

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @JeGr
        last edited by

        @JeGr
        Hi. Ja, mit NAT geht es natürlich auch, mit den damit verbundenen Nachteilen.

        1 Reply Last reply Reply Quote 0
        • G
          gtrdriver
          last edited by

          Hallo

          mal angenommen der Nutzer soll nur in ein OVPN S2S Subnet zugang erhalten - was wäre hier der einfachste Weg ?

          Lokales LAN Subnet der Kopf FW: 192.168.0.0
          S2S Subnet in das der Nutzer auch Zugriff erhalten soll: 192.168.10.0

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @gtrdriver
            last edited by

            @gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

            mal angenommen der Nutzer soll nur in ein OVPN S2S Subnet zugang erhalten - was wäre hier der einfachste Weg ?

            NAT ist sicher weniger Aufwand und wenn du von "der Nutzer" sprichst, interpretiere ich das so, dass dies nur um einen einzigen User zutreffen soll. In dem Fall hat NAT nicht mal Nachteile.

            Firewall > NAT > Outbound
            Wenn es im automatischen Modus arbeitet, aktiviere erst den hybriden Modus, speichere das und füge anschließend eine Regel hinzu:
            Interface: <das jeweilige S2S Interface>
            Source: <das Roadwarrior Tunnel-Netz>
            Destination: <das Zielnetz>
            Translation Adresse: Interface Adresse.

            Zusätzlich musst du das ferne S2S Netz in der Roudwarrior Konfig. zu den "Lokalen Netzwerken" hinzufügen, damit der Client die Route gepusht bekommt (ausgenommen der Server ist mit "Redirect Gateway" konfiguriert).

            Wenn sich mehrere Nutzer mit dem RW-Server verbinden, der Zugriff auf das S2S Remote-Netz aber nur für einen gelten soll, musst du für diesen einen CSO erstellen.

            1 Reply Last reply Reply Quote 0
            • G
              gtrdriver
              last edited by

              Hallo

              erstmal danke für die Tipps und Erklärungen - in der Tat wäre mir hier eine "einfache" lösung lieb.. Ich hab daher versucht das umzusetzten - hab es bisher aber nicht hinbekommen - ich versuche mal das ganze schritt für Schritt mal sehen wo ich nen Fehler gemacht habe:

              Punkt1: das S2S Netz in die Road Warrior Config Packen:
              23a86c74-873c-4b98-93e2-6afda68a730f-image.png

              Punkt2: die config neu exportieren und im Client einpflegen

              Punkt3: Outbond auf Hybrid stellen:
              7cbd18ab-c559-4f61-86cb-5603bfde27ce-image.png

              Punkt4: "der Rest"
              5014b947-8764-4da5-a50f-75d1aad4f581-image.png

              Ich vermute dass ich hier irgendwo den Fehler habe ?!?

              Zu den Netzen nochmals:

              192.168.0.0 ist das LAN Netz der "kopf Pfsense"
              192.168.1.0 ist das entfernte S2S Netz
              192.168.9.0 ist das Roadwarrior Tunnel Netz

              JeGrJ 1 Reply Last reply Reply Quote 0
              • G
                gtrdriver
                last edited by

                Nachtrag:

                Ich stelle gerade fest dass mit der hier geposteten Config das ganze "teilweise" funktioniert.

                Was heisst Teilweise:

                Ich lasse grad nen PING laufen auf einen PC in 192.168.1.0 und von 5-10 Pings geht 1 durch

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator @gtrdriver
                  last edited by JeGr

                  @gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

                  Punkt2: die config neu exportieren und im Client einpflegen

                  Musst du nicht, das ist NUR eine Servereinstellung und der pusht die Route eh zum Client. In der Client Konfiguration steht nirgends eine Route drin.

                  @gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

                  Punkt4: "der Rest"

                  Sieht soweit ganz OK aus.

                  @gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

                  Ich lasse grad nen PING laufen auf einen PC in 192.168.1.0 und von 5-10 Pings geht 1 durch

                  Das kann dann aber nichts mit der Konfiguration per se zu tun haben... entweder die Konfiguration geht oder nicht (Routing). Das sieht eher nach nem anderen Seiteneffekt aus. Was pingst du denn da an?

