OPNSense Routing Problem
Hallo zusammen, ich habe ein Problem, bei dem ich gerade etwas auf dem Schlauch stehe. Ich habe eine OPNSense in meinem Hauptstandort installiert, auf der ein OpenVPN Server läuft. Die Einwahl der Clients funktioniert ohne Probleme, alle Dienste sind erreichbar.
In einer Außenstelle habe ich einen Server stehen, der sich als Client auf der OPNSense einwählt, soweit alles wie es soll, dieser kann auch auf alle Dienste zugreifen.
Jetzt würde ich aber gerne den Weg zurück gehen und aus dem Hauptstandort auch auf diesen Server zugreifen, der sich als Client anmeldet. Dies gelingt nur bedingt, ich kann zwar seine VPN Adresse anpingen, die die er aber im Netzwerk hat nicht (192.168.1.3).
Leider komme ich jetzt hier nicht mehr weiter, alle Anleitungen, die ich finden konnte, beschreiben eine Site-to-Site Verbindung, bei der 2 OPNSense eingesetzt werden. Auf dem Server in der Außenstelle habe ich Routing aktiviert (Server 2016)
Ich bin mir schon gar nicht sicher, was ich meinem Server mit der 192.168.2.5 als default Gateway für das Netzwerk 192.168.1.0/24 geben muss. Des Weiteren gehe ich davon aus, dass ich auch noch Routingeinstellungen auf der OPNSense machen muss...nur welche. Das Routing am Hauptstandort übernimmt eine Fritzbox, im Anhang auch ein Screenshot von den Einstellungen.
Danke für eure Hilfe
In einer Außenstelle habe ich einen Server stehen, der sich als Client auf der OPNSense einwählt, soweit alles wie es soll, dieser kann auch auf alle Dienste zugreifen.
Jetzt würde ich aber gerne den Weg zurück gehen und aus dem Hauptstandort auch auf diesen Server zugreifen, der sich als Client anmeldet. Dies gelingt nur bedingt, ich kann zwar seine VPN Adresse anpingen, die die er aber im Netzwerk hat nicht (192.168.1.3).
Leider komme ich jetzt hier nicht mehr weiter, alle Anleitungen, die ich finden konnte, beschreiben eine Site-to-Site Verbindung, bei der 2 OPNSense eingesetzt werden. Auf dem Server in der Außenstelle habe ich Routing aktiviert (Server 2016)
Ich bin mir schon gar nicht sicher, was ich meinem Server mit der 192.168.2.5 als default Gateway für das Netzwerk 192.168.1.0/24 geben muss. Des Weiteren gehe ich davon aus, dass ich auch noch Routingeinstellungen auf der OPNSense machen muss...nur welche. Das Routing am Hauptstandort übernimmt eine Fritzbox, im Anhang auch ein Screenshot von den Einstellungen.
Danke für eure Hilfe
Please also mark the comments that contributed to the solution of the article
Content-ID: 5251306296
Url: https://administrator.de/contentid/5251306296
Printed on: October 4, 2024 at 01:10 o'clock
7 Comments
Latest comment
@hscheip bitte mehr infos:
- welches Betriebssystem ist auf dem server?
- ist forwarding auf dem server aktiviert?
- was ist bei euch das default Gateway?
- warum setzt ihr an dem anderen Standort keine sense ein?
- du kannst immer ein s2s VPN bauen (das hat nichts mit der sense zu tun), wichtig ist nur das du dann in deinem default Gateway die route einträgst (in der sense würde es dann openvpn mit machen, die richtigen routing einträge)
- darf ich fragen welche Funktion du in deinem unternehmen hast (ich denke es währe besser wenn es euer admin macht, der ist da bestimmt geübt drin)
- welches Betriebssystem ist auf dem server?
- ist forwarding auf dem server aktiviert?
- was ist bei euch das default Gateway?
- warum setzt ihr an dem anderen Standort keine sense ein?
