miuliu
Goto Top

Kein Zugriff auf Cisco Switch SG300 über OpenVPN

Hey,

ich benutze pfsense als Firewall und OpenVPN Server zum Zugriff auf das Heimnetzwerk.

Folgende Netzwerke und Regeln sind in pfsense hinterlegt:
INTRANET: 10.0.10.0/24
OpenVPN-NET: 10.0.50.0/24
Regeln: Allow OpenVPN-NET zu INTRANET

Der Zugriff über OpenVPN auf das INTRANET funktioniert prinzipiell. Ich kann dort Geräte pingen und mich zum Beispiel auch mit einer Synology NAS verbinden.
Im INTRANET ist ein Cisco Switch SG300 vorhanden (dieser ist im Layer 2-Betrieb). Auf diesen kann ich mich nicht verbinden und ein Ping auf dieses Gerät funktioniert auch nicht.

Ich vermute der Cisco Switch lässt die Verbindung nicht zu, weil die Quell-Adresse nicht im INTRANET liegt. In den Einstellungen und der Dokumentation habe ich dazu nichts gefunden. Kennt jemand den Schalter, den ich hier konfigurieren muss, damit ich Remote auf den Switch zugreifen kann? Oder gibt es hier noch Konfigurationsmöglichkeiten im OpenVPN-Server? Ein Zugriff auf den Switch aus dem INTRANET heraus funktioniert natürlich einwandfrei.

OpenVPN Konfiguration Client:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote X.X.X.X 1194 udp
lport 0
verify-x509-name "fw" name
auth-user-pass
pkcs12 fw-udp-1194.p12
tls-auth fw-udp-1194-tls.key 1
ns-cert-type server

Content-Key: 303899

Url: https://administrator.de/contentid/303899

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 07.05.2016 aktualisiert um 08:56:32 Uhr
Goto Top
Auf diesen kann ich mich nicht verbinden und ein Ping auf dieses Gerät funktioniert auch nicht.
Da hast du dann mit an Sicherheit grenzender Wahrscheinlichkeit vergessen das Default Gateway oder die Default Route auf diesem Switch im Management Interface (VLAN 1, Default) einzustellen !!

ciscosg

Denk dran das das auch auf ein Gateway zeigen muss was die Routen in das VPN Netz kennt ! Üblicherweise ist das ja dann das gleiche auf das auch die Endgeräte zeigen die sich problemlos pingen lassen ?!
Traceroute ist da wieder dein Freund...
Mitglied: miuliu
miuliu 07.05.2016 um 10:56:39 Uhr
Goto Top
Danke. Das hat das Problem gelöst.

Traceroute hatte ich über VPN probiert, aber bin daraus nicht schlauer geworden. Der einzige Eintrag im Traceroute war die Firewall und das hat mir keine Mehrinformation gebracht. Was hätte ich daraus ableiten können?
Mitglied: aqui
aqui 07.05.2016 aktualisiert um 11:01:50 Uhr
Goto Top
Da wo Traceroute aufhört ist meist auch der Fehler... face-wink
Gut wenns nun klappt wie es soll. Ein täglicher Dauerbrenner hier im Forum wenns ums Routing geht. face-smile

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Mitglied: miuliu
miuliu 07.05.2016 um 11:09:06 Uhr
Goto Top
Ich hatte leider nicht an den Rückkanal gedacht. Anfängerfehler! Sorry und nochmal danke!