                  Ansonsten mal die States auf der einen und anderen Seite anschauen zu dem Ziel dass du anpingst bzw. von der IP des Roadwarriors. Da müsste zu erkennen sein, ob genattet wird und ob es auf der anderen Seite auch so ankommt.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann
                    last edited by

                    Hallo,

                    ich betreibe S2S-VPNs nur mit individuell zugewiesenen Interfaces. Angeblich ist das heute nicht mehr nötig, für mich aber sauberer und im Fehlerfall ist das Troubleshooting einfacher.
                    Deshalb habe ich die Anleitung auch so geschrieben:

                    Interface: <das jeweilige S2S Interface>

                    1 Reply Last reply Reply Quote 0
                    • G
                      gtrdriver
                      last edited by

                      Hallo

                      ich habs probiert mit nem beliebigen Linux Server und der Pfsense am S2S standort selbst (192.168.1.1)

                      Die States schauen wie folgt aus während ich Pinge:
                      b4862976-01be-4a40-992b-2d7ed4f6b3eb-image.png

                      Der Client ist wie gesagt ein Android Gerät mit openvpnconnect client. Zum Pingen nutze ich ein kostenfreies tool namens Ping:

                      5dbd32a7-e1da-4c3c-b2e9-bbadab065d8b-image.png

                      Pinge ich mit dem Client eine Ip im Lan netz der Kopf Pfsense läuft das sauber durch:
                      df71b0ab-5222-41be-b578-ee399884b940-image.png

                      Um jegliche Beeinflussung zu vermeiden bin ich aktuell per LTE verbunden

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by JeGr

                        hast du noch mehrere Tunnel in denen diese ganzen 10er Netze als Transfernetz genutzt werden?
                        Die States die ich in dem Bild sehe machen nämlich nur begrenzt Sinn bzw. sehen nach Round Robin über ca. 5-6 Netze aus.

                        Kannst du bei der Outbound NAT Regel statt "Interface Address" mal die lokale IP des VPN Tunnelendes nutzen, die du für den Tunnel zu 192.168.1.0/24 nutzt? Also die IP, die der S2S Tunnel auf Tunnelseite bei der pfSense hat, wo sich dein RW einwählt.

                        Ich denke mit "Interface Address" bei Interface "OVPN" macht er RoundRobin über alle vorhandenen Adressen weil du die Interfaces nicht fix zugewiesen hast.

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • G
                          gtrdriver
                          last edited by

                          Hallo

                          das war´s - mit dieser Änderung läuft das jetzt - Super - vielen DANK !

                          Noch eine Frage:

                          Könnte ich bei mehreren VPN Benutzern das ganze noch einschränken ?

                          z.b: dass bestimmte RW Benutzer z.B: nur zu einelnen Ip´s zugriff bekommen ?

                          1 Reply Last reply Reply Quote 0
                          • V
                            viragomann
                            last edited by

                            Dafür gibt es Firewall-Regeln. Damit die einzelnen RW-Clients aber bestimmte IPs erhalten, musst der erst CSOs für diese einrichten.
                            Hatte ich oben bereits erwähnt.

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              @gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

                              z.b: dass bestimmte RW Benutzer z.B: nur zu einelnen Ip´s zugriff bekommen ?

                              Hängt wie @viragomann sagt ganz von deiner Einwahl ab. Wenn du bspw. Einwahl und Auth via FreeRadius Package machst, kannst du per Radius auch ohne CSOs den Clients beim Verbinden eine fixe IP zuweisen. Damit können diese dann in Aliase verpackt für Regeln genutzt werden. Ansonsten kann man das via Zertifikats-CN und CSOs machen. Einfach dann die Firewall Regeln anpassen. Für den Zweck (und bei mehreren Tunneln) bietet es sich an, die VPN Interfaces "zu assignen" und wirklich zuzuweisen und dann wirklich pro VPN Interface Regeln zu vergeben.

                              Grüße

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.