OpenVPN Routing in IPSec Tunnel



  • Hallo zusammen,

    ich greife vom Homeoffice 192.168.178.0/24 per OpenVPN Site2Site auf das Firmennetzwerk zu 192.168.0.0/24 pfsense 2.3.3
    Tunnelnetz ist 10.10.199.0/24

    Dort wiederrum sind 2 IPSec Tunnel zu 2 Rechenzentren eingerichtet
    Phase 2
    LAN --> 192.168.2.0/24
    LAN --> 172.16.5.0/24

    ich habe zwei zusätzliche Phase2 eingerichtet
    10.10.199.0/24 --> 192.168.2.0/24
    10.10.199.0/24 --> 172.16.5.0/24

    auf das Firmennetz kann ich schon immer ohne Probleme in beide Richtungen zugreifen, leider bekomme ich keine Verbindung in die per IPSec verbundenen Netze.

    IPSec und OpenVPN Regeln sind alle angelegt mit ip4 any * * * * *

    Ich hoffe mir kann jemand helfen.

    Danke und Gruss

    Patrick



  • Hallo,

    wenn du tatsächlich eine Site2Site OpenVPN in das Firmennetz hast, musst du bei der Phase2 jeweils dein Heimnetz anstatt des Tunnels eintragen.

    Natürlich müssen die beiden zusätzlichen Remote-Netze auf deiner Heimseite auch zu den "Remote Networks" hinzugefügt werden, falls du das noch nicht gemacht hast.

    Grüße



  • Hallo,

    ja die Remote Nezte habe ich zuhause schon drin, und ich sehe mit tracert auch dass er bis 10.10.199.1 routed, danach passiert nichts mehr.
    Ich habe die P2 wie von dir beschrieben mal abgeändert...leider funktioniert es nicht.

    Ich bin etwas verwirrt, da die mobilen OpenVPN User auch auf das LAN und ein ganz anderes über IPSec verbundenes Netz Zugriff haben und das habe ich mit P2 auf beiden Seiten mit dem IPSec Tunnel Netz realisiert und das funktioniert auch....



  • Und du hast auch wirklich eine geroutete Site2Site ins Firmennetzwerk, ohne NAT und mit einem definierten Interface auf beiden Seiten?
    Beide VPN-Endpunkte sind die Standard-Gateways in ihren Netzen?

    Es könnte auch die Firewall des Zielhosts den Zugriff aus deinem Netz blockieren.

    Für eine Roadwarrior OpenVPN passt das auch mit dem Tunnel-Subnetz in der Phase2, für eine Site2Site muss das Remote-Netz angegeben werden.



  • Huhu,

    also den Tunneln sind über assign keine Interfaces zugewiesen fallst du das meinst.
    Bei mir zuhause ist eine Fritzbox das Standardgateway und dort ist eine statische Route für die 3 Netze eingetragen welche dann an eine OPNSense gehen, dort wiederrum ist der Tunnel mit allen 3 Remotenetzen angelegt.

    Im Office ist die pfsense das Standardgateway

    Wie schon erwähnt per tracert komme ich von FB --> OPNSENSE --> 10.10.199.1 und dann ist ende

    ich sehe auch an der pfsense im RZ dass sich die P2 für mein Netz überhaupt nicht aufbaut.
    Angeblich ist dort eine P2 eingetragen die alles abdeckt per /16.
    Da fällt mein 178 netz halt jetzt nicht rein, ich habe es aber mit einem anderen Standort grade probiert welcher in den Bereich fällt...ging jetzt auf Anhieb auch nicht.

    Bevor ich jetzt noch viel schreibe, sag mir mehr zu den Interfaces, evtl. scheiterts ja daran da ich mich an der funktionierenden RoadWarrior konfig. festgehalten habe.



  • Dein Rechner, mit dem du in das Remote Netz möchtest und die pfSense sind im selben Netzsegment bzw. am selben Interface der FB?
    Wenn so, dürften nicht mal ins Firmennetz TCP Verbindungen möglich sein.
    Ping (ICMP) mag funktionieren.



  • Nein,

    Zuhause -> FritzBox --> OPNSense virtualisert im selben LAN Segment (OpenVPN Client)
    |
    OpenVPN Tunnel
    |
    HQ -> pfsense (OpenVPN Server bis ins LAN geht hier geht ALLES)
    |
    IPSec Tunnel
    |
    Datacenter



  • Okay, dann ersetze in meiner Frage oben mal pfSense durch OPNSense.
    Die Frage ist, ob der VPN Endpunkt bei dir zuhause im selben Subnetz liegt wie der Rechner mit dem du auf das Remote-Netz zugreifen möchtest.
    Wenn so, können wir uns längere mühen ersparen.



  • ja



  • Kann mir nicht vorstellen, dass damit eine z.B. RDP-Verbindung ins Firmennetz möglich ist, auch nicht HTTP oder SMB.



  • @viragomann

    warum? die fb leitet per static route den traffic an die opnsense weiter, welche tunnelt und dann hab ich zugriff zum lan, und an der opnsense wiederrum ist ja die fb als gateway eingetragen.

    das ist nur so weil ich halt wg. unitymedia an die fb gebunden bin, naja eigentlich nicht ..aber ich hab jetzt so kein grund für mich das zu ändern



  • Warum versuchst du es nicht einfach.

    Grund ist, weil das ein asymmetrisches Routing ergibt. D.h. Dein Rechner schickt die Request-Pakete zur FB, die schickt sie an die OPNSense weiter, wo sie über die VPN geroutet werden. Antwort-Pakete kommen zurück zur OPNSense und gehen von da direkt an den Rechner. Die FB wird also auf dem Rückweg ausgespart und üblicherweise beklagt sich dann ein Geräte, dass sie nicht das richtige Paket bekommt.



  • Ok,

    ich werde das ganze Szenario mal in einer Zweigstelle mit Ruhe nachbilden, dort ist die pfsense direktes Gateway.
    Danke jedenfalls erstmal für deine Mühe, ich berichte.



  • Eine Frage noch:

    Wenn ich am Rechner manuell eine Statische Route erstelle ist das ausgeschlossen oder?



  • Bin gerade dabei, das vorzuschlagen... ☺

    Einfachst Lösung wäre, die VPN mit der FB (dem Standard-Gateway) herzustellen.

    Du kannst aber auch auf all deinen Heimgeräten, mit denen du in die Remote-Netze möchtest, Routen für diese einrichten, die auf die OPNSense gehen.



  • Ja, und dann noch die Interfaces.
    Auf der OPNSense dürfte das nicht nötig sein, aber vermutlich auf der Remote-pfSense, speziell, wenn mehrere OpenVPN Instanzen laufen.

    Dazu einfach unter Interfaces > Assign bei "available network ports" die entsprechende OVPN Instanz auswählen, das neue Interface öffnen, aktivieren, nach Belieben einen passenden Namen vergeben und speichern. Mehr ist nicht nötig.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy