Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense Routing von separaten OpenVPN-Tunneln

Mitglied: orcape

orcape (Level 2) - Jetzt verbinden

06.02.2014 um 11:32 Uhr, 3353 Aufrufe, 21 Kommentare, 1 Danke

Hi Leute,
ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
und unterschiedlichem IP-Range am laufen.
2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
jeweils mit dem Server-LAN und der DMZ.
Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
Zugriffe funktionieren in jeweils beide Richtungen problemlos.
Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
nur einen Tunnel im Multi-Client-Modus laufen.
Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
sie funktioniert nicht direkt vom Client aus.
Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
leider eben nicht direkt von Tunnel zu Tunnel.
Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
auf der pfSense hier überhaupt funktioniert.
Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
meine Verbindung zur pfSense kappen.
Gruß & Danke orcape
Mitglied: 108012
06.02.2014 um 13:20 Uhr
Hallo,

und unterschiedlichem IP-Range am laufen.
Ich glaube dort liegt der Fehler, für die nur teilweise
Erreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.

Richte doch einfach mal Routen in die anderen Netzwerke bzw.
auf die IP Ranges ein, damit Du dann auch dort hinein kommst.


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
06.02.2014 um 13:44 Uhr
Hi D.o.b.b.y,
Ich glaube dort liegt der Fehler, für die nur teilweise
Erreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.
Ich glaub Du interpretierst Da was verkehrt.
Das sind 3 verschiedene Tunnel, die das pfSense interne LAN erreichen.
Es geht mir nur um die Verbindung vom VPN 3 zu den anderen beiden.
Da diese aber auf einem Interface liegen...
Eine Route hatte ich schon definiert, hat aber nicht den gewünschten Effekt.
Gruß orcape
Bitte warten ..
Mitglied: 108012
06.02.2014 um 13:50 Uhr
Das sind 3 verschiedene Tunnel, die das pfSense interne LAN erreichen.
Ja aber jedes mit einem anderen IP Bereich, oder?

Es geht mir nur um die Verbindung vom VPN 3 zu den anderen beiden.
Dann sollte die Route von eben diesem auf die anderen beiden abzielen
oder aber man regelt (erlaubt den Zugriff) das mittels der Firewallregeln.

#grey| Gruß
Dobby##
Bitte warten ..
Mitglied: orcape
06.02.2014 um 16:18 Uhr
Dann sollte die Route von eben diesem auf die anderen beiden abzielen
Zum erstellen einer Route müsste ich aber einen neuen Gateway festlegen.
Für das virtuelle Interface "OpenVPN" lässt sich aber kein Gateway manuell erstellen.
Wenn ich hierzu die Tunnel-IP als Gateway verwende, bin ich mir nicht sicher, ob ich mir das WAN irgendwie blocke.
Mit dem WAN als Gateway und einer erstellten Rule funktioniert es definitiv nicht.
Wie gesagt, ein falscher Handgriff und das kann es für ein paar Wochen gewesen sein.
Wäre schön, wenn das so auf der pfSense schon mal jemand praktiziert hätte...
Gruß orcape
Bitte warten ..
Mitglied: 108012
06.02.2014 um 20:17 Uhr
Wäre schön, wenn das so auf der pfSense schon mal jemand praktiziert hätte
Dann solltest Du lieber warten bis @aqui sich dazu äußert


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
06.02.2014 um 20:52 Uhr
Dann solltest Du lieber warten bis @aqui sich dazu äußert
...das waren auch schon so meine Gedanken...
Gruß orcape
Bitte warten ..
Mitglied: gresser
06.02.2014 um 20:56 Uhr
Hey,

für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.

Für den Tunnel 3 sollte dies so aussehen (VPN --> OpenVPN --> Server --> Tunnel 3

push "route 172.168.1.0 255.255.255.0";
push "route 172.168.2.0 255.255.255.0";

Nun findet aber nur der Client im Tunnel 3 den Weg zum Tunnel 1 und 2, diese kenne aber keinen Rückweg.
Deshalb sind in Tunnel 1 und 2 noch folgende Einträge notwendig

push "route 172.168.3.0 255.255.255.0";

Dies kann auch unter Umständen direkt auf dem Client erfolgen, sollte dann aber nur wie folgt aussehen.
route 172.168.3.0 255.255.255.0

