Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense routing OpenVPn und IPSec

Mitglied: TheOnlyOne

TheOnlyOne (Level 1) - Jetzt verbinden

15.08.2019 um 17:26 Uhr, 322 Aufrufe, 13 Kommentare

Hallo zusammen,

ich habe 3 Standorte die per VPN miteinander verbunden sind. (siehe Bild)

Nun stehe ich vor der Herausforderung von Standort A aus auf den Standort C über den Standort B zuzugreifen.
Standort A & B sind PfSense, Standort C nur eine FritzBox.
Standort A&B sind über einen OpenVPN Tunnel miteinander verbunden. Standort B&C über einen IPSec.

In der OpenVPn Config an Standort A habe ich das Remote Netz 10.2.16.0/24 von Standort C ebenfalls angegeben.
Ein Trace zeigt mir auf jeden Fall schon mal das er Richtung Standort B geht, er dort allerdings keinen weiteren Weg findet.

Schau ich mir an Standort B die "routes" an, so fällt auf das dort keine route für das 10.2.16.0/24 Netz existiert.

Nachdem die FritzBox kein VTI IPSec versteht stehe ich auf dem Schlauch wie ich das ganze angehen soll?
Muss ich am Standort B eine statische Route setzen?

Danke euch!
pfsense - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
15.08.2019 um 18:07 Uhr
ich habe 3 Standorte die per VPN miteinander verbunden sind.
Wie immer: Welches VPN Protokoll ??
Bitte warten ..
Mitglied: TheOnlyOne
15.08.2019 um 18:11 Uhr
steht ja ausführlich beschrieben. Zwischen Standort A & B ein OpenVPN und zwischen B & C ein IPSec
Bitte warten ..
Mitglied: aqui
15.08.2019, aktualisiert um 18:21 Uhr
Sorry, Tomaten auf den Augen, bzw. zu spät (Änderungs Timeout des Threads)... 🥺
Du musst die IP Netze am Server mit dem "push" Kommando an die Clients propagieren. Die jeweiligen Client Netze dann mit dem "route" und "iroute" Kommando. Das kann man mit den Prifil Interfaces Client bezogen machen nach dem Common Name des Client Zertifikats.
Guckst du hier:
https://openvpn.net/vpn-server-resources/site-to-site-routing-explained- ...
und auch hier für die praktische Lösung:
https://administrator.de/content/detail.php?id=481363&token=144
Bitte warten ..
Mitglied: TheOnlyOne
15.08.2019 um 18:31 Uhr
sowas dachte ich mir schon. ich habe auf den OpenVPN Server am Standort B schon folgendes gemacht:
push "route 10.2.16.0 255.255.255.0"

Der Client am Standort A hat jetzt in seinen Routes drinnen stehen:
10.2.16.0/24 10.10.0.1

Ein trace vom Standort A auf das Gateway am Standort C sagt folgendes (siehe Bild).
Ich bin auf jeden Fall schon am Standort B und sehe den Trace auch im Firewall LOG ankommen. I
natürlich wird der trace erlaubt und nicht von der Firewall geblockt.

Dem Standort B fehlt aber eine Route in das Netz vom Standort C. Zumindestens wird keine unter Diagnostics -> Routes angezeigt.
route - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
15.08.2019 um 18:43 Uhr
natürlich wird der trace erlaubt und nicht von der Firewall geblockt.
Nur zur Erinnerungs das das immer sowohl für das lokale LAN als auch für das virtuelle OpenVPN Interface in den Firewalls gilt !
Dem Standort B fehlt aber eine Route in das Netz vom Standort C
Kein Wunder. Da fehlt vermutlich dann auch "route 10.2.16.0 255.255.255.0" und "iroute 192.168.8.0 255.255.255.0" ?!
Eins setzt die Kernel Routing Tabelle und das andere die OVPN Route.
Siehe auch geposteten Thread oben !!
Bitte warten ..
Mitglied: TheOnlyOne
15.08.2019 um 18:49 Uhr
also route ist getzt nur iroute nicht.

