Woher kommen die statischen Routingeinträge

Alien_TM

Hallo mitnand

seit ca 2015 laufen bei mir erfolgreich ein paar pfSensen (alle z.Z. 2.5.1).

Eine Hauptstelle (mit 4 WAN Leitungen, Loadbalancing und Failover), ein paar kleinere Aussenstellen (je 1x WAN - per IPSEC angebunden) und ca 100 "Gelegenheitsaussendienstlern" die sich per OpenVPN sich auf die Hauptstelle ab und zu einwählen. Soweit läufts ganz gut aber manchmal hakelts doch mal, wo ich alleine net weiter komm.

Mir ist heute wieder aufgefallen, dass einige statische Routen in meiner Hauptstelle eingetragen sind, die (bewusst) nicht von mir eingetragen wurden. Den IP-Adressen nach, sind das die festen IP´s der Aussenstellen.

Die anderen Sachen hab ich mal rausgekürzt

netstat -rn
Routing tables

Internet:
Destination        Gateway        Flags    Netif Expire
default            [IP-WAN4]      UGS      pppoe3

[IP-Außenst.A]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.B]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.C]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.D]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.E]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.F]     [IP-WAN4]      UGHS     pppoe3
[IP-Außenst.G]     [IP-WAN2]      UGHS     pppoe2

Ich hatte die schon mal vor ein paar Monaten händisch rausgelöscht, aber irgendwann waren die wieder da. Jemand ne Idee?

Das zweite Problem hab ich mit dem OpenVPN-Client-Export.

WAN2 - WAN4 sollen für die VPN-Einwahl zufällig benutzt werden (Host Name Resolution im OpenVPN-Server steht auf 'Automagic Multi-WAN-IPs', 'remote-random' wird im Configfile mitgegeben), aber es steht nur eine WAN-IP (WAN2) in der Config drin. Das hatte früher auch mal funktioniert?

Vielen Dank schon mal fürs durchlesen

...Alex

viragomann

@alien_tm
Hallo,

hast du diese IPs etwa als DNS Server mit Gateway in System > General Setup eingetragen oder als Monitoring Adresse für Gateways gesetzt?
In diesem Fall würde pfSense entsprechende Routen setzen, um das zu erreichen, was du eingestellt hast.

Für die OpenVPN Client Export Frage habe ich keine Idee. Multi-WAN hatte ich nie verwendet. Mehrere Server-Adressen habe ich immer mit mehreren Remote-Zeilen gelöst. Das macht aber kein Random.

Grüße

Alien_TM

@viragomann

@alien_tm
hast du diese IPs etwa als DNS Server mit Gateway in System > General Setup eingetragen oder als Monitoring Adresse für Gateways gesetzt?

Nein, die hab ich scho rausgekürzt, die Monitoring-IPs der Gateways sinds leider nicht.

Für die OpenVPN Client Export Frage habe ich keine Idee. Multi-WAN hatte ich nie verwendet. Mehrere Server-Adressen habe ich immer mit mehreren Remote-Zeilen gelöst. Das macht aber kein Random.

dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote IP-1.2.3.4 1194 udp
remote IP-2.3.4.5 1194 udp #diese_Zeile_fehlt_mir___wurde_vorher_automatisch_mit_eingefuegt
verify-x509-name "OpenVPN_CERT" name
auth-user-pass
pkcs12 pfSense-udp-1194-user.name_cert.p12
tls-auth pfSense-udp-1194-user.name_cert-tls.key 1
ns-cert-type server
remote-random #dieser_Eintrag_wuerfelt_die_remote_IPs

...Alex

viragomann

@alien_tm
Die zweite remote Zeile kannst du auch in den Advanced Options im Export Utility eintragen, ebenso remote-random.

Alien_TM

@alien_tm said in Woher kommen die statischen Routingeinträge:

irgendwann waren die wieder da

Das hat jetzt nur 2 Tage gedauert, nun sind sie wieder da^^

Was is das nur?