PS: Die Befehle gehören in den unteren Bereich Advanced configuration

Gruß
Bitte warten ..
Mitglied: aqui
06.02.2014, aktualisiert um 22:45 Uhr
Hi Orcape
Hast du die OVPN Routing Dok dazu mal gelesen:
http://community.openvpn.net/openvpn/wiki/RoutedLans
Ggf. hilft das..
Bitte warten ..
Mitglied: orcape
07.02.2014, aktualisiert um 10:56 Uhr
@ gresser
für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.
Wenn das nur so einfach wäre.
Die einzelnen OpenVPN-Server kennen ja die Route zu Ihrem Client-LAN bereits.
Das pushen der Routen ist für ein Netzwerk hinter dem Server kein Problem.
Ein Eintrag wie von Dir vorgeschlagen, führt zu keiner Änderung in der Routing-Tabelle.
Die pfSense müsste auf dem OpenVPN-Interface von einem Tunnel in den anderen routen, dann wären die remoten Clients sofort erreichbar.
Der "push route" Befehl funktioniert da nicht.
@ Aqui
...hab mir das mal reingezogen. So ein Fall ist aber nicht beschrieben.
Also wohl doch erst mal weiter die "Notlösung" mit dem Umweg über den Router und später einen Multi-Client Modus mit den entsprechenden Regeln.
Es sei denn, hier hat noch jemand eine "zündende " Idee, die dann schon getestet und auch funktioniert...
Gruß orcape
Bitte warten ..
Mitglied: aqui
07.02.2014 um 19:22 Uhr
Die Frage ist generell warum du 3 unterschiedliche OVPN Instanzen hast ? Gibt es einen Grund dafür ?
Bitte warten ..
Mitglied: orcape
08.02.2014 um 07:07 Uhr
Hi,
Die Frage ist generell warum du 3 unterschiedliche OVPN Instanzen hast ? Gibt es einen Grund dafür ?
Gute Frage...
Irgendwann war da mal ein erster Tunnel mit der entsprechenden CA, *.crt, und Key für einen Client.
Später kam dann ein zweiter hinzu, mit neuer CA, *.crt, und Key..usw.
Die Tunnel brauchten bis Dato keine Verbindung untereinander und das kann und soll auch so bleiben.
Sicher kann man einen einzelnen Tunnel draus machen und den im Multi-Client Modus laufen lassen.
Entsprechend konfigurieren und gut iss es.
Das müsste aber dann passieren, wenn ich direkten Zugriff auf die pfSense habe.
Die Tunnel laufen alle auf einem Interface, wäre es eine Möglichkeit für jeden Tunnel
ein Interface zu machen und dann entsprechend zu routen ?
Gruß orcape
Bitte warten ..
Mitglied: aqui
08.02.2014 um 13:29 Uhr
Das ast du ja jetzt mit den separaten Prozessen. Vermutlich ist das auch das grundlegende Problem, denn normalerweise hat man nur einen Prozess und steuert den Zugriff über die Firewall.
Langfristig wäre es also besser wenn man die Konfig im Hinblick darauf optimiert.
Bitte warten ..
Mitglied: orcape
08.02.2014 um 16:58 Uhr
Das ast du ja jetzt mit den separaten Prozessen. Vermutlich ist das auch das grundlegende Problem, denn normalerweise hat man nur einen Prozess und
steuert den Zugriff über die Firewall.
Ist eigentlich kein Problem 3 Tunnel auf einem Interface, so lange man nicht zwischen den Tunneln routen muss.
Eigentlich müssten sich doch 3 Virtuelle Interfaces für die Tunnel definieren lassen, die dann bei Bedarf entsprechend geroutet werden können.
Nur ist das für mich von remote zur Zeit ein zu hohes Risiko, wenn das Szenario noch keiner am laufen hat.
Langfristig wäre es also besser wenn man die Konfig im Hinblick darauf optimiert.
Das wird dann wohl irgendwann so werden, wenn ich denn hier in 3 Wochen aus dem Funkloch mit GPRS <10Kbit/s wieder raus bin...
Gruß orcape
Bitte warten ..
Mitglied: orcape
02.03.2014, aktualisiert 04.03.2014
Hi,
hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
Hier mal eine Beispiel-conf....
OpenVPN-Server3
Advanced Configuration
push "route 10.7.8.0 255.255.255.0"; # zu OVPN-Netz 1
push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1
route 192.168.65.0 255.255.255.0; # zu LAN hinter OVPN 1
push "route 10.14.8.0 255.255.255.0"; # zu OVPN-Netz 2
push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2
route 192.168.187.0 255.255.255.0; # zu LAN hinter OVPN 2

OpenVPN-Server2
Advanced Configuration
push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3
route 10.13.6.0 255.255.255.0; # zu Tunnel3

