• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

OpenVPN - IPSEC Routing Problem

Scheduled Pinned Locked Moved Deutsch
11 Posts 4 Posters 929 Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    Mboehm
    last edited by Feb 18, 2020, 8:36 AM

    Guten Tag,

    ich verwende eine pfsense in der Zentrale und möchte zu den Außenstellen die über IPSEC-VPN's angebunden sind eine Verbindung herstellen indem ich mit mittels OpenVPN zur Zentrale verbinde.

    Meine IP Subnet in der Zentrale lautet: 172.20.0.0/24
    Mein Subnet in der Außenstelle: 192.168.2.0/24

    Die OpenVPN habe ich soweit konfiguriert dass ich mich verbinden kann und vom Tunnel Network (10.0.0.0/24) eine IP zugewiesen bekomme.

    Routen-Einträge bei den IPSEC-Verbindungen in der P2 sind soweit alle gesetzt und ich bin sogar schon so weit dass das zu 50% funktioniert:

    Wenn ich vom Router in der Außenstelle (Bintec RT1202) eine IP vom OpenVPN Netzwerk anpinge (zB. 10.0.0.1 vom Router mit der IP 192.168.2.254) dann wird die Verbindung aufgebaut und die Verbindung steht und funktioniert in beide Richtungen (also auch vom Laptop der mittels OpenVPN eingewählt ist).

    Was mir jetzt noch fehlt ist dass die Clients die sich über OpenVPN verbinden eigenständig eine Verbindung in das 192.168.2.0/24 Netzwerk aufbauen können.

    Den Eintrag mit push route (push "route 192.168.2.0 255.255.255.0";) habe ich beim OpenVPN Server soweit gesetzt.

    Bei den IPV4 Local Network-Konfiguation am OpenVPN Server habe ich auch das 192.168.2.0/24 hinzugefügt: 172.20.0.0/24,192.168.2.0/24

    Bei den Firewall-Regeln gibt es zur Zeit keine Einschränkungen.

    Ich weiß jetzt nicht mehr weiter. Vl. gibt es jemanden der mir helfen kann.

    Danke

    V 1 Reply Last reply Feb 18, 2020, 12:34 PM Reply Quote 0
    • V
      viragomann @Mboehm
      last edited by Feb 18, 2020, 12:34 PM

      Hallo!

      @Mboehm said in OpenVPN - IPSEC Routing Problem:

      Routen-Einträge bei den IPSEC-Verbindungen in der P2 sind soweit alle gesetzt

      Darf man die mal sehen?

      @Mboehm said in OpenVPN - IPSEC Routing Problem:

      Wenn ich vom Router in der Außenstelle (Bintec RT1202) eine IP vom OpenVPN Netzwerk anpinge (zB. 10.0.0.1 vom Router mit der IP 192.168.2.254) dann wird die Verbindung aufgebaut und die Verbindung steht und funktioniert in beide Richtungen (also auch vom Laptop der mittels OpenVPN eingewählt ist).
      Was mir jetzt noch fehlt ist dass die Clients die sich über OpenVPN verbinden eigenständig eine Verbindung in das 192.168.2.0/24 Netzwerk aufbauen können.

      Das wiederspricht sich für mich. Du kannst vom via OpenVPN verbundenen Laptop eine IP in 192.168.2.0/24 erreichen, aber dann wieder doch nicht??

      @Mboehm said in OpenVPN - IPSEC Routing Problem:

      Den Eintrag mit push route (push "route 192.168.2.0 255.255.255.0";) habe ich beim OpenVPN Server soweit gesetzt.

      Das ist uralter Müll. Die Routen werden nun dadurch gepusht:

      @Mboehm said in OpenVPN - IPSEC Routing Problem:

      Bei den IPV4 Local Network-Konfiguation am OpenVPN Server habe ich auch das 192.168.2.0/24 hinzugefügt: 172.20.0.0/24,192.168.2.0/24

      Damit hast du in der Konfig zweimal 'push "route 192.168.2.0 255.255.255.0"'

      1 Reply Last reply Reply Quote 0
      • M
        Mboehm
        last edited by Feb 18, 2020, 12:48 PM

        Hallo,

        danke für die schnelle Antwort.

        Klar darf man die sehen:

        fe11d052-592a-404c-a1c6-fb0fbe0d04df-image.png

        c4c5d21d-7613-4652-b494-b572ab29b9b0-image.png

        Sobald der Bintec Router eine Verbindung aufbaut geht alles in beide Richtungen. Das soll heißen ich mache zB. einen Ping vom Router mit der IP 192.168.2.254 zur IP 10.0.0.1 der Pfsense und dann steht die Verbindung. Soll heißen es braucht den Bintec damit die Verbindung zwischen den zwei Netzen aufgebaut wird.
        Wenn die Verbindung mal steht dann funktioniert alles so wie es soll und jeder kann überall hin pingen etc.

        Danke, hab die Push Route gelöscht und teste etwas später gleich noch einmal!

