vergissmeinnicht
05.07.2023, aktualisiert am 07.07.2023
view1944
view10
0
Goto Top

VPN im VPN ?

gelöstFrageLinux Netzwerk
VPN im VPN

Testcase aufbau :
Notebook --> Tethering Android Phone --> << LTE o2 >> ---> auf Fritzbox VPN (LAN 192.168.178.0/24) ---> hier hängt nachgeschaltet ine OPNSense mit VPN dran (192.168.178.160 die dahinter ein LAN aufspannt 192.168.40.0/24)


Zuerst baue ich eine IPSEC Verbindung zum Heimrouter Fritzbox auf..
gesagt getan klappt face-smile


default dev tun0 scope link 
default via 192.168.8.137 dev wlp5s0 proto dhcp src 192.168.8.15 metric 600 
77.4.37.100 via 192.168.8.137 dev wlp5s0 src 192.168.8.15 metric 600 
192.168.8.0/24 dev wlp5s0 proto kernel scope link src 192.168.8.15 metric 600 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         0.0.0.0         0.0.0.0         U     0      0        0 tun0
default         _gateway        0.0.0.0         UG    600    0        0 wlp5s0
dynamic-077-004 _gateway        255.255.255.255 UGH   600    0        0 wlp5s0
192.168.8.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp5s0

3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 5c:87:9c:77:88:91 brd ff:ff:ff:ff:ff:ff
    inet 192.168.8.15/24 brd 192.168.8.255 scope global dynamic noprefixroute wlp5s0
       valid_lft 3339sec preferred_lft 3339sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 192.168.178.201/32 scope global tun0
       valid_lft forever preferred_lft forever


Fein OK, kann jetzt von dieser Stelle aus da ich mich im Heimnetz befinde eine
2. VPN Verbindung auf die OPNSense aufbauen: 192.168.178.160

gemacht... Verbindung steht face-smile


default dev tun0 scope link 
default via 10.10.0.5 dev tun1 proto static metric 50 
default via 192.168.8.137 dev wlp5s0 proto dhcp src 192.168.8.15 metric 600 
10.10.0.1 via 10.10.0.5 dev tun1 proto static metric 50 
10.10.0.5 dev tun1 proto kernel scope link src 10.10.0.6 metric 50 
77.4.37.100 via 192.168.8.137 dev wlp5s0 src 192.168.8.15 metric 600 
192.168.8.0/24 dev wlp5s0 proto kernel scope link src 192.168.8.15 metric 600 
192.168.8.137 dev wlp5s0 proto static scope link metric 50 
192.168.40.0/24 via 10.10.0.5 dev tun1 proto static metric 50 
192.168.178.160 via 192.168.8.137 dev wlp5s0 proto static metric 50 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         0.0.0.0         0.0.0.0         U     0      0        0 tun0
default         _gateway        0.0.0.0         UG    50     0        0 tun1
default         _gateway        0.0.0.0         UG    600    0        0 wlp5s0
10.10.0.1       _gateway        255.255.255.255 UGH   50     0        0 tun1
_gateway        0.0.0.0         255.255.255.255 UH    50     0        0 tun1
dynamic-077-004 _gateway        255.255.255.255 UGH   600    0        0 wlp5s0
192.168.8.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp5s0
_gateway        0.0.0.0         255.255.255.255 UH    50     0        0 wlp5s0
192.168.40.0    _gateway        255.255.255.0   UG    50     0        0 tun1
OPNsense.fritz. _gateway        255.255.255.255 UGH   50     0        0 wlp5s0

3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 5c:87:9c:77:88:91 brd ff:ff:ff:ff:ff:ff
    inet 192.168.8.15/24 brd 192.168.8.255 scope global dynamic noprefixroute wlp5s0
       valid_lft 3197sec preferred_lft 3197sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 192.168.178.201/32 scope global tun0
       valid_lft forever preferred_lft forever
5: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 10.10.0.6 peer 10.10.0.5/32 scope global noprefixroute tun1
       valid_lft forever preferred_lft forever

nun möchte ich das Gerät hinter dem OPNSense VPN erreichen: 192.168.40.10
--> klappt nicht.