OpenVPN-Server1
Advanced Configuration
push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3
route 10.13.6.0 255.255.255.0; # zu Tunnel3

Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren...
pass Tunnel3-Tunnel1
pass Tunnel3- LAN 1
pass Tunnel1-Tunnel3
pass LAN1 -Tunnel3

pass Tunnel3-Tunnel2
pass Tunnel3- LAN 2
pass Tunnel2-Tunnel3
pass LAN 2 -Tunnel3
...und schon klappt die Verbindung in die remoten LAN´s.
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß.
Leider habe ich dazu nichts in den Manuals finden können.
Gruß orcape
Bitte warten ..
Mitglied: aqui
03.03.2014, aktualisiert um 10:21 Uhr
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß.
Das meins du im Hinblick auf die zahllosen Konfig Parameter oben nicht wirklich Ernst, oder ?
Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ? Das ist von der grundsätzlichen Konfig her falsch und müsste so nicht sein und erzwingt in letzter Konsequenz auch diese überflüssig aufwendige Konfig.
Gut wenns nun klappt und für dich alles rennt ists ok aber es mpüsste nicht so sein.
Hört sich so ein bischen nach " Warum einfach machen wenns umständlich auch geht ?!" an.
Bitte warten ..
Mitglied: orcape
03.03.2014 um 17:08 Uhr
Hört sich so ein bischen nach " Warum einfach machen wenns umständlich auch geht ?!" an.
Ja gut irgend eine Ausrede braucht man ja...
Aber beim Multiclienttunnel muss ich auch genügend Regeln definieren um auf Nummer sicher zu gehen, wenn die Oma mir nicht
"in die Suppe spucken soll".
Also was soll´s Aqui, Du weist vielleicht schon das Aufgeben nicht mein Ding ist und nun wissen wir wenigstens das es auch anders geht.
Gruß orcape
Bitte warten ..
Mitglied: FA-jka
26.04.2018 um 16:27 Uhr
Hallo,

Zitat von aqui:

Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ?

Ich habe genau das Gleiche Problem, stolpere gerade über diesen uralten Thread und möchte diese Frage gerne beantworten: "Man hat sich als Dienstleister an den vorgelagerten Systemen" zu orientieren. Dort gelten z.B. unterschiedliche Firewallregeln für unterschiedliche Ports bzw. die "Ports an sich" werden aus unterschiedlichen Netzen angesprochen, liegen auf separaten Gateways usw. usf.

Und vielleicht möchte man die Instanzen ja auch separat konfigurieren und neu starten können. Für den OpenVPN-Server für die Administratoren oder Netzkopplungen gelten ganz andere Spielregeln wie für die RoadWarrior.

Ich nehme für mich mal mit, dass das nicht so "ohne Weiteres" möglich ist - was ich sehr schade finde.

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
26.04.2018 um 16:29 Uhr
Na ja mit 3 VMs hat man ja 3 separate Instanzen und damit ist das dann wieder ein Kinderspiel...
Oder...man nimmt einem kleinen Cisco und arbeitet mit VRFs
Bitte warten ..
Mitglied: FA-jka
26.04.2018 um 16:32 Uhr
Hallo,

Zitat von aqui:

Na ja mit 3 VMs hat man ja 3 separate Instanzen

Es gibt gute Gründe, Firewalls nicht in einer VM zu installieren.

Oder...man nimmt einem kleinen Cisco und arbeitet mit VRFs

Da hast Du sicherlich auch Recht. Aber ich bin nun mal Freund von OpenSource und immer geneigt, derartige Projekte zu unterstützen und schaue grundsätzlich zuerst in diese Richtung - gerade weil ich es auch wichtig finde, die Communities monetär zu unterstützen. Aber in diesem Falle geht es halt nicht (gut) - wie Du ja selber festgestellt hast.

Gruß,
Jörg
Bitte warten ..
Mitglied: orcape
27.04.2018 um 12:28 Uhr
Hi,
weil das wieder so schön "aufgewärmt" wurde, hier 4 Jahre später auch noch meinen Senf dazu.
Ich muss im nachhinein feststellen, das die 3 Instanzen (nicht in einer VM), sehr wohl eine Berechtigung gegenüber einem Multiclienttunnel haben und das Handling bei eventuellen remoten Ausfällen einfacher ist.
Und vielleicht möchte man die Instanzen ja auch separat konfigurieren und neu starten können.
Genau hier liegt der Vorteil des Constructs, bei mehreren anzubindenden remoten Netzen.
Wobei ich im reinen Road-Warrior Betrieb, um remote EInzelclients ins Firmennetz einzubinden, wohl auch den Multiclienttunnel bevorzugen würde.
Gruß orcape
Bitte warten ..
Mitglied: FA-jka
27.04.2018, aktualisiert um 12:45 Uhr
Hallo,

Zitat von orcape:

Wobei ich im reinen Road-Warrior Betrieb, um remote EInzelclients ins Firmennetz einzubinden, wohl auch den Multiclienttunnel bevorzugen würde.