- du kannst immer ein s2s VPN bauen (das hat nichts mit der sense zu tun), wichtig ist nur das du dann in deinem default Gateway die route einträgst (in der sense würde es dann openvpn mit machen, die richtigen routing einträge)
- darf ich fragen welche Funktion du in deinem unternehmen hast (ich denke es währe besser wenn es euer admin macht, der ist da bestimmt geübt drin)
Pillepalle
https://community.openvpn.net/openvpn/wiki/RoutedLans
Static Route für das Remote LAN auf dem DEFAULT GW der Haupstelle setzen die auf den OpenVPN Server zeigt, iroute-Entry am OpenVPN Server für den Client erstellen, an der Zweigstelle das IP-Routing aktivieren, und auf dem DEFAULT GW des Zweigstellennetzes ne statische Route für das Haupstellen-Netz setzen welche auf den Winblows Server (würg, wer macht denn bitte sowas beacheuertes?) zeigt, fertig.
https://community.openvpn.net/openvpn/wiki/RoutedLans
Static Route für das Remote LAN auf dem DEFAULT GW der Haupstelle setzen die auf den OpenVPN Server zeigt, iroute-Entry am OpenVPN Server für den Client erstellen, an der Zweigstelle das IP-Routing aktivieren, und auf dem DEFAULT GW des Zweigstellennetzes ne statische Route für das Haupstellen-Netz setzen welche auf den Winblows Server (würg, wer macht denn bitte sowas beacheuertes?) zeigt, fertig.
Und nicht vergessen: Routing im Windows Server aktivieren und die Firewall entsprechend anpassen.
Ich würde auch zu einer zweiten Firewall tendieren, bevor ich den Server so verbiege.
Ich würde auch zu einer zweiten Firewall tendieren, bevor ich den Server so verbiege.
Hallo,
ist das Ziel das alle Rechner erreichbar sein sollen oder nur der Server:
- Alle Rechner > Site2Site wie schon genannt
- nur der Server > So versteh ich die Frage.
Wenn "nur der Server":
Dann genügt doch der Zugriff auf die VPN IP und es muss "nur" die Firewall am Server so konfiguriert werden, dass auch über die VPN IP der Zugriff geht!?
MfG
ist das Ziel das alle Rechner erreichbar sein sollen oder nur der Server:
- Alle Rechner > Site2Site wie schon genannt
- nur der Server > So versteh ich die Frage.
Wenn "nur der Server":
Dann genügt doch der Zugriff auf die VPN IP und es muss "nur" die Firewall am Server so konfiguriert werden, dass auch über die VPN IP der Zugriff geht!?
MfG
ich kann zwar seine VPN Adresse anpingen, die die er aber im Netzwerk hat nicht
Nach dem Fehlerbild zu urteilen hast du sehr wahrscheinlich einen der 2 möglichen üblichen Anfänger Fehler begangen:- Vergessen auf dem Server bzw. VPN Client das IPv4 Forwarding einzuschalten.
- Vergessen am lokalen Router des Servers bzw. VPN Client eine statische Route auf das internes OpenVPN IP Netz und remote lokale LAN an der Firewall zu setzen.
bzw.
Merkzettel: VPN Installation mit OpenVPN
OK, Ersteres kann man laut deiner Beschreibung, da erledigt, ausschliessen.
Bleibt noch Option 2...
Wenn es ein Winblows Server ist musst du ggf. auch die lokale Firewall anpassen, da diese im Default sämtlichen ICMP Traffic (Ping etc.) blockt.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Nebenbei: Warum man immer noch das sehr schlecht performante und schlecht skalierende OpenVPN verwendet und mit extra VPN Client Software frickelt obwohl die OPNsense alle bordeigenen VPN Clients jeglicher Betriebssysteme, Smartphones etc. supportet erschliest sich einem auch nicht wirklich?!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Aber warum einfach und perfprmant machen wenn es umständlich auch geht...?!
Unter anderem findest du auch HIER eine komplette Beschreibung inkl. VPN Client Konfig eines identischen Setups wie du es auch betreibst.