Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Routing zwischen Site to Site and Remote Access OpenVPN Server

    Deutsch
    2
    6
    739
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dEx
      last edited by

      Hallo ich versuche jetzt schon seit Tagen das folgende Routing zu realisieren aber es klappt einfach nicht. Vielleicht könnt ihr mir helfen.

      pfSense daheim als Router: 10.11.12.0/24 Netz.
      Cloudserver im Netz ohne LAN aber mit 2 x OpenVPN Server. 1 x Site to Site zum Router daheim 10.0.8.0/24 Netz und 1 x Remote Access Server zur Ferneinwahl ins Heimnetz mit 10.0.9.0/24 Netz

      Ziel ist es mit dem Cloudserver den Dual Stack Anschluss daheim zu umgehen und mich auch aus dem Mobilfunknetz Zuhause einwählen zu können.

      Ich habe mitlerweile glaube ich alle Varianten von route und push route in der erweiterten Config eingetragen. Remote und Lokale Netze in den VPN Einstellungen auch eingetragen. Der Server kann seine Gegenüber aus dem Interface pingen aber ich komme nicht vom Telefon auf das Heimnetz.

      Was muss ich wo eintragen damit es klappt?

      Danke!

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @dEx
        last edited by viragomann

        @dex said in Routing zwischen Site to Site and Remote Access OpenVPN Server:

        Ich habe mitlerweile glaube ich alle Varianten von route und push route in der erweiterten Config eingetragen.

        Diese Optionen benötigst du dafür nicht.

        Remote und Lokale Netze in den VPN Einstellungen

        Diese beiden sollten reichen.

        In der Site-to-site Konfiguration am Cloudserver muss das Heim-LAN natürlich in "Remote Netzwerk" eingetragen sein und in der Remote Access Server Konfig in "Lokal Netzwerk".

        Am Heimrouter muss das Access Server Tunnel Netzwerk im "Remote Netzwerk" Feld stehen.

        Wichtig: auf der pfSense musst du der OpenVPN Instanz (bspw. ovpnc1) ein Interface zuweisen und dieses aktivieren, weiter nichts.
        Die Firewall-Regel, die den eingehenden Traffic erlaubt, muss auf diesem Interface definiert werden, nicht auf OpenVPN oder Floating!

        Jetzt muss noch gegeben sein, dass der Cloudserver die Verbindung durchlässt. Standardmäßig tut das ein Linux bespw. nicht.

        Ein häufiges Problem ist auch, dass das Zielgerät im Heimnetz keine Verbindung von außerhalb akzeptiert. Ist auch die Standardeinstellung auf jedem Betriebssystem.
        Das kannst du einfach mit dem Ping Tool der pfSense testen. Ping auf das Zielgerät mit Standardeinstellungen - klappt vermutlich. Dann als Quelle OpenVPN auswählen und damit versuchen.

        Wenn das alles befolgt ist und die Firewall-Regeln den Traffic zulassen, sollte es funktionieren.

        D 1 Reply Last reply Reply Quote 1
        • D
          dEx @viragomann
          last edited by

          @viragomann Danke für die ausführliche Antwort. Leider habe ich alles bereits so konfiguriert gehabt. Mit diesen Einstellungen ist es nicht mal mehr möglich den lokalen pfSense Router von der Cloud pfSense zu pingen.

          Lokale pfSense OpenVPN Settings - keine Custom Einträge keine Client Überschreibungen
          alt text

          Lokale pfSense Routing Tabelle
          alt text

          Cloud pfSense OpenVPN Settings Site to Site
          alt text

          Cloud pfSense OpenVPN Settings Remote Access fürs Handy
          alt text

          Cloud pfSense Routing Tabelle
          alt text

          Die Interfaces sind zugeordnet und haben entsprechende IPs aus dem Tunnelnetz. In der Firewall ist auf den OPT und OpenVPN Tabs jeglicher IPv4 Traffic frei. Ich konnte ja mit meinen Einstellungen auch wenigstens mal von cloud zu lokal pingen. Jetzt wie gesagt auch das nicht mehr. Ich verstehe nicht wo es noch hängen könnte. Routen sind doch alle da.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @dEx
            last edited by viragomann

            @dex
            Für den VPN-Tunnel der Site-to-Site solltest du ein /30er Netz verwenden.
            Wenn es eine SSL-OVPN ist, muss im Client das Feld "Tunnel Netzwerk" leer bleiben, die Einstellung kommt vom Server.

            @dex said in Routing zwischen Site to Site and Remote Access OpenVPN Server:

            In der Firewall ist auf den OPT und OpenVPN Tabs jeglicher IPv4 Traffic frei.

            Genau am OpenVPN Tab sollte eine solche Regel nicht existieren, ansonsten wird sie angewandt und die am selbstdefinierten Interface ignoriert.
            EDIT: Aber rein für den Zugriff von einem VPN-Client, der mit dem VPS verbunden ist, ist das nicht relevant.

            D 1 Reply Last reply Reply Quote 0
            • D
              dEx @viragomann
              last edited by

              @viragomann Danke das /30 hat aus welchem Grund auch immer dafür gesorgt das ich endlich vom Remote Access auf die Peer to Peer Seite zugreifen kann. Lediglich das Tunnel Netz im Peer to Peer Client durfte nicht leer bleiben da sonst kein Tunnel aufgebaut wurde.

              Trotzdem noch mal vielen Dank für deine Hilfe!

              V 1 Reply Last reply Reply Quote 0
              • V
                viragomann @dEx
                last edited by

                @dex said in Routing zwischen Site to Site and Remote Access OpenVPN Server:

                Lediglich das Tunnel Netz im Peer to Peer Client durfte nicht leer bleiben da sonst kein Tunnel aufgebaut wurde.

                Wie erwähnt, das gilt nur für SSL/TLS-Server Mode, nicht für Shared Key.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.