mitnick
Goto Top

OPNSense Routing Problem

Hallo zusammen, ich habe ein Problem, bei dem ich gerade etwas auf dem Schlauch stehe. Ich habe eine OPNSense in meinem Hauptstandort installiert, auf der ein OpenVPN Server läuft. Die Einwahl der Clients funktioniert ohne Probleme, alle Dienste sind erreichbar.

In einer Außenstelle habe ich einen Server stehen, der sich als Client auf der OPNSense einwählt, soweit alles wie es soll, dieser kann auch auf alle Dienste zugreifen.

Jetzt würde ich aber gerne den Weg zurück gehen und aus dem Hauptstandort auch auf diesen Server zugreifen, der sich als Client anmeldet. Dies gelingt nur bedingt, ich kann zwar seine VPN Adresse anpingen, die die er aber im Netzwerk hat nicht (192.168.1.3).

Leider komme ich jetzt hier nicht mehr weiter, alle Anleitungen, die ich finden konnte, beschreiben eine Site-to-Site Verbindung, bei der 2 OPNSense eingesetzt werden. Auf dem Server in der Außenstelle habe ich Routing aktiviert (Server 2016)

Ich bin mir schon gar nicht sicher, was ich meinem Server mit der 192.168.2.5 als default Gateway für das Netzwerk 192.168.1.0/24 geben muss. Des Weiteren gehe ich davon aus, dass ich auch noch Routingeinstellungen auf der OPNSense machen muss...nur welche. Das Routing am Hauptstandort übernimmt eine Fritzbox, im Anhang auch ein Screenshot von den Einstellungen.

Danke für eure Hilfe
fritz
netz

Content-ID: 5251306296

Url: https://administrator.de/contentid/5251306296

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Cloudrakete
Cloudrakete 08.01.2023 um 02:24:43 Uhr
Goto Top
Moin,

doofe Frage: Was spricht denn gegen eine zweite OpnSense samt Site-2-Site VPN, also anders ausgedrückt ein sauberes Setup?
micneu
micneu 08.01.2023 aktualisiert um 05:34:02 Uhr
Goto Top
@hscheip bitte mehr infos:
- welches Betriebssystem ist auf dem server?
- ist forwarding auf dem server aktiviert?
- was ist bei euch das default Gateway?
- warum setzt ihr an dem anderen Standort keine sense ein?
- du kannst immer ein s2s VPN bauen (das hat nichts mit der sense zu tun), wichtig ist nur das du dann in deinem default Gateway die route einträgst (in der sense würde es dann openvpn mit machen, die richtigen routing einträge)
- darf ich fragen welche Funktion du in deinem unternehmen hast (ich denke es währe besser wenn es euer admin macht, der ist da bestimmt geübt drin)
5175293307
5175293307 08.01.2023 aktualisiert um 08:32:12 Uhr
Goto Top
Pillepalle
https://community.openvpn.net/openvpn/wiki/RoutedLans

Static Route für das Remote LAN auf dem DEFAULT GW der Haupstelle setzen die auf den OpenVPN Server zeigt, iroute-Entry am OpenVPN Server für den Client erstellen, an der Zweigstelle das IP-Routing aktivieren, und auf dem DEFAULT GW des Zweigstellennetzes ne statische Route für das Haupstellen-Netz setzen welche auf den Winblows Server (würg, wer macht denn bitte sowas beacheuertes?) zeigt, fertig.
110135
110135 08.01.2023 um 09:38:12 Uhr
Goto Top
Und nicht vergessen: Routing im Windows Server aktivieren und die Firewall entsprechend anpassen.

Ich würde auch zu einer zweiten Firewall tendieren, bevor ich den Server so verbiege.
IceBeer
IceBeer 08.01.2023 um 12:14:26 Uhr
Goto Top
Hallo,

ist das Ziel das alle Rechner erreichbar sein sollen oder nur der Server:
- Alle Rechner > Site2Site wie schon genannt
- nur der Server > So versteh ich die Frage.
Wenn "nur der Server":
Dann genügt doch der Zugriff auf die VPN IP und es muss "nur" die Firewall am Server so konfiguriert werden, dass auch über die VPN IP der Zugriff geht!?

MfG
aqui
Lösung aqui 08.01.2023, aktualisiert am 09.01.2023 um 09:57:22 Uhr
Goto Top
ich kann zwar seine VPN Adresse anpingen, die die er aber im Netzwerk hat nicht
Nach dem Fehlerbild zu urteilen hast du sehr wahrscheinlich einen der 2 möglichen üblichen Anfänger Fehler begangen:
  • Vergessen auf dem Server bzw. VPN Client das IPv4 Forwarding einzuschalten.
  • Vergessen am lokalen Router des Servers bzw. VPN Client eine statische Route auf das internes OpenVPN IP Netz und remote lokale LAN an der Firewall zu setzen.
Merkzettel: VPN Installation mit OpenVPN
bzw.
Merkzettel: VPN Installation mit OpenVPN
OK, Ersteres kann man laut deiner Beschreibung, da erledigt, ausschliessen.
Bleibt noch Option 2... face-wink
Wenn es ein Winblows Server ist musst du ggf. auch die lokale Firewall anpassen, da diese im Default sämtlichen ICMP Traffic (Ping etc.) blockt.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Nebenbei: Warum man immer noch das sehr schlecht performante und schlecht skalierende OpenVPN verwendet und mit extra VPN Client Software frickelt obwohl die OPNsense alle bordeigenen VPN Clients jeglicher Betriebssysteme, Smartphones etc. supportet erschliest sich einem auch nicht wirklich?!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Aber warum einfach und perfprmant machen wenn es umständlich auch geht...?!

Unter anderem findest du auch HIER eine komplette Beschreibung inkl. VPN Client Konfig eines identischen Setups wie du es auch betreibst.
mitnick
mitnick 09.01.2023 um 09:54:23 Uhr
Goto Top
Hallo zusammen und vielen Dank für eure Hinweise und Anregungen. Ich werde mal alles durcharbeiten. lg