Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense Routing von separaten OpenVPN-Tunneln

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      orcape
      last edited by

      Hi Leute,
      ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
      und unterschiedlichem IP-Range am laufen.
      2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
      jeweils mit dem Server-LAN und der DMZ.
      Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
      Zugriffe funktionieren in jeweils beide Richtungen problemlos.
      Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
      nur einen Tunnel im Multi-Client-Modus laufen.
      Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
      die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
      Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
      sie funktioniert nicht direkt vom Client aus.
      Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
      leider eben nicht direkt von Tunnel zu Tunnel.
      Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
      auf der pfSense hier überhaupt funktioniert.
      Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
      kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
      meine Verbindung zur pfSense kappen.
      Gruß & Danke orcape

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi,

        soweit ich das sehe, liegt dein Hauptproblem darin, dass die Tunnel-Endnetze von #1 und #2 nicht auf deinem verbundenen VPN Client ankommen (können), weil er die Route nicht hat. Es sollte bei der Verbindung von #3 (dein Client-VPN) theoretisch genügen, mit einem zusätzlichen "PUSH n.n.n.n" Statement am Ende die Routen für die Netze #1 und #2 an deine Clients von VPN #3 zu veröffentlichen. Als machbar sehe ich das aber schon.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • O
          orcape
          last edited by

          Hi JeGr,
          danke erst mal für Dein Feedback.
          Das Problem liegt wohl daran, das sich alle 3 Tunnel-Server  auf einem Interface befinden und die Server geroutet werden müssen.
          Die Server wissen ja automatisch die Route zu Ihren Clients, nur weiß Tunnel-Server 3 nichts von den anderen beiden.
          Der Versuch nur mit push "route allein genügt nicht. das habe ich schon festgestellt.
          Die Config sollte eigentlich wie folgt funktionieren….
          Server 3 unter "Advanced configuration"

          
          route TunnelNetz 2;
          route TunnelNetz 3;
          push "route TunnelNetz 2";
          push "route TunnelNetz 3";
          
          

          unter Client Spezifische Conf.(openvpn.csc/ccd) Tunnel3….

          
          iroute TunnelNetz 2;
          iroute TunnelNetz 3;
          
          

          Leider bin ich noch 2 Wochen gezwungen von remote über Tunnel 3 auf die pfSense zuzugreifen und will deshalb jetzt kein Risiko eingehen.
          Ich melde mich wenn ich dann wieder zu Hause bin und hab es getestet.
          Gruß orcape

          1 Reply Last reply Reply Quote 0
          • O
            orcape
            last edited by

            Hi,
            hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
            Hier mal eine Beispiel-conf….

            
            OpenVPN-Server3
             Advanced Configuration
             push "route 10.7.8.0 255.255.255.0";     # zu OVPN-Netz 1
             push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1
             route 192.168.65.0 255.255.255.0;        # zu LAN hinter OVPN 1
             push "route 10.14.8.0 255.255.255.0";    # zu OVPN-Netz 2
             push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2
             route 192.168.187.0 255.255.255.0;       # zu LAN hinter OVPN 2
            
            
             OpenVPN-Server2
             Advanced Configuration
             push "route 10.13.6.0 255.255.255.0";   # zu Tunnel3
             route 10.13.6.0 255.255.255.0;                # zu Tunnel3
            
            
             OpenVPN-Server1
             Advanced Configuration
             push "route 10.13.6.0 255.255.255.0";    # zu Tunnel3
             route 10.13.6.0 255.255.255.0;                 # zu Tunnel3
            
            
            Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren...
             pass Tunnel3-Tunnel1
             pass Tunnel3-  LAN 1
             pass Tunnel1-Tunnel3
             pass LAN1   -Tunnel3
            
             pass Tunnel3-Tunnel2
             pass Tunnel3-  LAN 2
             pass Tunnel2-Tunnel3
             pass LAN 2  -Tunnel3
            

            …und schon klappt die Verbindung in die remoten LAN´s.
            Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß. ;)
            Leider habe ich dazu nichts in den Manuals finden können.
            Gruß orcape

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.