Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN SiteToSite OpenVPN virtuelle IP durch den Tunnel

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 2 Posters 896 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wilfrid
      last edited by

      Hallo,

      ich habe ein Zugriffs Problemim VPN Netzwerk …

      Netzwerk am Standort A  192.168.0.0
      Netzwerk am Standort B  192.168.1.1

      verbunden über eine pfSense auf jeder Seite und dazwischen das grosse www

      jetzt muss ich aus internen und nicht änderbaren Gründen durch den Tunnel aus NW-B auf einen 2ten Router zugreifen,
      der wiederum eine Verbindung zu einem anderen internen Netzwerk herstellt.
      (Ich weiß dass das  nicht gut gelöst ist, ich kann es aber zur Zeit nicht ändern!)

      Ich will also quasi eine externen  Adresse (z.B. 10.7.6.5) aus Netzwerk B
      durch den Tunnel auf einen Router (192.168.0.x) im Netzwerk A ansprechen ....

      Leider kann ich den Tunnel nicht als Gateway angeben oder ??

      Mit einer virtuellen IP und einem NAT Eintrag ist es mir bis jetzt nicht gelungen mein Problem zu lösen.
      Hat jemand eine Idee ?

      Danke
      Gruß
      Wilfrid

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        eine Skizze zu der Herausforderung hätte mir 3 mal lesen erspart.  ???

        @wilfrid:

        Leider kann ich den Tunnel nicht als Gateway angeben oder ??

        Doch. Das machst du doch auch, um auf das Remote-Netz zuzugreifen, oder?
        Doch passiert das Ganze innerhalb OpenVPN, indem du die entsprechenden Netze in die Felder "Remote Network/s" und "Local Network/s" in der Server- u. Client-Konfig. einträgst.
        Hier musst du eben den zusätzlich zu erreichenden Host dazuschreiben (z.B. 10.7.6.5/32) in das richtige Feld.

        Problem aber: Der Router, über den die Verbindung läuft, benötigt auch eine Route zum B-Netz die auf die pfSense in A zeigt. Eine eventulle Firewall auf dem Router müsste den Zugriff von B auch erlauben.
        Sollte das nicht machbar sein, weil du auf diesen keinen Zugriff hast, kannst du als Workaround auf der A pfSense eine S-NAT Regel für diese Verbindung einrichten, die den Source-IPs auf die interne LAN IP der pfSense übersetzt.

        Grüße

        1 Reply Last reply Reply Quote 0
        • W
          wilfrid
          last edited by

          danke für den Tipp, jetzt bin ich einen Schritt weiter;

          ein Tracert zeigt mir, dass ich schon mal im Netz A bin, aber dann spiegelt es wieder zurück.

          hast du noch einen guten Tipp, der erste war schonmal sehr gut, Danke nochmal

          Ich hab auch mal ein Bildchen eingefügt ;-)

          Netzwerka-b.png
          Netzwerka-b.png_thumb

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Na ja, musst schon erzählen, was jetzt Sache ist.

            Ist auf dem Fremdrouter eine statische Route für das B-Netz gesetzt?
            Erlaubt er den Zugriff überhaupt?
            Erreichst du von der pfSense A aus den Zielhost?

            Das Ganze kann natürlich nur funktionieren, wenn Pakete von 10.4.x.x wieder zurück über den Fremdrouter geroutet werden. Das kann auch durch S-NAT auf diesem erreicht werden.

            1 Reply Last reply Reply Quote 0
            • W
              wilfrid
              last edited by

              Ja angeblich(!) erlaubt der Fremdrouter auch den Zugriff von B, das kann ich erst morgen kontrollieren lassen.

              Zugriff von A hab ich auf den Zielhost.

              Was ich zur zeit nicht verstehe ist das Ergebnis von tracert , quasi ein Hin - und Her ..!!??

              VPN-Client.png
              VPN-Client.png_thumb
              VPN-Tunnel-A.png
              VPN-Tunnel-A.png_thumb
              tracert.png
              tracert.png_thumb

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Diese Zwischenzeilen verstehe ich auch nicht.

                Aber da fehlt offenbar noch die Route zum 10.44.x.x Netz. Diese muss auf der pfSense A als statische Route eingetragen werden.

                1 Reply Last reply Reply Quote 0
                • W
                  wilfrid
                  last edited by

                  wird das nicht "automatisch" durch den Eintrag im Tunnel bei Remote Netzwerk erledigt ?

                  1 Reply Last reply Reply Quote 0
                  • V
                    viragomann
                    last edited by

                    Nein, das setzt nur die Route von B zu A. Die von A zum Fremdrouter musst du als statische Route setzen, das hat nichts mit VPN zu tun.

                    In System > Routing > Gateway ist die A-seitige IP des Fremdrouters als Gateway anzulegen und dann am Tab Static Routes eine Route für das Netz 10.4.x.x und die Fremdrouter IP als Gateway setzen.

                    1 Reply Last reply Reply Quote 0
                    • W
                      wilfrid
                      last edited by

                      Danke das war wohl der letzte Stolperstein, jetzt muss ich morgen auf der Trace im Fremdrouter schauen lassen

                      Vielen Dank für deine Unterstützung

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.