Genau das habe ich mir nämlich auch gedacht. Gerade am Vortag habe ich einen Kollegen bei einem Szenario unterstützt, wo eine zusätzliche Netz-zu-Netz Kopplung etabliert wurde. Die "Gegenseite" hat es tatsächlich geschafft, derart unförmige Pakete zu schicken, dass das openswan mit Kernelfehlern ausgestiegen ist.

Und auf einmal waren auch die ganzen RoadWarrior weg und wir standen zudem vor einen Szenario, wo wir den VPN-Dienst mehrfach neu starten mussten. Die (leistungsorientiert bezahlten bzw. scheinselbstständigen) Außendienstler, die von Kundentermin zu Kundentermin flitzen, haben sich wohlwollend bedankt.

Man kann durchaus darüber diskutieren, mehrere Firewalls an den Start zu bringen. Aber dann habe ich letztendlich auch 3 Netzteile, 3 Gehäuse, 3 CPUs und baue direkt daneben noch mal 3 Redundanzen für meine Ausfallsicherheit auf.

Mit anderen Worten: Genau so, wie eine Virtualisierung bei Betriebssystemen Sinn macht, macht auch eine Verteilung von einzelnen Diensten auf ein- und derselben Hardware Sinn.

Gruß,
Jörg
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OpenVPN Routing Probleme
gelöst Frage von achim222Router & Routing7 Kommentare

Hallo, ich möchte gerne das Netzwerk hinter einem Client erreichen. Der Client verbindet sich per OpenVPN mit einem Windowsserver, ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Neue Wissensbeiträge
Internet

Schwarzer Tag für die Netzfreiheit: Die umstrittene Urheberrechtsreform wurde beschlossen

Information von Frank vor 7 StundenInternet16 Kommentare

Ich zitiere einfach mal Julia Reda von den Piraten, da mir selbst einfach die Worte dazu fehlen: Schwarzer Tag ...

Internet
Ist zwar keien Anleitung, aber
Anleitung von SachsenHessi vor 8 StundenInternet1 Kommentar

oder doch eine Anleitung ? Für die nächste EU-Wahl ? SH

PHP
Pfsense - Vouchergenerator 1.6.1
Anleitung von cafepost vor 9 StundenPHP

Hallo Zusammen , aus Sicherheitsgründen wurde mein Server auf den neuesten Stand gebracht, jetzt wollte ich den Vouchergenerator 1.6.1 ...

Internet

Verlag protestiert gegen Artikel 13 (jetzt Artikel 17) der geplanten EU-Verordnung

Information von Dilbert-MD vor 12 StundenInternet

Leider etwas spät, aber immerhin hat auch der heise-Verlag eingesehen, dass die Umsetzung der Urheberrechtsreform - so wie sie ...

Heiß diskutierte Inhalte
Voice over IP
Mikrotik: Voip mit SIP Phones in verschiedenen Subnetzen mit FritzBox
Frage von SpartacusVoice over IP19 Kommentare

Hallo, ich habe das Problem, dass ich verschiedene SIP-Clients in unterschiedlichen Subnetzen habe, die mit meinem Server FritzBox7412 keine ...

Batch & Shell
Computer im Active Directory filtern
Frage von chkdskBatch & Shell16 Kommentare

Hallo Zusammen, ich möchte über die Powershell Computer im Active Directory filtern. Als Beispiel: listet mir alle Computer auf, ...

Internet
Schwarzer Tag für die Netzfreiheit: Die umstrittene Urheberrechtsreform wurde beschlossen
Information von FrankInternet15 Kommentare

Ich zitiere einfach mal Julia Reda von den Piraten, da mir selbst einfach die Worte dazu fehlen: Schwarzer Tag ...

LAN, WAN, Wireless
Netzwerkkomponenten von 2011 und nur 100 Mbit?
gelöst Frage von FalaffelLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ist es möglich, dass bei Netzwerkkomponenten von ca. 2011 nicht mehr wie 100 Mbit möglich ist? Konkret ...