Site-to-site VPN mit OpenVPN: ERROR: FreeBSD route add command failed



  • Hallo mal wieder :)

    Ich habe ein neues Problem mit OpenVPN und einem site-to-site Tunnel:

    Im Log auf Clientseite steht folgendes:
    ERROR: FreeBSD route add command failed: external program exited with error status: 1

    Ich habe also keine Route zwischen den Netzwerken.

    Pingen kann ich das gegenüberliegende Gateway (Virtuelle IP), aber das war es auch schon.

    Konfiguration:

    2.4.0-RC (amd64) built on Sun Aug 27 22:20:28 CDT 2017

    
             Internet
                :
          .-----+-----.
          |  pfSense  |------- DMZ (192.128.2.0/28)
          |   OVPN S  |
          '-----+-----'
                | 172.16.2.1
                |
                |        Tunnel Net: 172.16.0.0/30
                |
                | 172.16.2.5
          .-----+-----.
          |  pfSense  |
          |   OVPN C  |
          '-----+-----'
                | 10.0.2.4
                |
               LAN
    
    

    Die pfSense auf Serverseit ist im HA-Cluster (Sync-Net: 172.16.1.0/30) -> funktioniert, auch Failover für OpenVPN
    OpenVPN mit preshared key
    Serverseite IPv4 Remote network(s): 10.0.0.0/8
    Clientseite IPv4 Remote network(s): 192.168.2.0/28

    Bei "IPv4 Remote network(s)" heißt es ja:
    IPv4 networks that will be routed through the tunnel, so that a site-to-site VPN can be established without manually changing the routing tables. Expressed as a comma-separated list of one or more CIDR ranges. If this is a site-to-site VPN, enter the remote LAN/s here. May be left blank for non site-to-site VPN.
    –> folglich sollten sie korrekte(n) Route(n) automatisch gesetzt werden.

    Firewall (OpenVPN):
    Komplett offen, vorerst, um als Fehlerquelle auszuschließen

    Serverseite:
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    0 /504 B IPv4 * * * * * * none

    Clientseite:
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    0 /6 KiB IPv4 * * * * * * none

    Verbinden funktioniert, es werden für den Server die 172.16.0.1 und den Client die 172.16.0.2 als virtuelle IPs vergeben
    Site-to-site VPN tunnel MUC-AUG UDP4 up Mon Aug 28 15:59:45 2017 172.16.2.5:40823 172.16.0.2 172.16.2.1:1194 6 KiB / 5 KiB

    Die virtuelle IP der jeweiligen Gegenseite läßt sich Pingen -> Tunnel funktioniert.

    Was habe ich übersehen?

    Grüße, Alex

    PS: Auf der Clientseite soll später noch 0.0.0.0/0 durch den Tunnel geroutet werden (gesamter ausgehender Traffic).



  • Hallo,

    @alex.f:

    
             Internet
                :
          .-----+-----.
          |  pfSense  |------- DMZ (192.128.2.0/28)
          |   OVPN S  |
          '-----+-----'
                | 172.16.2.1
                |
                |        Tunnel Net: 172.16.0.0/30
                |
                | 172.16.2.5
          .-----+-----.
          |  pfSense  |
          |   OVPN C  |
          '-----+-----'
                | 10.0.2.4
                |
               LAN
    
    

    eine VPN ist eigentlich dafür gedacht, über ein unsicheres, also meist öffentliches, Netz zu verlaufen. Auf ein /30er Netz trifft das wohl nicht zu.
    Ein Testaufbau?
    Wie auch immer, die VPN sollte auch hier funktionieren, wenn auch sinnfrei.

    @alex.f:

    Serverseite IPv4 Remote network(s): 10.0.0.0/8

    :o Ist diese Netzbreite tatsächlich erforderlich?
    Besser ist es, diese so schmal als möglich zu wählen.
    Wenn alle Angaben stimmen, sollte aber auch das kein Problem darstellen.

    Wie sieht deine Client VPN Konfiguration aus?

    Laufen am Client noch andere OpenVPN Instanzen?

    Wie sieht die Routing-Tabelle am Client aus?


Log in to reply