Wenn du mir jetzt noch sagst warum du "iroute 192.168.8.0 255.255.255.0" schreibst?
Welches Netz meinst du damit? Meintest du "iroute 10.21.6.0 255.255.255.0"?
Bitte warten ..
Mitglied: TheOnlyOne
15.08.2019 um 20:27 Uhr
Ich bin mir mittlerweile nach weiteren googlen nicht mehr sicher ob das überhaupt geht ohne eine weitere Phase2 zwischen B & C anzulegen?
Der Standort C braucht ja auch eine Rückroute?
Bitte warten ..
Mitglied: C.R.S.
15.08.2019 um 23:56 Uhr
Ja, B-C braucht eine Phase 2 für das Netzpaar A-C.
Bitte warten ..
Mitglied: aqui
16.08.2019, aktualisiert um 12:14 Uhr
Phase 2... ?? Bahnhof ??
Das ist OpenVPN und kein IPsec ! Oder was sollte "Phase 2" im OpenVPN Umfeld bedeuten ???
Bitte warten ..
Mitglied: C.R.S.
16.08.2019 um 20:15 Uhr
Er hat einmal OpenVPN und einmal IPsec in Serie. Am äußeren OpenVPN-Knoten A braucht er eine Route, die A sagt, dass C über B via OpenVPN erreichbar ist, und auf der IPsec-Verbindung B-C eine Phase 2 entsprechend für den gleichen Zweck. Er hat sogar gesehen, dass es nur mit Routen und VTI eleganter wäre, aber halt mit der Fritzbox nicht geht.
Bitte warten ..
Mitglied: aqui
17.08.2019, aktualisiert um 11:47 Uhr
Er hat einmal OpenVPN und einmal IPsec in Serie.
Sorry, stimmt, hatte ich im Eifer des Gefechts überlesen.
Dann ist die Lösung aber ganz einfach....
  • OVPN Server an Standort B bekommt die Einträge "push route 192.168.6.0 255.255.255.0" und auch "push route 10.2.16.0 255.255.255.0" um diese Netze Standort A bekannt zu geben.
  • Im Standort C wird in der Phase 2 das 192.168er Netz mit einer 16 Bit Maske in die Konfig eingetragen ! Damit wandern dann alle 192.168.er IP Netze in den IPsec VPN Tunnel. Sprich also aller Traffic für A und B
Soviel zum Routing !

Die große Frage ist jetzt WIE ist der OpenVPN Server installiert an Standort B ???
  • Ist er mit auf dem Router installiert
  • Ist es ein separater Server im lokalen Netz von B ?
Bei letzterem müsste noch eine Route auf dem Internet Router (Default Gateway) intalliert werden ! Eine Topologie Skizze wie es bei B aussieht wäre ggf. hilfreich.
Bitte warten ..
Mitglied: TheOnlyOne
18.08.2019 um 09:20 Uhr
Danke euch für die Nachrichten.

Ich glaube eine zweite Phase 2 am Standort C (FritzBox), wird es hacken schlagen oder?

Das wird nicht funktionieren
Bitte warten ..
Mitglied: aqui
18.08.2019, aktualisiert um 11:44 Uhr
wird es hacken schlagen oder?
Bahnhof ?? Ägypten ??
Was soll uns dieser kryptische Satz sagen ??
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Versteht leider kein Mensch. (Und auch kein ITler)
Alles was du zu konfigurieren hast ist oben erklärt. Die remote Netz Definition muss lediglich eine 16 Bit Maske bekommen und gut iss...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OpenVPN Routing Probleme
gelöst Frage von achim222Router & Routing7 Kommentare

Hallo, ich möchte gerne das Netzwerk hinter einem Client erreichen. Der Client verbindet sich per OpenVPN mit einem Windowsserver, ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

LAN, WAN, Wireless
Sophos SG - IPSEc Routing
Frage von EvilmachineLAN, WAN, Wireless2 Kommentare

Hallo. vor einer Weile hatte ich hier nach Firewalls gefragt und mir wurde die Sophos UTM empfohlen. Ich habe ...

Neue Wissensbeiträge
Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 11 StundenHumor (lol)11 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 13 StundenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 2 TagenViren und Trojaner3 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 2 TagenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Heiß diskutierte Inhalte
Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V32 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Router & Routing
VPN Verbindung zur Fritzbox über Speedport
gelöst Frage von SchwabenlandRouter & Routing13 Kommentare

Hallo! Ich bin gerade im Urlaub an der Nordsee :-) In unserem Ferienhaus haben wir WLAN, das durch einen ...

Netzwerkmanagement
Zentrales Switch-Management
Frage von joergNetzwerkmanagement11 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Management für Switche. Wir haben eine heterogene Struktur und jede ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)11 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...