OpenVPN Bridge mit TAP Interface



  • Hallo zusammen,

    Schließlich und endlich frage ich doch mal hier im Forum nach…
    Ich schlage mich seit Wochen mit der Konfiguration einer TAP Bridge in OpenVPN herum.

    Ausgangslage ist ein Office mit zwei Internetleitungen (nennen wir es Office) und ein Office mit einer Internetleitung (nennen wir es Remote), beide haben als erste Station nach den DSL Modems (nicht Router) eine pfSense. Netterweise hat das Office mit den zwei Leitungen auch auf der einen eine feste IP, also eigentlich alles wunderbar.
    Das Ziel ist eine Erweiterung des Office LANs, es sollen auf beiden Seiten Arbeitsplätze möglich sein und außerdem durch die Bridge auch ein Backup kopiert werden.

    Meine Vorgehensweise:

    • Erstellen der Zertifikate per Zertifikatsmanager auf der Office pfSense

    • Kopieren des CA Zertifikates und des Client Zertifikates/Keys auf die Remote pfSense

    • Konfiguration des OpenVPN Servers auf der Office pfSense

    • Aktivieren des TAP Interfaces, ohne IPv4/v6 Konfiguration

    • Erstellen einer Bridge zwischen TAP und LAN Interface

    • Anlegen der Firewallregeln: WAN OpenVPN eingehend erlauben, TAP alles erlauben, Bridge alles erlauben

    • Konfiguration des OpenVPN Clients auf der Remote pfSense

    • Aktivieren des TAP Interfaces, ohne IPv4/v6 Konfiguration

    • Erstellen einer Bridge zwischen TAP und LAN Interface

    • Anlegen der Firewallregeln: WAN OpenVPN eingehend erlauben, TAP alles erlauben, Bridge alles erlauben

    Resultat:
    Die OpenVPN Verbindung kommt zustande, allerdings kann ich die Bridge nicht nutzen. Status der Interfaces (TAP, Bridge) ist "up", bei der Bridge sehe ich allerdings einige In/Out Errors. In einer virtuellen Installation (2x pfSense, 2x Client) hat alles perfekt funktioniert, an dieser Konfiguration habe ich mich orientiert.

    Bisherige weitere Versuche:

    • Umstellen auf Pre-Shared Key statt SSL Zertifikat - erfolglos (klar, VPN Verbindung funktionierte ja vorher auch schon)

    • pfSense Office komplett neu aufgesetzt und manuell durchkonfiguriert - erfolglos

    • pfSense Remote komplett neu aufgesetzt und manuell durchkonfiguriert - erfolglos

    Bisher verwendete Anleitungen:
    http://bertdotself.com/configuring-an-openvpn-multisite-vpn-bridge-using-public-key-infrastructure-pki/
    http://www.virtualtothecore.com/en/create-a-stretched-lan-between-your-site-and-vcloud-using-pfsense/
    https://forum.pfsense.org/index.php?topic=46984.0

    Ich bin mit meinem Latein am Ende - hätte vielleicht jemand Vorschläge, an welchen Stellen ich weiter nach Fehler, die ich eingebaut haben könnte, Ausschau halten sollte?

    Vielen Dank im voraus!

    Gruß

    Yoshi


  • LAYER 8 Moderator

    Hallo Yoshi

    ich verstehe bei dem ganzen nicht, warum du da so beharrlich versuchst mit einer OpenVPN Bridge/TAP eine Sonderlocke zu bauen, wenns mit einem ganz simplen gerouteten VPN einfacher und ohne Schwierigkeiten läuft. Zudem finde ich es immer schwierig, wenn Leute die neueste Software einsetzen (2.3) und dann aber nach irgendwelchen externen Anleitungen Sachen bauen, die schon 4+ Jahre alt sind und inzwischen schon mehrfach umgebaut wurden.

    Gibt es denn überhaupt für einen TAP/Bridge Modus via OpenVPN einen Grund oder einfach nur weils schön sein könnte? Ansonsten macht das freiwillig in der Praxis kein Mensch (zumindest kenne ich niemand) und auch wenns immer noch Blogs gibt (wie deinen ersten Link) der das TAP Tunneling von OpenVPN total toll findet und feiert - in der Praxis nutzt es niemand denn auch beim Broadcasting via Tunnel gibts Grenzen und Routing ist an der Stelle einfach sauberer und wesentlich einfacher umzusetzen.

    Grüße



  • Standortvernetzung mit OpenVPN aber ohne TAP!!!!

    In deutscher Sprache und einfach zum abtippen funktioniert 100% und ist ich möchte meinen tausend mal
    aufgesetzt und erfolgreich konfiguriert worden. Da sollte also nichts "schief" gehen.


Log in to reply