JeGr

@alien_tm Hängt stark von deiner Konfiguration ab. Würde entweder auf IPSec oder OpenVPN tippen, das direkt auf dem PPPoE Interface aufgelegt ist und als Gegenstelle XY hat. Dann wird bei MultiWAN natürlich ne Host-Route gesetzt, damit das VPN auch auf dem richtigen Interface aufgebaut wird. Ansonten hätte man bei Multi-WAN ja digitalen "Kabelsalat". Wenn man mehrere Site2Site Tunnel hat und diese mit mehreren Außenstellen verbindet und bspw. jede Außenstelle auf einem eigenen WAN haben will, dann muss OVPN das ja irgendwie hinbekommen, dass beim Verbindungsaufbau auch genau DAS Interface genutzt wird, was gewünscht ist und nicht "irgendeins was gerade default ist". Daher Hostrouten. Ohne deine Konfig zu kennen, ist das der best guess :)

Cheers

Alien_TM

@jegr

Gerade getestet: IPSEC-Dienst auf der Hauptstelle gestoppt, Routen gelöscht, geprüft, tauchen nicht wieder auf. Sobald der IPSec-Dienst gestartet wird und eine IPSec-Verbindung aufgebaut wird, wird der Routingeintrag gesetzt!

Das Verhalten war nicht von Anfang an, das wäre mir aufgefallen.

Hier mal mein Versuch der Erklärung meines Problems:

LAN Aussenstelle greift über IPSec (WAN4) auf LAN der Hauptstelle zu. Allerdings hat nun User X mit OpenVPN(zu WAN3) am Gastnetz der Aussenstelle das Problem, dass die pfSense [Hauptstelle] das Paket wegen des Routingeintrages versucht über WAN4 zurück zu routen? Das Rückpaket kommt dann nicht im Gastnetz der Aussenstelle an,.

Lösch ich den Eintrag raus, bekommt der OpenVPN-Client ne Verbindung - der IPSec Tunnel geht auch ohne die Route.

WAN4 - Hauptstelle---WAN Aussenstelle--[Router-LAN]--------[WAN-pfSense]---LAN Aussenstelle
            :                            PPPoE    |
            : DialUp-/PPPoE                       |___ Gastnetz Aussenstelle-[VPN-Client-zu-WAN3]*Problem
            :
      .-----+-----.
      |   Modem   | 
      '-----+-----'
            |               |
        WAN4          WAN3  |
            |               |
      .-----+---------------+---.
      |  pfSense                |
      '-----+-------------------'
            |
        LAN 
            

code_text

Das macht doch keinen Sinn, dass die pfSense in der Hauptstelle die Route global setzt?!? Die Route gilt doch eigentlich nur für Tunnel?

...Alex

JeGr

@alien_tm said in Woher kommen die statischen Routingeinträge:

LAN Aussenstelle greift über IPSec (WAN4) auf LAN der Hauptstelle zu. Allerdings hat nun User X mit OpenVPN(zu WAN3) am Gastnetz der Aussenstelle das Problem, dass die pfSense [Hauptstelle] das Paket wegen des Routingeintrages versucht über WAN4 zurück zu routen? Das Rückpaket kommt dann nicht im Gastnetz der Aussenstelle an,.

Das macht für mich so als Erklärung keinen Sinn. Dazu bräuchte man sinnvollerweise die Routen und Nezte auf allen Seiten um da eine fundierte Antwort geben zu können. Die pfSense verhält sich aber IMHO da völlig korrekt. Deine Routen kenne ich aber nicht. Es werden aber nicht spontan einfach Routen/Regeln gesetzt also müssen sie ja sinnigerweise irgendwo her kommen. Ich denke daher dass das an einer Stelle eine Überschneidung der Routen ist.

Ich kann zudem nicht nachvollziehen, warum die Sense irgendein Einwahlnetz OpenVPN plötzlich über IPsec routen sollte wenn die Netze nicht falsch oder fehlerhaft vergeben sind. Haben wir auch in keiner noch so kleinen oder großen Konstellation bislang gesehen. Wie gesagt, ohne mehr Details ist das gerade sonst leider Ratespiel für mich.

Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen.

Cheers
\jens

Alien_TM

@jegr said in Woher kommen die statischen Routingeinträge:

Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen>
\jens

Das macht vermutlich Sinn, ich kläre es ab und melde mich

...Alex