openvpn Client als site-to-site Verbindung

viragomann

@bforpc said in openvpn Client als site-to-site Verbindung:

Deswegen brauche ich doch eine site-to-site Verbindung zwischen der pfsense (also dem 1er Netz) und dem site Client mit dem 2er Netz

Ja, doch du betreibst einen Remote Access Server. pfSense verwendet die Ausdrücke "Remote Access" und "Site to Site" für die unterschiedlichen Modi des OpenVPN Servers. Wie das ins Deutsche übersetzt wurde, weiß ich nicht.
"Remote Access" bietet die Einstellung "Remote Netzwerke" aus gutem Grund nicht. Diese kann sich ja nur auf einen Client beziehen.

Daher ist in deinem Fall VPN > OpenVPN > Client Specific Overrides (kenne ebenfalls die Übersetzung nicht für den Client einzurichten, hinter welchen du das Netzwerk erreichen möchtest. Hier kann das Remote Netzwerk angegeben werden. Als Common Name muss der Loginname angegeben werden, bzw. bei Zertifikats-Authentifizierung der Common Name des Zertifikats.
Einen eigenen Server für diesen Client einzurichten, wie es @JeGr empfiehlt, ist vielleicht die einfachere und übersichtlichere Variante.

bforpc

Hallo @viragomann und @JeGr,

danke für die Tips.
OK, also ich weiss jetzt, das ich mehrere VPN Server nutzen muss.
Jedoch bringt mich das zu meiner ursprünglichen Frage, wie genau ich einen VPN Server für eine Site to Site Verbindung aufsetzen soll, wenn die Gegenseite nur ein Linux mit openvpn ist.
Die Doku von netgate ist an sich schon sehr gut, jedoch ist mein spezielles Problem nicht dabei. Im Internet habe ich mich fusselig gesucht, aber nichts passendes (oder verständliches) gefunden, um ein solche Verbindung "from scratch" herzustellen.

bfo

Rico

Für den Server spielt es von den Einstellungen her überhaupt keine Rolle ob der Client ein BSD, Linux oder sonstwas ist, die Einrichtung ist immer gleich.

-Rico

bforpc

Ja, das ist soweit klar ... aber damit weiss ich immer noch nicht, wie ich auf dem vpn Client (der site-to-site Verbindung) es so einrichte, wie angefragt.
Oder einfacher gefragt: Ich benötige vom pfsense (server) eine "site to site" Verbindung zu einem openvpn "Client".
Dazu ein Howto wäre echt super.

Bfo

Rico

Was konkretes "wie angefragt" konnte ich aus deinen Beiträgen bisher noch gar nicht herauslesen, eher Verwirrung zwischen S2S und RAS.
Bescheibe doch mal was du genau vor hast und welche Hardware/Software dazu zur Verfügung steht. Vielleicht das Schema noch kurz skizzieren, dann wird man dir recht schnell helfen können.
Ich kann dir die OpenVPN hangouts von JimP (Netgate) wärmstens empfehlen, da wirst du wahrscheinlich mehrere Aha-Erlebnisse haben.
Wenn das Grundprinzip verstanden wurde ist die eigentliche Config nur eine Kleinigkeit, egal ob unter pfSense, Linux, etc.

-Rico

bforpc

ja gerne. Folgendes Szenario:

HomeNet
pfsens als GW und FW mit IP 192.168.1.101/24

WorkNet
Primärer Linux Server 192.168.2.1/24, Fritzox als GW und FW mit IP 192.168.2.101/24

Diese beiden Netze möchte ich verbinden. Ich kann im WorkNet aber keine pfsense installieren. Wenn der Zugriff von und nach dem "Primärer Linux Server" ausschliesslich funktioniert, reicht das aus, es muss nicht das gesamte Netz "WorkNet" im "HomeNet" verfügbar sein ==> es reicht also, wenn der 192.168.2.1 für alle erreichbar ist.

1. Jeder Client im "HomeNet" und jeder VPN User (roadwarrior) muss auf das "HomeNet" und mindestens auf den "Primärer Linux Server" zugreifen können
2. Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.

bfo

JeGr

Zeig am einfachsten Mal den OpenVPN S2S Server Part von der pfSense, dann kann ich dir eher sagen, wie deine Konfiguration auf dem Client dazu aussehen müsste.

Edit: Ah, Posting kam dazwischen. Moment.

bforpc

@JeGr
das haeb ich alles wieder gelöscht und rausgeschmissen. Letztendlich fange ich bei 0 an.

bfo

JeGr

Du wirst im WorkNet aber dann evtl. Probleme haben, weil deine Clients nicht den OpenVPN Server als Gateway kennen. Dort ist die Fritzbox doch das GW oder? Dann wirds ohne NAT mit dem Rückweg Probleme geben bzw. Zugriff von Work auf Home wird dann schwieriger weil asymmetrisches Routing zuschlägt.

Was spricht denn gegen eine pfSense auf Arbeit? Besser als eine Fritzbox alleine allemal? Oder einfach keine Berechtigung die zu installieren?

Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.

Das Problem wird sein, dass deine Work Clients keinen Plan von der Rückroute in das .1.x Netz kennen, das wird da so oder so nicht schön. Dazu müsste dann noch zusätzlich in der Fritzbox irgendwelche Routen mit rein, ansonsten müsste jeder Client/Server wissen, wo das .1.x'er Netz ist

lfoerster

Hier findest du eine Lösung wie es geht:
OVPN Client routet
oder auch:
OVPN Client

Relevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing)
Bei Winblows ist das ein Eingriff in der Registry:
http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm
Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing.
Damit klappt das dann fehlerlos.