(Gelöst) Routing Problem (IPSec - OpenVPN)
-
Hallo zusammen,
ich habe ein routing problem welches ich nicht gelöst bekomme. Zur einfacheren Darstellung habe ich folgendes Bild erstellt. Mir sind keine Unterschiede in den jeweiligen Subnetzen aufgefallen. Wieso klappt das pingen des einen und des anderen nicht?
Bin für jeden Tipp dankbar.
-
Hallo zusammen,
ich habe ein routing problem welches ich nicht gelöst bekomme. Zur einfacheren Darstellung habe ich folgendes Bild erstellt. Mir sind keine Unterschiede in den jeweiligen Subnetzen aufgefallen. Wieso klappt das pingen des einen und des anderen nicht?
Bin für jeden Tipp dankbar.
Um es vorweg auszuschließen: Hast du die Firewall rules angepasst?
-
kannst du mal beide fritzbox configs posten (VPN Config), welche du importiert hast. vorher bitte pre-shared key und die connection ip maskieren.
hast du mal einen ping probiert von der pfsense selber? (diagnostics - ping)
das wären 2 weitere punkte, wenn du die rules auf dem ipsec interface geprüft hast. -
Danke für den schnellen Support!!!
in der Firewall habe ich unter dem Reiter OpenVPN den Zugriff auf alle im Bild erwähnten Subnetze gewährt.
in den Fritzbox configs ist folgender Absatz drin.
accesslist = "permit ip any 192.168.10.0 255.255.255.0",
"permit ip any 192.168.9.0 255.255.255.0";Was ich komisch finde, das ich wie gesagt eine Seite erreichen kann und die andere nicht, obwohl beide gleich konfiguriert sind. Aus dem Subnetz der pfSense klappt alles. Der Fehler liegt nur bei dem OpenVPN Client, der kann nur auf eines der Subnetze zugreifen.
Wenn ich den ping von der pfSense box aus teste und als Source den OpenVPN Server eingebe, dann kann ich das eine subnetz auch nicht erreichen. Wo kann ich nach dem Fehler suchen?
-
Ok Accesslist passt. Ich schätze, die phase2 (local,remote) ist in beiden Konfigurationen auch identisch und hast du doppelt geprüft.
Welche Rule hast du aktuell unter dem OpenVPN Interface eingetragen? Könntest du testweise, alle Rules bis auf die Standard Rule deaktivieren? Die Standard Rule, welche der OpenVPN Server selber anlegt, hat die Description: OpenVPN wizardIch habe ein ähnliches Konstrukt, arbeite nur zusätzlich mit SNAT in den IPSEC Tunnels, weil ich die OpenVPN IPs umschreibe auf eine IP aus dem LAN Netz.
Habe daher eben auch selber noch einmal probiert, ob ich alle IPSEC Tunnels via dem OpenVPN Server Interface (diagnostics - ping) erreichen kann, was auch wunderbar funktioniert.Aus welchem Netz baust du eigentlich die OpenVPN Verbindung auf? Dieses LAN hat aber nicht zufälligerweise ebenfalls die 192.168.180.0/24?
-
Ich habe die Phase 2 nochmals geprüft, die sind identisch konfiguriert. Die Regeln habe ich jetzt auch deaktiviert und nur die vom Wizard aktiviert gelassen. Leider kann ich das Subnetz immer noch nicht erreichen.
Wo könnte ich da vielleicht etwas falsch konfiguriert haben?
Testweise verbinde ich mich aus einem anderen WLAN, welches ein anderes Subnetz hat oder ich verbinde mich direkt aus dem Mobilfunk. Da es ja direkt von der pfSense nicht geht über das OpenVPN Lan muss es ja irgendwo falsch konfiguriert sein.
-
Aus dem Subnetz der pfSense klappt alles.
Du meinst von 192.168.10.0/24? Und das obwohl du für dieses Netz gar keinen Phase 2 Eintrag gesetzt hast??
Die Phase 2 richtig konfiguriert?Eine andere Ursache könnte sein, dass das Netz 192.168.9.0/24 auf Site B anders geroutet wird. Vielleicht mal auf der FB die Routingtabelle überprüfen.
-
Ja genau ich meine das 192.168.10.0/24 er Netz. In diesem subnetz befinde ich mich und von dort aus klappt alles.
Ich habe mir gerade die statischen Routen der fritzboxen angeschaut, daran lag es. Dort war ein falscher Gateway drin. Nachdem ich die Route gelöscht habe, funktioniert alles reibungslos.
In der anderen fritzbox bei der alles von Anfang an ging ist auch keine statische Route eingetragen.
Vielen Dank für den Tipp :)