PING 192.168.40.10 (192.168.40.10) 56(84) bytes of data.
--- 192.168.40.10 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1031ms


Wenn ich einen Replace durchziehe dann schon:
ip route replace 192.168.178.160 via 10.10.0.5 dev tun0
jetzt kann ich den Client hinter der OPNSense erreichen:

ping 192.168.40.10
PING 192.168.40.10 (192.168.40.10) 56(84) bytes of data.
64 bytes from 192.168.40.10: icmp_seq=1 ttl=63 time=70.3 ms
64 bytes from 192.168.40.10: icmp_seq=2 ttl=63 time=76.0 ms

...via SSH drauf kein Problem... nur da läuft ein Apache Webserver... auf Port 80
und den kann ich nicht ansprechen. ConnTimeOut

Das OPNSense Log sagt : Hey alles fein die Seite kann ich ausliefern.

 00:00:01.752190 rule 67/0(match): pass out on igb1: (tos 0x0, ttl 63, id 7528, offset 0, flags [DF], proto TCP (6), length 60)
    10.10.0.6.42486 > 192.168.40.10.80: Flags [S], cksum 0xdf5c (correct), seq 506314756, win 64240, options [mss 1358,sackOK,TS val 1168358202 ecr 0,nop,wscale 7],

(was auch mit dem Apache klappt wenn ich den OPNSense VPN alleine in dem internen Netz der FB hernehme)
(sinnvoll oder nicht, lass ich jetzt mal dahingestellt, geht nur ums technische)

... was mache ich hier falsch ? Simpler Denkfehler ? Anregungen werden gerne angenommen.
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 7754066711

Url: https://administrator.de/forum/vpn-im-vpn-7754066711.html

Ausgedruckt am: 19.03.2025 um 13:03 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
tech-flare
tech-flare 06.07.2023 um 07:39:58 Uhr
Goto Top
Hallo,

Warum machst du nicht direkt einen VPN Connect zur OPNsense?

Gruß
commodity
commodity 06.07.2023 um 09:01:47 Uhr
Goto Top
Ich schätze, die Sense leitet die rücklaufenden Pakete ans Standardgateway und nicht in den Fritzbox-Tunnel.

Viele Grüße, commodity
aqui
aqui 06.07.2023 aktualisiert um 10:13:48 Uhr
Goto Top
Der TO zieht sich vermutlich auch die Hosen mit der Kneifzange an?!
Kollege @tech-flare hat es schon gesagt:
  • Port Weiterleitung in der FB auf die OPNsense
  • VPN Verbindung direkt auf die OPNsense aufmachen
  • Fertisch
Dieser Lösungsweg ist detailiert im OPNsense VPN Tutorial beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen... face-wink
Fazit: OPNsense falsch konfiguriert!
commodity
commodity 06.07.2023 um 11:22:30 Uhr
Goto Top
Die Frage ist ja nicht, ob das sinnvoll ist, sondern wo technisch der Fehler liegt, wenn man so ein Setup fahren möchte - aus welchen Gründen auch immer.

Viele Grüße, commodity
aqui
aqui 06.07.2023 aktualisiert um 11:34:49 Uhr
Goto Top
Meist sind das MTU bzw. MSS Probleme die bei solchen sinnfreien Konstrukten dann zuschlagen. Es ist ja eine doppelte Enkapsulierung. Bei der Nutzung von xDSL mit PPPoE dann eine 3fache Enkapsulierung der Produktivdaten. Dadurch bleibt dann im Tunnel fast alles hängen.
Das es dann zu massiven MTU/MSS Problemen kommt wenn man das nicht anpasst ist erwartbar. Um das genau sagen zu können fehlen die Daten. So oder so ist das ein krankes Design.
commodity
commodity 06.07.2023 um 12:00:20 Uhr
Goto Top
So oder so ist das ein krankes Design.
Na, wir können ja nicht in den Kopf des TO gucken. Hier - offenbar am selben Standort - erscheint das natürlich schräg.

Ich hatte zeitweilig einen Kunden mit zwei Standorten. Auf einem Standort liefen die Daten, auf dem anderen aber ein Programm, was alle brauchten. Beide Standorte waren über IPsec vernetzt. Die Roadwarrior griffen über OpenVPN auf den einen Standort zu. Nicht schimpfen, ist nicht auf meinem Mist gewachsen und ich war nur recht kurz im Boot face-big-smile

Die Roadwarrior mussten also auch über ein kaskadiertes VPN und das lief (aus den von Dir beschriebenen Gründen) nicht sauber.
Wahrscheinlich hätte einfach eine weitere VPN-Connection zum anderen Standort aufgebaut werden können, aber schon die eine bringt manch User an die Grenzen. Will sagen, kaskadierte VPNs gibt es schon. Ich meine sogar, die Lösung basierte auf der Empfehlung des Software-Herstellers...

