(Gelöst) Site2Site OpenVPN kein LAN Routing



  • Hallo zusammen,

    ich komme nicht weiter. Auch das lesen der vielen bereits vorhandenen Beiträge zu dem Thema brachte mich nicht weiter.

    Setup:
    SiteA:
    pfSense mit OpenVPN
    WAN Netzwerk mit statischer IP
    LAN Netzwerk 10.10.10.0/24
    LAN IP pfSense: 10.10.10.253 (auf 10.10.10.254 läuft der bisherige Default Gateway (mit einer anderen statischen WAN IP) für alle anderen Clients in diesem LAN)
    Tunnel Netzwerk: 192.168.0.0/29
    Tunnel IP: 192.168.0.1

    SiteB:
    Unifi USG
    WAN Netzwerk mit statischer IP
    LAN Netzwerk: 172.16.10.0/24
    LAN IP USG: 172.16.10.254
    Tunnel Netzwerk: 192.168.0.0/29
    Tunnel IP: 192.168.0.2

    Problem: Clients von SiteB können nicht auf Clients im SiteA LAN zugreifen.

    Der Zugriff von SiteB auf das Tunnelnetzwerk funktioniert. Der Zugriff von SiteB auf das Webinterface der pfSense in SiteA funktioniert.
    Ein Tracert auf eine LAN IP von SiteA bleibt an der Tunnel IP von SiteA hängen:

    tracert 10.10.10.22
    
    Routenverfolgung zu 10.10.10.22 über maximal 30 Hops
    
      1    <1 ms    <1 ms    <1 ms  Gateway [172.16.10.254]
      2    51 ms    51 ms    51 ms  192.168.0.1
      3     *        *        *     Zeitüberschreitung der Anforderung.
    

    Ein tracert auf die LAN IP der pfSense funktioniert:

    tracert 10.10.10.253
    
    Routenverfolgung zu 10.10.10.253 über maximal 30 Hops
    
      1    <1 ms    <1 ms    <1 ms  Gateway [172.16.0.254]
      2    51 ms    51 ms    51 ms  10.10.10.253
    
    Ablaufverfolgung beendet.
    

    Auf der pfSense wurden folgende Firewall Regeln eingerichtet:
    WAN:
    Action: PASS
    Interface: WAN
    Address Family: IPv4
    Protocol: TCP (ja ich nutze tatsächlich aktuell TCP)
    Source: any
    Destination: WAN 1194

    OpenVPN:
    Action: PASS
    Interface: OpenVPN
    Address Family: IPv4
    Protocol: any
    Source: any
    Destination: any

    In der OpenVPN Config auf SiteB steht u.a. route 10.10.10.0 255.255.255.0 und ifconfig 192.168.0.2 192.168.0.1 drin.
    von der pfSense aus sind die LAN IPs, die ich von SiteB aus erreichen möchte, erreichbar und antworten auch.

    Wo sehe ich den Wald vor lauter Bäumen nicht?

    Vielen Dank und viele Grüße
    ich



  • Hallo,

    @theway:

    LAN IP pfSense: 10.10.10.253 (auf 10.10.10.254 läuft der bisherige Default Gateway (mit einer anderen statischen WAN IP) für alle anderen Clients in diesem LAN)

    Vermutlich senden die LAN Geräte ihre Antwort-Pakete dahin und die pfSense, die VPN Endpunkt ist kommt damit gar nicht in Berührung.
    Wenn der VPN Endpunkt nicht der Default Gateway ist, ist die Konfiguration etwas aufwändiger. Entweder du richtest auf jedem Gerät eine statische Route für das Remote-Netz ein, die auf die pfSense zeigt, oder du setzt für die Verbindungen aus dem anderen Netz NAT ein oder richtest ein Transitnetz zwischen dem Default Gateway und dem VPN Endpunkt ein.

    @theway:

    Tunnel Netzwerk: 192.168.0.0/29

    Ein Tunnel einer Site-to-Site VPN sollte ein /30 Netz sein.

    @theway:

    In der OpenVPN Config auf SiteB steht u.a. route 10.10.10.0 255.255.255.0 und ifconfig 192.168.0.2 192.168.0.1 drin.

    Für diese Einstellungen gibt es heute die Felder "Remote Network" und "Tunnel Network".

    Grüße



  • Hi,

    vielen Dank für deine Anregungen.

    @viragomann:

    Hallo,

    @theway:

    LAN IP pfSense: 10.10.10.253 (auf 10.10.10.254 läuft der bisherige Default Gateway (mit einer anderen statischen WAN IP) für alle anderen Clients in diesem LAN)

    Vermutlich senden die LAN Geräte ihre Antwort-Pakete dahin und die pfSense, die VPN Endpunkt ist kommt damit gar nicht in Berührung.

    Demnach müsste es ausreichen einem Client die pfSense als Default Gateway zu konfigurieren und danach müsste man den Client von SiteB aus sehen können. Ich habe für den Test nun einfach eine VM in SiteA bereitgestellt die in dem Netz mit ist und via pfSense ins Netz geht. Diese VM ist von der pfSense auch erreichbar und die VM sieht auch die pfSense. Ich kann von SiteB die VM jedoch immernoch nicht sehen. Ein tracert scheitert weiterhin.

    Achso, bevor ich es vergesse: Die andere Richtung funktioniert einwandfrei. Die VM von SiteA sieht das SiteB Netz und kann die darin enthaltenen Clients erreichen. Für mich sieht das so aus, als müsste ich der pfSense irgendwo noch ne Regel hinzufügen, die den Traffic aus dem Tunnelnetz weiterleitet ins SiteA Netz. Aber eigentlich sollte das mit der OpenVPN config doch erledigt sein oder? Hast du noch 'ne weitere Idee?

    @viragomann:

    Hallo,

    @theway:

    In der OpenVPN Config auf SiteB steht u.a. route 10.10.10.0 255.255.255.0 und ifconfig 192.168.0.2 192.168.0.1 drin.

    Für diese Einstellungen gibt es heute die Felder "Remote Network" und "Tunnel Network".

    Es ist meine erste pfSense und auch mein erstes OpenVPN Netzwerk. Ich habe einfach das Export Tool benutzt und die Konfiguration auf SiteB eingebaut. Auf der pfSense heißen die Felder natürlich so, aber in der Config steht nach dem Export eben route und ifconfig drin.

    Vielen Dank für deine Hilfe.

    Grüße
    ich



  • Die pfSenses müssen die Zugriffe natürlich auch erlauben. Wie auch sonst, sind die Regeln an dem Interface zu definieren, an dem der Traffic in die pfSense reinkommt. Wenn du aber gegenseitigen Zugriff für jedes Gerät erlauben möchtest, kannst du gleich auf jedem OpenVPN Interface eine pass any to any Regel erstellen.
    Wenn eine der beiden pfSense noch weitere OpenVPN Verbindungen hat, solltest du der Site-to-Site ein eigenes Interface zuweisen und auf diesem die Regeln erstellen.

    Es kann auch sein, dass die System-Firewall der VM selbst den Zugriff aus dem anderen Netz blockiert. Ist bspw. bei Windows Standard.

    Grüße



  • @viragomann:

    Es kann auch sein, dass die System-Firewall der VM selbst den Zugriff aus dem anderen Netz blockiert. Ist bspw. bei Windows Standard.

    Vielen Dank… Standard Image auf die VM ausgerollt und da sind iptables aktiv mit sehr restriktiven Einstellungen. Nun läuft's.

    Nochmals vielen Dank und schönen Abend.

    Grüße
    ich