PfSense Routing von separaten OpenVPN-Tunneln
Hi Leute,
ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
und unterschiedlichem IP-Range am laufen.
2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
jeweils mit dem Server-LAN und der DMZ.
Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
Zugriffe funktionieren in jeweils beide Richtungen problemlos.
Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
nur einen Tunnel im Multi-Client-Modus laufen.
Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
sie funktioniert nicht direkt vom Client aus.
Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
leider eben nicht direkt von Tunnel zu Tunnel.
Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
auf der pfSense hier überhaupt funktioniert.
Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
meine Verbindung zur pfSense kappen.
Gruß & Danke orcape
ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
und unterschiedlichem IP-Range am laufen.
2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
jeweils mit dem Server-LAN und der DMZ.
Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
Zugriffe funktionieren in jeweils beide Richtungen problemlos.
Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
nur einen Tunnel im Multi-Client-Modus laufen.
Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
sie funktioniert nicht direkt vom Client aus.
Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
leider eben nicht direkt von Tunnel zu Tunnel.
Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
auf der pfSense hier überhaupt funktioniert.
Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
meine Verbindung zur pfSense kappen.
Gruß & Danke orcape
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228913
Url: https://administrator.de/forum/pfsense-routing-von-separaten-openvpn-tunneln-228913.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
Erreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.
Richte doch einfach mal Routen in die anderen Netzwerke bzw.
auf die IP Ranges ein, damit Du dann auch dort hinein kommst.
Gruß
Dobby
und unterschiedlichem IP-Range am laufen.
Ich glaube dort liegt der Fehler, für die nur teilweiseErreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.
Richte doch einfach mal Routen in die anderen Netzwerke bzw.
auf die IP Ranges ein, damit Du dann auch dort hinein kommst.
Gruß
Dobby
Das sind 3 verschiedene Tunnel, die das pfSense interne LAN erreichen.
Ja aber jedes mit einem anderen IP Bereich, oder?Es geht mir nur um die Verbindung vom VPN 3 zu den anderen beiden.
Dann sollte die Route von eben diesem auf die anderen beiden abzielenoder aber man regelt (erlaubt den Zugriff) das mittels der Firewallregeln.
#grey| Gruß
Dobby##
Wäre schön, wenn das so auf der pfSense schon mal jemand praktiziert hätte
Dann solltest Du lieber warten bis @aqui sich dazu äußert Gruß
Dobby
Hey,
für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.
Für den Tunnel 3 sollte dies so aussehen (VPN --> OpenVPN --> Server --> Tunnel 3
push "route 172.168.1.0 255.255.255.0";
push "route 172.168.2.0 255.255.255.0";
Nun findet aber nur der Client im Tunnel 3 den Weg zum Tunnel 1 und 2, diese kenne aber keinen Rückweg.
Deshalb sind in Tunnel 1 und 2 noch folgende Einträge notwendig
push "route 172.168.3.0 255.255.255.0";
Dies kann auch unter Umständen direkt auf dem Client erfolgen, sollte dann aber nur wie folgt aussehen.
route 172.168.3.0 255.255.255.0
PS: Die Befehle gehören in den unteren Bereich Advanced configuration
Gruß
für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.
Für den Tunnel 3 sollte dies so aussehen (VPN --> OpenVPN --> Server --> Tunnel 3
push "route 172.168.1.0 255.255.255.0";
push "route 172.168.2.0 255.255.255.0";
Nun findet aber nur der Client im Tunnel 3 den Weg zum Tunnel 1 und 2, diese kenne aber keinen Rückweg.
Deshalb sind in Tunnel 1 und 2 noch folgende Einträge notwendig
push "route 172.168.3.0 255.255.255.0";
Dies kann auch unter Umständen direkt auf dem Client erfolgen, sollte dann aber nur wie folgt aussehen.
route 172.168.3.0 255.255.255.0
PS: Die Befehle gehören in den unteren Bereich Advanced configuration
Gruß
Hi Orcape
Hast du die OVPN Routing Dok dazu mal gelesen:
http://community.openvpn.net/openvpn/wiki/RoutedLans
Ggf. hilft das..
Hast du die OVPN Routing Dok dazu mal gelesen:
http://community.openvpn.net/openvpn/wiki/RoutedLans
Ggf. hilft das..
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß.
Das meins du im Hinblick auf die zahllosen Konfig Parameter oben nicht wirklich Ernst, oder ?Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ? Das ist von der grundsätzlichen Konfig her falsch und müsste so nicht sein und erzwingt in letzter Konsequenz auch diese überflüssig aufwendige Konfig.
Gut wenns nun klappt und für dich alles rennt ists ok aber es mpüsste nicht so sein.
Hört sich so ein bischen nach " Warum einfach machen wenns umständlich auch geht ?!" an.
Hallo,
Ich habe genau das Gleiche Problem, stolpere gerade über diesen uralten Thread und möchte diese Frage gerne beantworten: "Man hat sich als Dienstleister an den vorgelagerten Systemen" zu orientieren. Dort gelten z.B. unterschiedliche Firewallregeln für unterschiedliche Ports bzw. die "Ports an sich" werden aus unterschiedlichen Netzen angesprochen, liegen auf separaten Gateways usw. usf.
