VPN SiteToSite OpenVPN virtuelle IP durch den Tunnel

wilfrid

Hallo,

ich habe ein Zugriffs Problemim VPN Netzwerk …

Netzwerk am Standort A 192.168.0.0
Netzwerk am Standort B 192.168.1.1

verbunden über eine pfSense auf jeder Seite und dazwischen das grosse www

jetzt muss ich aus internen und nicht änderbaren Gründen durch den Tunnel aus NW-B auf einen 2ten Router zugreifen,
der wiederum eine Verbindung zu einem anderen internen Netzwerk herstellt.
(Ich weiß dass das nicht gut gelöst ist, ich kann es aber zur Zeit nicht ändern!)

Ich will also quasi eine externen Adresse (z.B. 10.7.6.5) aus Netzwerk B
durch den Tunnel auf einen Router (192.168.0.x) im Netzwerk A ansprechen ....

Leider kann ich den Tunnel nicht als Gateway angeben oder ??

Mit einer virtuellen IP und einem NAT Eintrag ist es mir bis jetzt nicht gelungen mein Problem zu lösen.
Hat jemand eine Idee ?

Danke
Gruß
Wilfrid

viragomann

Hallo,

eine Skizze zu der Herausforderung hätte mir 3 mal lesen erspart. ???

@wilfrid:

Leider kann ich den Tunnel nicht als Gateway angeben oder ??

Doch. Das machst du doch auch, um auf das Remote-Netz zuzugreifen, oder?
Doch passiert das Ganze innerhalb OpenVPN, indem du die entsprechenden Netze in die Felder "Remote Network/s" und "Local Network/s" in der Server- u. Client-Konfig. einträgst.
Hier musst du eben den zusätzlich zu erreichenden Host dazuschreiben (z.B. 10.7.6.5/32) in das richtige Feld.

Problem aber: Der Router, über den die Verbindung läuft, benötigt auch eine Route zum B-Netz die auf die pfSense in A zeigt. Eine eventulle Firewall auf dem Router müsste den Zugriff von B auch erlauben.
Sollte das nicht machbar sein, weil du auf diesen keinen Zugriff hast, kannst du als Workaround auf der A pfSense eine S-NAT Regel für diese Verbindung einrichten, die den Source-IPs auf die interne LAN IP der pfSense übersetzt.

Grüße

wilfrid

danke für den Tipp, jetzt bin ich einen Schritt weiter;

ein Tracert zeigt mir, dass ich schon mal im Netz A bin, aber dann spiegelt es wieder zurück.

hast du noch einen guten Tipp, der erste war schonmal sehr gut, Danke nochmal

Ich hab auch mal ein Bildchen eingefügt ;-)

Netzwerka-b.png_thumb

viragomann

Na ja, musst schon erzählen, was jetzt Sache ist.

Ist auf dem Fremdrouter eine statische Route für das B-Netz gesetzt?
Erlaubt er den Zugriff überhaupt?
Erreichst du von der pfSense A aus den Zielhost?

Das Ganze kann natürlich nur funktionieren, wenn Pakete von 10.4.x.x wieder zurück über den Fremdrouter geroutet werden. Das kann auch durch S-NAT auf diesem erreicht werden.

wilfrid

Ja angeblich(!) erlaubt der Fremdrouter auch den Zugriff von B, das kann ich erst morgen kontrollieren lassen.

Zugriff von A hab ich auf den Zielhost.

Was ich zur zeit nicht verstehe ist das Ergebnis von tracert , quasi ein Hin - und Her ..!!??

VPN-Client.png_thumb

VPN-Tunnel-A.png_thumb

tracert.png_thumb

viragomann

Diese Zwischenzeilen verstehe ich auch nicht.

Aber da fehlt offenbar noch die Route zum 10.44.x.x Netz. Diese muss auf der pfSense A als statische Route eingetragen werden.

wilfrid

wird das nicht "automatisch" durch den Eintrag im Tunnel bei Remote Netzwerk erledigt ?

viragomann

Nein, das setzt nur die Route von B zu A. Die von A zum Fremdrouter musst du als statische Route setzen, das hat nichts mit VPN zu tun.

In System > Routing > Gateway ist die A-seitige IP des Fremdrouters als Gateway anzulegen und dann am Tab Static Routes eine Route für das Netz 10.4.x.x und die Fremdrouter IP als Gateway setzen.

wilfrid

Danke das war wohl der letzte Stolperstein, jetzt muss ich morgen auf der Trace im Fremdrouter schauen lassen

Vielen Dank für deine Unterstützung