Kann weiteres Subnetz per OpenVPN nicht erreichen
-
Guten Tag,
ich verzweifle an der Einrichtung einer eigentlich einfachen Konstellation.
Ich bekomme das mit dem Routing nicht hin, so das sich das Notebook mit Systeme die sich im Netz B befinden, direkt verbinden kann.
Wo muss was eingerichtet werden.
Das Notebook erhält eine IP aus dem OpenVPN-TransvernetzA 192.168.2.0/24
B: 192.168.3.0/24
OpenVPN TunnelNetz 192.168.200.0/24
OpenVPN Lan-Interface 192.168.2.154/24
PFSenseA 192.168.2.254 Version 2.4.5-RELEASE-p1
PFSenseB 192.168.3.254 Version 2.4.5-RELEASE-p1Was funktioniert:
Das Notebook wählt sich per OpenVPN in das Netzwerk A ein. Status OK
Zwischen Netz A und B besteht ein Site To Site IpSec-Tunnel Status OK
Ich kann vom Notebook aus die Systeme die sich im Netz A befinden inkl. OpenVPN-Server erreichen Status OK
Von Systeme die sich im Netz A befinden, kann ich Systeme die sich im Netz B befinden erreichen. Status OKIch kann die PFSenseA vom Notebook aus erreichen. Status nicht OK
Ich kann die PFSenseB vom Notebook aus erreichen. Status nicht OK
Ich kann vom Notebook aus Systeme die sich im Netz B befinden erreichen Status nicht OK
Hoffe das mir einer Helfen kann.
Gruß MartinNotebook : : DSL : .-----+-----------. | OpenVPNServer | '-----+-----------' | | LAN 192.168.2.0/24 +---+ Client/Server | .-----+-----. IpSec-Tunnel .------------. | pfSenseA +---------------+ pfSenseB | '-----+-----' Wan '-----+------' | | LAN 192.168.3.0/24 | | Client/Server
-
@mreczio
Hallo!IPSec
Du musst auch IPSec mitteilen, dass es den Traffic zwischen dem OpenVPN Client und dem LAN B routen soll.
Wie sonst auch, geht das über die Phase 2.
Also wenn noch nicht geschehen, musst du auf der pfSense B eine Phase 2 hinzufügen:
Local: 192.168.3.0/24
Remote: 192.168.200.0/24Und auf der pfSense A eine Phase 2 mit vertauschten Netzen natürlich.
In der OpenVPN konfiguration ist das LAN B 192.168.3.0/24 zu den "IPv4 Local Network/s" hinzuzufügen, damit der Client die Route gepusht bekommt.
Die Firewall-Regeln an den beteiligten Interface müssen den Zugriff natürlich auch erlauben.
Dann sollte die Sache laufen.