
135624
14.07.2018
URL über IPSEC routen
Hallöchen zusammen,
ich hab das Konstrukt auf dem angehängten Bild kurz aufgemalt.
Ich möchte jetzt von Client aus Netzwerk 1 auf den Cloud-Speicher zugreifen. Von Client aus Netzwerk 2 funktioniert dies bereits. Die Firewall-Regeln stimmen auch schon. Der Zugriff erfolgt über SMB (soll über die VPN dann verschlüsselt erfolgen). So die URL für den Zugriff wird ja über den DNS der Firtbox aufgelöst und dann raus über das Default-Gateway. Und damit an der IPSEC vorbei ins WAN. Im Netzwerk 2 funktioniert das über Policy-Routing sehr gut. Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll, wo dann eine Regel wieder über Policy-Routing das Gateway für die OpenVPN nutzt?
Ich hab schon mal versucht das Gateway des Netzwerkes an der Pfsense im Netzwerk 2, in dem die IPSEC landet als DNS-Server direkt am Client anzugeben. Die DNS-Auflösung funktioniert nicht mehr.
Hat jemand eine Idee, was ich mir hierfür mal anschauen sollte? Ich könnte mir mit Sicherheit viel Arbeit sparen in dem ich einfach eine Firewall oder in Netzwerk 1 stelle oder einfach von dem Client in dem Netz ne OPENVPN aufbaue, aber dann lerne ich ja nichts :D
Ich bedanke mich im voraus schon einmal für die Unterstützung.
VG
ich hab das Konstrukt auf dem angehängten Bild kurz aufgemalt.
Ich möchte jetzt von Client aus Netzwerk 1 auf den Cloud-Speicher zugreifen. Von Client aus Netzwerk 2 funktioniert dies bereits. Die Firewall-Regeln stimmen auch schon. Der Zugriff erfolgt über SMB (soll über die VPN dann verschlüsselt erfolgen). So die URL für den Zugriff wird ja über den DNS der Firtbox aufgelöst und dann raus über das Default-Gateway. Und damit an der IPSEC vorbei ins WAN. Im Netzwerk 2 funktioniert das über Policy-Routing sehr gut. Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll, wo dann eine Regel wieder über Policy-Routing das Gateway für die OpenVPN nutzt?
Ich hab schon mal versucht das Gateway des Netzwerkes an der Pfsense im Netzwerk 2, in dem die IPSEC landet als DNS-Server direkt am Client anzugeben. Die DNS-Auflösung funktioniert nicht mehr.
Hat jemand eine Idee, was ich mir hierfür mal anschauen sollte? Ich könnte mir mit Sicherheit viel Arbeit sparen in dem ich einfach eine Firewall oder in Netzwerk 1 stelle oder einfach von dem Client in dem Netz ne OPENVPN aufbaue, aber dann lerne ich ja nichts :D
Ich bedanke mich im voraus schon einmal für die Unterstützung.
VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380292
Url: https://administrator.de/forum/url-ueber-ipsec-routen-380292.html
Ausgedruckt am: 13.04.2025 um 03:04 Uhr
7 Kommentare
Neuester Kommentar
Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll
Das ist kinderleicht.Du musst der FritzBüx mitteilen das die IP Adresse für das interne OpenVPN Netzwerk (das Netz was du im OVPN Setup per server 172.16.2.0 255.255.255.0 Kommando distribuierst) auch in den VPN Tunnel geroutet wird. Das netz muss die FB ja auch kennen das es über den Tunnel erreichbar ist und NICHT via Default Route zum Provider !
Vermutlich hast du in der IPsec Policy der pfSense einzig und allein nur das Client LAN des Netzwerks 2 eingetragen, so das die FritzBüx auch nur einzig dieses Netz kennt was sie in den Tunnel routen muss.
Ohne Konfig der pfSense können wir nur im freien Fall raten...
Die Routing Tabelle der FritzBüx hätte dir das auch sofort gezeigt.
Da das OVPN Netzwerk vermutlich fehlt in der FB Routing Tabelle, routet die FB das dann lokal ins Internet wo es dann ins Nirwana geht, weil du dort sehr wahrscheinlich ein privates RFC 1918 IP Netz nutzt, oder ?
Das hättest du auch sofort selber gesehen wenn du vom Client in Netz 1 mal einen Traceroute gemacht hättest auf die interne OVPN IP.
Lösung:
Sorge dafür das die IPsec Credentials richtig konfiguriert sind und das OVPN Netz an die FritzBox beim IPsec VPN Tunnelaufbau kommuniziert wird.
Am einfachsten machst du das z.B. wenn du wie oben schon erwähnt folgende IP Adressierung nutzt:
- Lokales LAN pfSense = 172.16.1.0 /24
- OVPN intern = 172.16.2.0 /24
So werden dann ALLE 172.16er Netze von der FB in den IPsec VPN Tunnel zur pfSense geroutet und du kannst alles auf der Netz 2 Seite erreichen ! Voruasgesetzt natürlich die Firewall Regeln der pfSense stimmen und das lokale FB Netz darf die OVPN Interfaces passieren ?!
Auch hier wäre ein Screenshot hilfreich gewesen würs Troubleshooting.
Achtung: Zusätzlich musst du auch dem OVPN Server bzw. Client über ein ip route Kommando das lokale LAN der FB mitteilen, da er das ja logischerweise auch in den OVPN Tunnel routen muss.
Hier kommt es aber darauf an ob du mit push route einzelne Routen im OVPN distribuierst oder ob du dort ein Gateway Redirect machst und alles in den Tunnel routest.
Hier ist deine o.a. Beschreibung leider sehr oberflächlich so das wir hier auch leider nur die Glaskugel bemühen können
Die Routing Tabellen der beiden VPN Router, des OVPN Servers und ein Traceroute wäre hier ebenfals hilfreich fürs Troubleshooting.
Wie sage ich der FB denn, dass sie eine bestimmte Domain (IP kann sich ja auch ändern) über den IPSEC-Tunnel der Fritzbox routen soll?
Das geht nicht über die Domain direkt bzw. deren namen sondern nur über die IPs die diese Domain verwendet. Klar, denn das IP Routing versteht nunmal nur IP Adressen und logischerweise keine Namen.Also muss ich der FB nur sagen, dass sie das über den IPSEC schicken soll.
Richtig !