theonlyone
Goto Top

PfSense routing OpenVPn und IPSec

Hallo zusammen,

ich habe 3 Standorte die per VPN miteinander verbunden sind. (siehe Bild)

Nun stehe ich vor der Herausforderung von Standort A aus auf den Standort C über den Standort B zuzugreifen.
Standort A & B sind PfSense, Standort C nur eine FritzBox.
Standort A&B sind über einen OpenVPN Tunnel miteinander verbunden. Standort B&C über einen IPSec.

In der OpenVPn Config an Standort A habe ich das Remote Netz 10.2.16.0/24 von Standort C ebenfalls angegeben.
Ein Trace zeigt mir auf jeden Fall schon mal das er Richtung Standort B geht, er dort allerdings keinen weiteren Weg findet.

Schau ich mir an Standort B die "routes" an, so fällt auf das dort keine route für das 10.2.16.0/24 Netz existiert.

Nachdem die FritzBox kein VTI IPSec versteht stehe ich auf dem Schlauch wie ich das ganze angehen soll?
Muss ich am Standort B eine statische Route setzen?

Danke euch!
pfsense

Content-ID: 485489

Url: https://administrator.de/forum/pfsense-routing-openvpn-und-ipsec-485489.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

aqui
aqui 15.08.2019 um 18:07:56 Uhr
Goto Top
ich habe 3 Standorte die per VPN miteinander verbunden sind.
Wie immer: Welches VPN Protokoll ??
TheOnlyOne
TheOnlyOne 15.08.2019 um 18:11:00 Uhr
Goto Top
steht ja ausführlich beschrieben. Zwischen Standort A & B ein OpenVPN und zwischen B & C ein IPSec
aqui
aqui 15.08.2019 aktualisiert um 18:21:32 Uhr
Goto Top
Sorry, Tomaten auf den Augen, bzw. zu spät (Änderungs Timeout des Threads)... 🥺
Du musst die IP Netze am Server mit dem "push" Kommando an die Clients propagieren. Die jeweiligen Client Netze dann mit dem "route" und "iroute" Kommando. Das kann man mit den Prifil Interfaces Client bezogen machen nach dem Common Name des Client Zertifikats.
Guckst du hier:
https://openvpn.net/vpn-server-resources/site-to-site-routing-explained- ...
und auch hier für die praktische Lösung:
Problem mit site 2 site VPN
TheOnlyOne
TheOnlyOne 15.08.2019 um 18:31:19 Uhr
Goto Top
sowas dachte ich mir schon. ich habe auf den OpenVPN Server am Standort B schon folgendes gemacht:
push "route 10.2.16.0 255.255.255.0"

Der Client am Standort A hat jetzt in seinen Routes drinnen stehen:
10.2.16.0/24 10.10.0.1

Ein trace vom Standort A auf das Gateway am Standort C sagt folgendes (siehe Bild).
Ich bin auf jeden Fall schon am Standort B und sehe den Trace auch im Firewall LOG ankommen. I
natürlich wird der trace erlaubt und nicht von der Firewall geblockt.

Dem Standort B fehlt aber eine Route in das Netz vom Standort C. Zumindestens wird keine unter Diagnostics -> Routes angezeigt.
route
aqui
aqui 15.08.2019 um 18:43:01 Uhr
Goto Top
natürlich wird der trace erlaubt und nicht von der Firewall geblockt.
Nur zur Erinnerungs das das immer sowohl für das lokale LAN als auch für das virtuelle OpenVPN Interface in den Firewalls gilt !
Dem Standort B fehlt aber eine Route in das Netz vom Standort C
Kein Wunder. Da fehlt vermutlich dann auch "route 10.2.16.0 255.255.255.0" und "iroute 192.168.8.0 255.255.255.0" ?!
Eins setzt die Kernel Routing Tabelle und das andere die OVPN Route.
Siehe auch geposteten Thread oben !!
TheOnlyOne
TheOnlyOne 15.08.2019 um 18:49:44 Uhr
Goto Top
also route ist getzt nur iroute nicht.

Wenn du mir jetzt noch sagst warum du "iroute 192.168.8.0 255.255.255.0" schreibst?
Welches Netz meinst du damit? Meintest du "iroute 10.21.6.0 255.255.255.0"?
TheOnlyOne
TheOnlyOne 15.08.2019 um 20:27:33 Uhr
Goto Top
Ich bin mir mittlerweile nach weiteren googlen nicht mehr sicher ob das überhaupt geht ohne eine weitere Phase2 zwischen B & C anzulegen?
Der Standort C braucht ja auch eine Rückroute?
C.R.S.
C.R.S. 15.08.2019 um 23:56:01 Uhr
Goto Top
Ja, B-C braucht eine Phase 2 für das Netzpaar A-C.
aqui
aqui 16.08.2019 aktualisiert um 12:14:33 Uhr
Goto Top
Phase 2... ?? Bahnhof ??
Das ist OpenVPN und kein IPsec ! Oder was sollte "Phase 2" im OpenVPN Umfeld bedeuten ???
C.R.S.
C.R.S. 16.08.2019 um 20:15:07 Uhr
Goto Top
Er hat einmal OpenVPN und einmal IPsec in Serie. Am äußeren OpenVPN-Knoten A braucht er eine Route, die A sagt, dass C über B via OpenVPN erreichbar ist, und auf der IPsec-Verbindung B-C eine Phase 2 entsprechend für den gleichen Zweck. Er hat sogar gesehen, dass es nur mit Routen und VTI eleganter wäre, aber halt mit der Fritzbox nicht geht.
aqui
aqui 17.08.2019 aktualisiert um 11:47:18 Uhr
Goto Top
Er hat einmal OpenVPN und einmal IPsec in Serie.
Sorry, stimmt, hatte ich im Eifer des Gefechts überlesen.
Dann ist die Lösung aber ganz einfach....
  • OVPN Server an Standort B bekommt die Einträge "push route 192.168.6.0 255.255.255.0" und auch "push route 10.2.16.0 255.255.255.0" um diese Netze Standort A bekannt zu geben.
  • Im Standort C wird in der Phase 2 das 192.168er Netz mit einer 16 Bit Maske in die Konfig eingetragen ! Damit wandern dann alle 192.168.er IP Netze in den IPsec VPN Tunnel. Sprich also aller Traffic für A und B
Soviel zum Routing !

Die große Frage ist jetzt WIE ist der OpenVPN Server installiert an Standort B ???
  • Ist er mit auf dem Router installiert
  • Ist es ein separater Server im lokalen Netz von B ?
Bei letzterem müsste noch eine Route auf dem Internet Router (Default Gateway) intalliert werden ! Eine Topologie Skizze wie es bei B aussieht wäre ggf. hilfreich.
TheOnlyOne
TheOnlyOne 18.08.2019 um 09:20:54 Uhr
Goto Top
Danke euch für die Nachrichten.

Ich glaube eine zweite Phase 2 am Standort C (FritzBox), wird es hacken schlagen oder?

Das wird nicht funktionieren
aqui
aqui 18.08.2019 aktualisiert um 11:44:24 Uhr
Goto Top
wird es hacken schlagen oder?
Bahnhof ?? Ägypten ??
Was soll uns dieser kryptische Satz sagen ??
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Versteht leider kein Mensch. (Und auch kein ITler) face-sad
Alles was du zu konfigurieren hast ist oben erklärt. Die remote Netz Definition muss lediglich eine 16 Bit Maske bekommen und gut iss...