VPN im VPN ?
VPN im VPN
Testcase aufbau :
Notebook --> Tethering Android Phone --> << LTE o2 >> ---> auf Fritzbox VPN (LAN 192.168.178.0/24) ---> hier hängt nachgeschaltet ine OPNSense mit VPN dran (192.168.178.160 die dahinter ein LAN aufspannt 192.168.40.0/24)
Zuerst baue ich eine IPSEC Verbindung zum Heimrouter Fritzbox auf..
gesagt getan klappt
Fein OK, kann jetzt von dieser Stelle aus da ich mich im Heimnetz befinde eine
2. VPN Verbindung auf die OPNSense aufbauen: 192.168.178.160
gemacht... Verbindung steht
nun möchte ich das Gerät hinter dem OPNSense VPN erreichen: 192.168.40.10
--> klappt nicht.
Wenn ich einen Replace durchziehe dann schon:
jetzt kann ich den Client hinter der OPNSense erreichen:
...via SSH drauf kein Problem... nur da läuft ein Apache Webserver... auf Port 80
und den kann ich nicht ansprechen. ConnTimeOut
Das OPNSense Log sagt : Hey alles fein die Seite kann ich ausliefern.
(was auch mit dem Apache klappt wenn ich den OPNSense VPN alleine in dem internen Netz der FB hernehme)
(sinnvoll oder nicht, lass ich jetzt mal dahingestellt, geht nur ums technische)
... was mache ich hier falsch ? Simpler Denkfehler ? Anregungen werden gerne angenommen.
Testcase aufbau :
Notebook --> Tethering Android Phone --> << LTE o2 >> ---> auf Fritzbox VPN (LAN 192.168.178.0/24) ---> hier hängt nachgeschaltet ine OPNSense mit VPN dran (192.168.178.160 die dahinter ein LAN aufspannt 192.168.40.0/24)
Zuerst baue ich eine IPSEC Verbindung zum Heimrouter Fritzbox auf..
gesagt getan klappt
default dev tun0 scope link
default via 192.168.8.137 dev wlp5s0 proto dhcp src 192.168.8.15 metric 600
77.4.37.100 via 192.168.8.137 dev wlp5s0 src 192.168.8.15 metric 600
192.168.8.0/24 dev wlp5s0 proto kernel scope link src 192.168.8.15 metric 600
Destination Gateway Genmask Flags Metric Ref Use Iface
default 0.0.0.0 0.0.0.0 U 0 0 0 tun0
default _gateway 0.0.0.0 UG 600 0 0 wlp5s0
dynamic-077-004 _gateway 255.255.255.255 UGH 600 0 0 wlp5s0
192.168.8.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp5s0
3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 5c:87:9c:77:88:91 brd ff:ff:ff:ff:ff:ff
inet 192.168.8.15/24 brd 192.168.8.255 scope global dynamic noprefixroute wlp5s0
valid_lft 3339sec preferred_lft 3339sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 192.168.178.201/32 scope global tun0
valid_lft forever preferred_lft forever
Fein OK, kann jetzt von dieser Stelle aus da ich mich im Heimnetz befinde eine
2. VPN Verbindung auf die OPNSense aufbauen: 192.168.178.160
gemacht... Verbindung steht
default dev tun0 scope link
default via 10.10.0.5 dev tun1 proto static metric 50
default via 192.168.8.137 dev wlp5s0 proto dhcp src 192.168.8.15 metric 600
10.10.0.1 via 10.10.0.5 dev tun1 proto static metric 50
10.10.0.5 dev tun1 proto kernel scope link src 10.10.0.6 metric 50
77.4.37.100 via 192.168.8.137 dev wlp5s0 src 192.168.8.15 metric 600
192.168.8.0/24 dev wlp5s0 proto kernel scope link src 192.168.8.15 metric 600
192.168.8.137 dev wlp5s0 proto static scope link metric 50
192.168.40.0/24 via 10.10.0.5 dev tun1 proto static metric 50
192.168.178.160 via 192.168.8.137 dev wlp5s0 proto static metric 50
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 0.0.0.0 0.0.0.0 U 0 0 0 tun0
default _gateway 0.0.0.0 UG 50 0 0 tun1
default _gateway 0.0.0.0 UG 600 0 0 wlp5s0
10.10.0.1 _gateway 255.255.255.255 UGH 50 0 0 tun1
_gateway 0.0.0.0 255.255.255.255 UH 50 0 0 tun1
dynamic-077-004 _gateway 255.255.255.255 UGH 600 0 0 wlp5s0
192.168.8.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp5s0
_gateway 0.0.0.0 255.255.255.255 UH 50 0 0 wlp5s0
192.168.40.0 _gateway 255.255.255.0 UG 50 0 0 tun1
OPNsense.fritz. _gateway 255.255.255.255 UGH 50 0 0 wlp5s0
3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 5c:87:9c:77:88:91 brd ff:ff:ff:ff:ff:ff
inet 192.168.8.15/24 brd 192.168.8.255 scope global dynamic noprefixroute wlp5s0
valid_lft 3197sec preferred_lft 3197sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 192.168.178.201/32 scope global tun0
valid_lft forever preferred_lft forever
5: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 10.10.0.6 peer 10.10.0.5/32 scope global noprefixroute tun1
valid_lft forever preferred_lft forever
nun möchte ich das Gerät hinter dem OPNSense VPN erreichen: 192.168.40.10
--> klappt nicht.
