Site to Site VPN OpenVPN Problem



  • Hallo zusammen,

    ich habe ein Problem mit meinem Site to Site VPN.
    Ich habe auf beiden Seiten eine PfSense die bereits einen OpenVPN Server haben und auch Verbindungen zu verschieden Clients aufbauen.

    Die Verbindung zwischen den beiden OpenVPN Servern steht. Ich sehe auch in der Routingtabelle das die Remote Netzwerke eingetragen sind und auf das richtige Interface zeigen. Im Firewall log wird mir ebendfalls keine geblockte Verbindung angezeigt.

    Das Gateway ist ebenfalls als erreichbar angezeigt. Wenn ich aber aus irgendeinem Netz einen Ping oder ähnliches versuche komme ich nicht durch.

    Hab ihr mir eine Idee wo ich noch suchen bzw. was ich ändern muss?



  • Hallo,

    nachdem du ein entsprechendes Gateway hast, nehme ich an, du hast den Site-to-site Instanzen bereits auf beiden Seiten ein Interface zugewiesen und diese aktiviert.

    Kann es sein, dass der Zugriff vom Remote-Geräte selbst geblockt wird?
    Kannst du von den Access-Server Clients darauf zugreifen?
    Sind beide pfSense die Standardgateways am Quell- und am Zielgerät einer scheiternden Verbindung?

    Interessant, um der Sache näher zu kommen, wäre natürlich die gesamte Routing-Tabelle beider Seiten und das genaue Problem, von wo du wohin möchtest und scheiterst.

    Um die Sache selbst zu untersuchen, kannst du Diagnostic > Packet Capture verwenden. Damit solltest du bspw. die Ping Pakete am lokalen VPN-Interface sehen, sowie auf der Remoteseite am entsprechenden VPN-Interface und am LAN oder wo immer das Zielgerät drauf hängt.



  • Ich habe den Fehler gefunden.
    Ich muss eine manuelle NAT Rule setzen.
    Danach kann ich aus jedem Netz Firewall Rules erstellen um auf die Remote Netzwerke zugreifen.



  • Hallo,

    danke für die Rückmeldung.
    Doch kann eine NAT-Regel nur ein Workaround für Verbindungsprobleme in einer Site-to-site Konfiguration sein, nicht die Lösung. Die Lösung liegt in den richtigen Routen und Firewall-Regeln.
    NAT hat gewisse Nachteile. Wenn diese in deinem Fall hinnehmbar sind, ist die Sache natürlich auch okay.

    Grüße


Log in to reply