Und vielleicht möchte man die Instanzen ja auch separat konfigurieren und neu starten können. Für den OpenVPN-Server für die Administratoren oder Netzkopplungen gelten ganz andere Spielregeln wie für die RoadWarrior.
Ich nehme für mich mal mit, dass das nicht so "ohne Weiteres" möglich ist - was ich sehr schade finde.
Gruß,
Jörg
Zitat von @aqui:
Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ?
Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ?
Ich habe genau das Gleiche Problem, stolpere gerade über diesen uralten Thread und möchte diese Frage gerne beantworten: "Man hat sich als Dienstleister an den vorgelagerten Systemen" zu orientieren. Dort gelten z.B. unterschiedliche Firewallregeln für unterschiedliche Ports bzw. die "Ports an sich" werden aus unterschiedlichen Netzen angesprochen, liegen auf separaten Gateways usw. usf.
Und vielleicht möchte man die Instanzen ja auch separat konfigurieren und neu starten können. Für den OpenVPN-Server für die Administratoren oder Netzkopplungen gelten ganz andere Spielregeln wie für die RoadWarrior.
Ich nehme für mich mal mit, dass das nicht so "ohne Weiteres" möglich ist - was ich sehr schade finde.
Gruß,
Jörg
Hallo,
Es gibt gute Gründe, Firewalls nicht in einer VM zu installieren.
Da hast Du sicherlich auch Recht. Aber ich bin nun mal Freund von OpenSource und immer geneigt, derartige Projekte zu unterstützen und schaue grundsätzlich zuerst in diese Richtung - gerade weil ich es auch wichtig finde, die Communities monetär zu unterstützen. Aber in diesem Falle geht es halt nicht (gut) - wie Du ja selber festgestellt hast.
Gruß,
Jörg
Es gibt gute Gründe, Firewalls nicht in einer VM zu installieren.
Oder...man nimmt einem kleinen Cisco und arbeitet mit VRFs
Da hast Du sicherlich auch Recht. Aber ich bin nun mal Freund von OpenSource und immer geneigt, derartige Projekte zu unterstützen und schaue grundsätzlich zuerst in diese Richtung - gerade weil ich es auch wichtig finde, die Communities monetär zu unterstützen. Aber in diesem Falle geht es halt nicht (gut) - wie Du ja selber festgestellt hast.
Gruß,
Jörg
Hallo,
Genau das habe ich mir nämlich auch gedacht. Gerade am Vortag habe ich einen Kollegen bei einem Szenario unterstützt, wo eine zusätzliche Netz-zu-Netz Kopplung etabliert wurde. Die "Gegenseite" hat es tatsächlich geschafft, derart unförmige Pakete zu schicken, dass das openswan mit Kernelfehlern ausgestiegen ist.
Und auf einmal waren auch die ganzen RoadWarrior weg und wir standen zudem vor einen Szenario, wo wir den VPN-Dienst mehrfach neu starten mussten. Die (leistungsorientiert bezahlten bzw. scheinselbstständigen) Außendienstler, die von Kundentermin zu Kundentermin flitzen, haben sich wohlwollend bedankt.
Man kann durchaus darüber diskutieren, mehrere Firewalls an den Start zu bringen. Aber dann habe ich letztendlich auch 3 Netzteile, 3 Gehäuse, 3 CPUs und baue direkt daneben noch mal 3 Redundanzen für meine Ausfallsicherheit auf.
Mit anderen Worten: Genau so, wie eine Virtualisierung bei Betriebssystemen Sinn macht, macht auch eine Verteilung von einzelnen Diensten auf ein- und derselben Hardware Sinn.
Gruß,
Jörg
Zitat von @orcape:
Wobei ich im reinen Road-Warrior Betrieb, um remote EInzelclients ins Firmennetz einzubinden, wohl auch den Multiclienttunnel bevorzugen würde.
Wobei ich im reinen Road-Warrior Betrieb, um remote EInzelclients ins Firmennetz einzubinden, wohl auch den Multiclienttunnel bevorzugen würde.
Genau das habe ich mir nämlich auch gedacht. Gerade am Vortag habe ich einen Kollegen bei einem Szenario unterstützt, wo eine zusätzliche Netz-zu-Netz Kopplung etabliert wurde. Die "Gegenseite" hat es tatsächlich geschafft, derart unförmige Pakete zu schicken, dass das openswan mit Kernelfehlern ausgestiegen ist.
Und auf einmal waren auch die ganzen RoadWarrior weg und wir standen zudem vor einen Szenario, wo wir den VPN-Dienst mehrfach neu starten mussten. Die (leistungsorientiert bezahlten bzw. scheinselbstständigen) Außendienstler, die von Kundentermin zu Kundentermin flitzen, haben sich wohlwollend bedankt.
Man kann durchaus darüber diskutieren, mehrere Firewalls an den Start zu bringen. Aber dann habe ich letztendlich auch 3 Netzteile, 3 Gehäuse, 3 CPUs und baue direkt daneben noch mal 3 Redundanzen für meine Ausfallsicherheit auf.
Mit anderen Worten: Genau so, wie eine Virtualisierung bei Betriebssystemen Sinn macht, macht auch eine Verteilung von einzelnen Diensten auf ein- und derselben Hardware Sinn.
Gruß,
Jörg