PING 192.168.40.10 (192.168.40.10) 56(84) bytes of data.
--- 192.168.40.10 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1031ms
Wenn ich einen Replace durchziehe dann schon:
ip route replace 192.168.178.160 via 10.10.0.5 dev tun0
ping 192.168.40.10
PING 192.168.40.10 (192.168.40.10) 56(84) bytes of data.
64 bytes from 192.168.40.10: icmp_seq=1 ttl=63 time=70.3 ms
64 bytes from 192.168.40.10: icmp_seq=2 ttl=63 time=76.0 ms
...via SSH drauf kein Problem... nur da läuft ein Apache Webserver... auf Port 80
und den kann ich nicht ansprechen. ConnTimeOut
Das OPNSense Log sagt : Hey alles fein die Seite kann ich ausliefern.
00:00:01.752190 rule 67/0(match): pass out on igb1: (tos 0x0, ttl 63, id 7528, offset 0, flags [DF], proto TCP (6), length 60)
10.10.0.6.42486 > 192.168.40.10.80: Flags [S], cksum 0xdf5c (correct), seq 506314756, win 64240, options [mss 1358,sackOK,TS val 1168358202 ecr 0,nop,wscale 7],
(was auch mit dem Apache klappt wenn ich den OPNSense VPN alleine in dem internen Netz der FB hernehme)
(sinnvoll oder nicht, lass ich jetzt mal dahingestellt, geht nur ums technische)
... was mache ich hier falsch ? Simpler Denkfehler ? Anregungen werden gerne angenommen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7754066711
Url: https://administrator.de/forum/vpn-im-vpn-7754066711.html
Ausgedruckt am: 19.03.2025 um 13:03 Uhr
10 Kommentare
Neuester Kommentar
Der TO zieht sich vermutlich auch die Hosen mit der Kneifzange an?!
Kollege @tech-flare hat es schon gesagt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen...
Fazit: OPNsense falsch konfiguriert!
Kollege @tech-flare hat es schon gesagt:
- Port Weiterleitung in der FB auf die OPNsense
- VPN Verbindung direkt auf die OPNsense aufmachen
- Fertisch
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen...
Fazit: OPNsense falsch konfiguriert!
Meist sind das MTU bzw. MSS Probleme die bei solchen sinnfreien Konstrukten dann zuschlagen. Es ist ja eine doppelte Enkapsulierung. Bei der Nutzung von xDSL mit PPPoE dann eine 3fache Enkapsulierung der Produktivdaten. Dadurch bleibt dann im Tunnel fast alles hängen.
Das es dann zu massiven MTU/MSS Problemen kommt wenn man das nicht anpasst ist erwartbar. Um das genau sagen zu können fehlen die Daten. So oder so ist das ein krankes Design.
Das es dann zu massiven MTU/MSS Problemen kommt wenn man das nicht anpasst ist erwartbar. Um das genau sagen zu können fehlen die Daten. So oder so ist das ein krankes Design.
So oder so ist das ein krankes Design.
Na, wir können ja nicht in den Kopf des TO gucken. Hier - offenbar am selben Standort - erscheint das natürlich schräg.Ich hatte zeitweilig einen Kunden mit zwei Standorten. Auf einem Standort liefen die Daten, auf dem anderen aber ein Programm, was alle brauchten. Beide Standorte waren über IPsec vernetzt. Die Roadwarrior griffen über OpenVPN auf den einen Standort zu. Nicht schimpfen, ist nicht auf meinem Mist gewachsen und ich war nur recht kurz im Boot
Die Roadwarrior mussten also auch über ein kaskadiertes VPN und das lief (aus den von Dir beschriebenen Gründen) nicht sauber.
Wahrscheinlich hätte einfach eine weitere VPN-Connection zum anderen Standort aufgebaut werden können, aber schon die eine bringt manch User an die Grenzen. Will sagen, kaskadierte VPNs gibt es schon. Ich meine sogar, die Lösung basierte auf der Empfehlung des Software-Herstellers...
Viele Grüße, commodity
Aber macht keinen richtigen Spaß.
Liegt aber ja nur an DIR bzw. deinem kranken VPN Design. Diese MTU/MSS Problematiken hättest du bei einem "normalen" VPN Design nicht. Du bist also ausschliesslich selbst für deinen "Spaß" verantwortlich!! Fazit:
Mache, wie es üblich ist, simples Port Forwarding deines VPN Protokolls auf dem vorgeschalteten Router und terminiere dein VPN direkt auf der OPNsense. Dann kommt auch das Grinsen im Gesicht wieder zurück!
Wie es genau geht kanns du, wie immer, HIER im Detail nachlesen! (Kapitel: Router Kaskade)
Wenn's das denn war nicht vergessen deinen Thread als erledigt zu schliessen. 