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by viragomann Feb 18, 2020, 12:57 PM Feb 18, 2020, 12:53 PM

          OK. Verstehe. Das ist dann wohl ein anderes Problem.

          Können andere Geräte aus den beiden entfernten Netzen jederzeit miteinander kommunizieren?

          1 Reply Last reply Reply Quote 1
          • V
            viragomann
            last edited by Feb 18, 2020, 1:00 PM

            Und diese beiden Phase 2 gibt es auch am Router der Außenstelle in umgekehrter Richtung?

            1 Reply Last reply Reply Quote 1
            • M
              Mboehm
              last edited by Feb 18, 2020, 1:04 PM

              Beim Bintec Router ändert sich hier der Status der Verbindungen von 1 auf 2 sobald ich einen Ping vom Bintec zur pfSense absetze.

              1a5409e4-4cb2-46da-af86-3badaef3ab23-image.png

              Ja die Einträge gibt es auf beiden Routern, am Bintec sieht es halt etwas anders aus:

              ad41f554-5ff9-4bd7-81db-1e684fe117a8-image.png

              df85c673-53ad-49bc-9a2f-935e9ffc44d9-image.png

              Die Route am Laptop scheint zu stimmen, wenn ich einen Traceroute auf 192.168.2.254 mache ist der erste Hop die 10.0.0.1 aber dann passiert nichts mehr (bis ich halt vom Bintec wieder die pfSense anpinge).

              Es gibt einen Workaround am Bintec der Ping Generator heißt, mit dem könnte ich es jetzt lösen, aber ich denke mir mal es muss ja auch anders funktionieren.

              Wo ist da mein Denkfehler?

              Danke

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by Feb 18, 2020, 1:34 PM

                Der Status sollte die Anzahl an IPSec-Verbindungen sein.

                Routen oder Firewall-Regeln sollten sich auf der pfSense oder auf deren VPN-Client nicht ändern, wenn die Gegenseite der IPSec eine Verbindung herstellt. Mir fällt auch sonst nichts auf der pfSense-Seite ein, das dieses Verhaltung bewirken könnte und von dem Bintec habe ich keine Ahnung.

                Wenn der Ping Generator eine Lösung ist, na dann... Die pfSense pingt ja auch standardmäßig die Gegenseitet einer Site-to-site VPN.

                1 Reply Last reply Reply Quote 1
                • M
                  Mboehm
                  last edited by Feb 18, 2020, 1:40 PM

                  Danke für deine Hilfe.

                  Das ganze ist halt wie Senf und Ketchup zu mischen :)

                  Vermutlich ist der Bintec zu faul um standardmäßig eine zweite Verbindung aufzubauen :)

                  Nochmals danke!

                  1 Reply Last reply Reply Quote 0
                  • J
                    JeGr LAYER 8 Moderator
                    last edited by Feb 19, 2020, 11:47 AM

                    Hatte jetzt (leider) schon mehrfach bei Kunden mit Bintecs Probleme, die machen da wirklich intern einen ziemlichen grauen Murks was VPN/IPSEC angeht. Von "Verbindung wird nicht aufgebaut" weil falsche Cipher etc. obwohl was anderes ausgewählt ist über "Phase wird nicht offen gehalten" bis hin zu "Oh ja, das ist ein offizieller Bug in der Firmware..." hab ich mit den Dingern schon alles durch jetzt. :/
                    Also potentiell kann ich mir da durchaus vorstellen, dass die Bintec zu doof/komisch ist um die zweite Phase einfach aufzumachen. Allerdings sollte die automatisch aufgehen wenn Traffic von der Gegenseite kommt. Ansonsten prüfen ob beide Seiten wirklich Responder UND Transmitter sind oder die pfSense bspw. nur als Responder only eingestellt ist. Sollten beide aktiv/passiv sein, damit eine Phase von beiden Seiten aus getriggert werden kann. Ansonsten hilft der auto Ping durchaus (kann die pfSense in Phase 2 ganz unten mit Ping Ziel) ja auch um die Phase aktiv zu halten bzw. gleich aufzubauen statt erst on demand. :)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 1
                    • M
                      Mboehm
                      last edited by Feb 20, 2020, 7:19 AM

                      Danke!

                      Always Up ist bei der Bintec eingestellt.

                      Ich denke auch dass die Dinger nicht das gelbe vom Ei sind.

                      Da sind mir die pfSense-Firewall um einiges lieber :)

                      Schönen Tag wünsche ich

                      1 Reply Last reply Reply Quote 0
                      • L
                        lfoerster
                        last edited by lfoerster Mar 19, 2020, 5:02 PM Mar 19, 2020, 5:01 PM

                        Hier findest du ebenfalls eine Lösung zu der Thematik mit gemischten Site 2 Site VPNs (OVPN und IPsec) und mobilen (IPsec) Nutzern:
                        OVPN/IPsec Mix 1
                        bzw.
                        OVPN/IPsec Mix 2
                        Und last but not least die VPN Dialin Lösung für mobile User und bordeigenen VPN Clients:
                        VPN Dialin

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                          This community forum collects and processes your personal information.
                          consent.not_received