PfSense Routing von separaten OpenVPN-Tunneln



  • Hi Leute,
    ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
    und unterschiedlichem IP-Range am laufen.
    2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
    jeweils mit dem Server-LAN und der DMZ.
    Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
    Zugriffe funktionieren in jeweils beide Richtungen problemlos.
    Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
    nur einen Tunnel im Multi-Client-Modus laufen.
    Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
    die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
    Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
    sie funktioniert nicht direkt vom Client aus.
    Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
    leider eben nicht direkt von Tunnel zu Tunnel.
    Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
    auf der pfSense hier überhaupt funktioniert.
    Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
    kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
    meine Verbindung zur pfSense kappen.
    Gruß & Danke orcape


  • Rebel Alliance Moderator

    Ahoi,

    soweit ich das sehe, liegt dein Hauptproblem darin, dass die Tunnel-Endnetze von #1 und #2 nicht auf deinem verbundenen VPN Client ankommen (können), weil er die Route nicht hat. Es sollte bei der Verbindung von #3 (dein Client-VPN) theoretisch genügen, mit einem zusätzlichen "PUSH n.n.n.n" Statement am Ende die Routen für die Netze #1 und #2 an deine Clients von VPN #3 zu veröffentlichen. Als machbar sehe ich das aber schon.

    Grüße



  • Hi JeGr,
    danke erst mal für Dein Feedback.
    Das Problem liegt wohl daran, das sich alle 3 Tunnel-Server  auf einem Interface befinden und die Server geroutet werden müssen.
    Die Server wissen ja automatisch die Route zu Ihren Clients, nur weiß Tunnel-Server 3 nichts von den anderen beiden.
    Der Versuch nur mit push "route allein genügt nicht. das habe ich schon festgestellt.
    Die Config sollte eigentlich wie folgt funktionieren….
    Server 3 unter "Advanced configuration"

    
    route TunnelNetz 2;
    route TunnelNetz 3;
    push "route TunnelNetz 2";
    push "route TunnelNetz 3";
    
    

    unter Client Spezifische Conf.(openvpn.csc/ccd) Tunnel3….

    
    iroute TunnelNetz 2;
    iroute TunnelNetz 3;
    
    

    Leider bin ich noch 2 Wochen gezwungen von remote über Tunnel 3 auf die pfSense zuzugreifen und will deshalb jetzt kein Risiko eingehen.
    Ich melde mich wenn ich dann wieder zu Hause bin und hab es getestet.
    Gruß orcape



  • Hi,
    hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
    Hier mal eine Beispiel-conf….

    
    OpenVPN-Server3
     Advanced Configuration
     push "route 10.7.8.0 255.255.255.0";     # zu OVPN-Netz 1
     push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1
     route 192.168.65.0 255.255.255.0;        # zu LAN hinter OVPN 1
     push "route 10.14.8.0 255.255.255.0";    # zu OVPN-Netz 2
     push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2
     route 192.168.187.0 255.255.255.0;       # zu LAN hinter OVPN 2
    
    
     OpenVPN-Server2
     Advanced Configuration
     push "route 10.13.6.0 255.255.255.0";   # zu Tunnel3
     route 10.13.6.0 255.255.255.0;                # zu Tunnel3
    
    
     OpenVPN-Server1
     Advanced Configuration
     push "route 10.13.6.0 255.255.255.0";    # zu Tunnel3
     route 10.13.6.0 255.255.255.0;                 # zu Tunnel3
    
    
    Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren...
     pass Tunnel3-Tunnel1
     pass Tunnel3-  LAN 1
     pass Tunnel1-Tunnel3
     pass LAN1   -Tunnel3
    
     pass Tunnel3-Tunnel2
     pass Tunnel3-  LAN 2
     pass Tunnel2-Tunnel3
     pass LAN 2  -Tunnel3
    

    …und schon klappt die Verbindung in die remoten LAN´s.
    Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß. ;)
    Leider habe ich dazu nichts in den Manuals finden können.
    Gruß orcape


Log in to reply