6
2. OpenVPN Server auf OpnSense
Hallo zusammen 
ich möchte auf einer OpnSense einen zweiten OpenVPN Server einrichten um unterschiedliche Firewallregeln für verschiedenen Anwendungen zu realisieren.
Hierfür habe ich den vorhandenen VPN Server kopiert, Port und Zertifikat geändert und dann gestartet.
Eine Verbindung war an dieser Stelle möglich und es haben die vorhanden Gruppenregeln "OpenVPN" gegriffen.
Jetzt habe ich einen neue Schnittstelle mit dem 2. VPN Server angelegt und Firewall Regeln vergeben.
Ich kann nun weiterhin eine VPN Verbindung aufbauen, allerdings bekomme ich bei dem VPN Client keine Antworten mehr von dem entfernten Netzwerk.
In der Firewall sehe ich keine blockierten Pakete.
Hat jemand eine Idee, woran das liegen kann?
Viele Grüße
Christoph
ich möchte auf einer OpnSense einen zweiten OpenVPN Server einrichten um unterschiedliche Firewallregeln für verschiedenen Anwendungen zu realisieren.
Hierfür habe ich den vorhandenen VPN Server kopiert, Port und Zertifikat geändert und dann gestartet.
Eine Verbindung war an dieser Stelle möglich und es haben die vorhanden Gruppenregeln "OpenVPN" gegriffen.
Jetzt habe ich einen neue Schnittstelle mit dem 2. VPN Server angelegt und Firewall Regeln vergeben.
Ich kann nun weiterhin eine VPN Verbindung aufbauen, allerdings bekomme ich bei dem VPN Client keine Antworten mehr von dem entfernten Netzwerk.
In der Firewall sehe ich keine blockierten Pakete.
Hat jemand eine Idee, woran das liegen kann?
Viele Grüße
Christoph
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2140336287
Url: https://administrator.de/contentid/2140336287
Ausgedruckt am: 23.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo
Mehrere OpenVPN Server funktionieren tadellos auf der OpnSense, aber du darfst folgendes nicht kopieren:
- OpenVPN Port
- OpenVPN Client Tunnel Subnet
Du hast vermutlich das gleiche Tunnel Subnet verwendet und jetzt kann die OpnSense die Pakete nicht mehr korrekt Routen.
Verwende zB:
1. OpenVPN Server -> Tunnel 10.8.0.0/24
2. OpenVPN Server -> Tunnel 10.8.1.0/24
3. OpenVPN Server -> Tunnel 10.8.2.0/24
usw.
Gruss Philippe
Mehrere OpenVPN Server funktionieren tadellos auf der OpnSense, aber du darfst folgendes nicht kopieren:
- OpenVPN Port
- OpenVPN Client Tunnel Subnet
Du hast vermutlich das gleiche Tunnel Subnet verwendet und jetzt kann die OpnSense die Pakete nicht mehr korrekt Routen.
Verwende zB:
1. OpenVPN Server -> Tunnel 10.8.0.0/24
2. OpenVPN Server -> Tunnel 10.8.1.0/24
3. OpenVPN Server -> Tunnel 10.8.2.0/24
usw.
Gruss Philippe
Hallo Philippe,
das hatte ich auch geändert, hatte nur vergessen es im Text zu erwähnen 🙈
Gruß Christoph
das hatte ich auch geändert, hatte nur vergessen es im Text zu erwähnen 🙈
Gruß Christoph
Hallo,
und die Server(config-Files) haben sicher auch unterschiedliche Namen ?
und sind im gleichen Verzeichnis..
Zertifikat muss nicht zwingend geändert werden,
Netz und Routing Einträge dagegen schon
Rennt hier problemlos mit 2 (oder 3 oder 4 ) Tunneln
Hier aktuell 1 Tunnel für Zugriff "von aussen" und eine net-2net Tunnel zu einem anderen Standort.
Dort gleiche Konfiguration
z.B.
lonet 192.168.100.0/24
10.10.222.0/24 loc. "Einwahl" (port 1494)
10.10.223.0/24 n-2-n (port 59194)
= openvpn.conf, max.conf
entfernt
lonet 192.168.120.0/24
10.10.111.0/24 loc."Einwahl" (port 1194)
10.10.223.0/24 n-2-n (port 59194)
openvpn.conf, max.conf
dann noch Routing für die 192.168er Netze durch die Tunnel...
die nächste n-2-n Tunnel hiesse dann moritz.conf ...oder so
Fred
und die Server(config-Files) haben sicher auch unterschiedliche Namen ?
und sind im gleichen Verzeichnis..
Zertifikat muss nicht zwingend geändert werden,
Netz und Routing Einträge dagegen schon
Rennt hier problemlos mit 2 (oder 3 oder 4 ) Tunneln
Hier aktuell 1 Tunnel für Zugriff "von aussen" und eine net-2net Tunnel zu einem anderen Standort.
Dort gleiche Konfiguration
z.B.
lonet 192.168.100.0/24
10.10.222.0/24 loc. "Einwahl" (port 1494)
10.10.223.0/24 n-2-n (port 59194)
= openvpn.conf, max.conf
entfernt
lonet 192.168.120.0/24
10.10.111.0/24 loc."Einwahl" (port 1194)
10.10.223.0/24 n-2-n (port 59194)
openvpn.conf, max.conf
dann noch Routing für die 192.168er Netze durch die Tunnel...
die nächste n-2-n Tunnel hiesse dann moritz.conf ...oder so
Fred
um unterschiedliche Firewallregeln für verschiedenen Anwendungen zu realisieren.
Das ist Unsinn und macht man nicht mit einem 2ten Server sondern immer mit dem FW Regelwerk. Wozu hat man denn sonst eine Firewall ?!Damit macht man das ohnehin performancetechnisch notorisch schlechte OpenVPN noch viel schlechter ! Sinnfrei...
2
Eine Möglichkeit über einen VPN Server wäre mir natürlich auch lieber.
Wie würdest du das denn realisieren?
Über statische IPs für die Clients?
Wie würdest du das denn realisieren?
Über statische IPs für die Clients?
Hallo,
hier immer zertifikatsbasierte IPs auf den Clients (ohne Password).
Macht die Sache etwas übersichtlicher,
wahlweise ZertifikatsName= ClientName oder aber auch UserName
Du brauchst Pro Verbindung RAM und etwas Rechenleistung. Schlüssellänge nur so groß wie unbedingt notwenig.
hier tun Raspi/Banana-Pi bzw. noch Alix2-Boards, gab mal im Internet eine Zusammenfassung der Charitee Berlin zum diesem Thema mit über 1000 Clients (eingerichtet) und Erfahrungen damit - ist aber schon "paar Donnerstage her".
Also nur eine Hardwarefrage mit OpnSense - zur allergrößten Not kann man die configs auch per SSH anlegen
Fred
hier immer zertifikatsbasierte IPs auf den Clients (ohne Password).
Macht die Sache etwas übersichtlicher,
wahlweise ZertifikatsName= ClientName oder aber auch UserName
Du brauchst Pro Verbindung RAM und etwas Rechenleistung. Schlüssellänge nur so groß wie unbedingt notwenig.
hier tun Raspi/Banana-Pi bzw. noch Alix2-Boards, gab mal im Internet eine Zusammenfassung der Charitee Berlin zum diesem Thema mit über 1000 Clients (eingerichtet) und Erfahrungen damit - ist aber schon "paar Donnerstage her".
Also nur eine Hardwarefrage mit OpnSense - zur allergrößten Not kann man die configs auch per SSH anlegen
Fred