Viele Grüße, commodity
Vergissmeinnicht
Vergissmeinnicht 06.07.2023 aktualisiert um 22:55:17 Uhr
Goto Top
Guten Abend,

Zuallererst:

Vielen Dank für Eure detaillierten und zahlreichen Antworten hierfür face-smile

@aqui
@tech-flare
gebe ich Dir/Euch natürlich Recht.
der beste u einfachste Weg, entweder zu Fuß per Shell o simpel per über
FW/ WebGui wie der Sense VPN einrichten u direktdrauf u gut ist.

@aqui
MTU / MSS Size für Loss --> korrekt
sticky. läuft inzwischen fast reibungslos.
Aber macht keinen richtigen Spaß.

@commodity
Ebendso Richtig. Wollte generell wissen ob technisch eigentlich
vernünftig umsetzbar oder überhaupt möglich ... da schon mal
woanders diskutiert und das so noch nie probiert hatte.

Daher wie vermutlich bei Euch aus Spaß an der Technik u Spielfreude
nachgestellt. Sinnfrei oder nicht ist für mich aus technischer Sicht
erstmal egal.

Deinen Case... RW Szenario ...
hab ich auf der Wiese so ähnlich schon mal live vor längerer Zeit gesehen.
(mit ähnlichen Problemen die bei VPN Kaskaden so auftreten können face-smile


Viele Grüße, vergissmeinicht
aqui
aqui 07.07.2023 aktualisiert um 10:20:22 Uhr
Goto Top
Aber macht keinen richtigen Spaß.
Liegt aber ja nur an DIR bzw. deinem kranken VPN Design. Diese MTU/MSS Problematiken hättest du bei einem "normalen" VPN Design nicht. Du bist also ausschliesslich selbst für deinen "Spaß" verantwortlich!! face-wink

Fazit:
Mache, wie es üblich ist, simples Port Forwarding deines VPN Protokolls auf dem vorgeschalteten Router und terminiere dein VPN direkt auf der OPNsense. Dann kommt auch das Grinsen im Gesicht wieder zurück!
Wie es genau geht kanns du, wie immer, HIER im Detail nachlesen! (Kapitel: Router Kaskade)
Vergissmeinnicht
Vergissmeinnicht 07.07.2023 aktualisiert um 15:06:15 Uhr
Goto Top
hey, Danke Dir für die Info face-wink

*Den Link habe ich grad überflogen,
Grinsen ? klar. Bleibt eigentlich immer in meinem Gesicht
und geht nicht weg.

und: Galgenhumor braucht man in unserem Job immer.

Dir/Euch Ein Schönes Wochenende
face-smile
heart1
aqui
Lösung aqui 07.07.2023 aktualisiert um 15:05:12 Uhr
Goto Top
Wenn's das denn war nicht vergessen deinen Thread als erledigt zu schliessen. face-wink
gelöstFrageLinux Netzwerk
Heiß diskutiert
MysticFoxDEWindows Server 2025 - Xeon Gold 6144 - InstallationsdesasterMysticFoxDE - 54 KommentareBenboochaWindows Server 2019 auf LXD VirtualisierungBenboocha - 32 KommentarethommyFSophos XG Firewall SW-Virtual - Bare-Metal Installation oder Hyper-VthommyF - 32 KommentareachkleinGlasfaser hausintern über Kupferleitung?achklein - 27 KommentareFohnbitAdult Filter WLAN - iPadsFohnbit - 24 KommentarekpunktUser benötigt Admin-Rechte für Programm-Updatekpunkt - 24 KommentareleofabianDomäne lässt sich mit LAN Verbindung nicht aufrufen, mit WLAN aber schonleofabian - 24 KommentareU08154711Problem mit sysctl.conf VariablenU08154711 - 22 KommentareAldritchDoS Attacke aus dem eigenen NetzAldritch - 19 KommentareMoshe04Hyper-V Snapshot gelöscht, Snapshots können nicht gelöscht werdenMoshe04 - 19 KommentaresatmaxOpenVPN Verbindung zu autarkem Netz herstellensatmax - 16 KommentaresunicsWindows Redundanz ohne Virtualisierungsunics - 16 KommentareITeinsteigerWarum zwingt mich der DHCP-Server, einen bestehenden Scope zu löschen?ITeinsteiger - 15 Kommentare