Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PfSense Routing von separaten OpenVPN-Tunneln

Frage Netzwerke Router & Routing

Mitglied: orcape

orcape (Level 2) - Jetzt verbinden

06.02.2014 um 11:32 Uhr, 2352 Aufrufe, 16 Kommentare, 1 Danke

Hi Leute,
ich habe auf einer pfSense (OpenVPN Interface) 3 OVPN-Tunnel mit Port 1194, 1195, 1196
und unterschiedlichem IP-Range am laufen.
2 davon laufen im peer-to-peer Modus und verbinden die beiden remoten Netze
jeweils mit dem Server-LAN und der DMZ.
Der dritte Tunnel dient einem Client als Zugriff zum Server-LAN und läuft als Remote Access.
Zugriffe funktionieren in jeweils beide Richtungen problemlos.
Der Zugriff der remoten Standorte untereinander war und ist nicht geplant, sonst hätte ich
nur einen Tunnel im Multi-Client-Modus laufen.
Nun bin ich aber kurzfristig gezwungen vom Remoten-Client über Tunnel 3 auf
die pfSense und mein LAN zuzugreifen, was auch problemlos funktioniert.
Die Erreichbarkeit der 2 remoten Standorte ist aber leider eingeschränkt,
sie funktioniert nicht direkt vom Client aus.
Mit dem "Umweg" über die pfSense komme ich auch per ssh auf die remoten Clients der anderen Tunnel,
leider eben nicht direkt von Tunnel zu Tunnel.
Hat hier einer von Euch Erfahrung, ob und wie ein Routing mehrerer Tunnel über ein Interface
auf der pfSense hier überhaupt funktioniert.
Da ich in den nächsten Wochen aber nur über diesen Weg auf die pfSense komme,
kann ich mir keine großen, nicht fundierten Experimente erlauben, die mir dann zu guter letzt
meine Verbindung zur pfSense kappen.
Gruß & Danke orcape
Mitglied: Dobby
06.02.2014 um 13:20 Uhr
Hallo,

und unterschiedlichem IP-Range am laufen.
Ich glaube dort liegt der Fehler, für die nur teilweise
Erreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.

Richte doch einfach mal Routen in die anderen Netzwerke bzw.
auf die IP Ranges ein, damit Du dann auch dort hinein kommst.


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
06.02.2014 um 13:44 Uhr
Hi D.o.b.b.y,
Ich glaube dort liegt der Fehler, für die nur teilweise
Erreichbarkeit Deiner VPN Verbindung zum Rest des Netzwerkes.
Ich glaub Du interpretierst Da was verkehrt.
Das sind 3 verschiedene Tunnel, die das pfSense interne LAN erreichen.
Es geht mir nur um die Verbindung vom VPN 3 zu den anderen beiden.
Da diese aber auf einem Interface liegen...
Eine Route hatte ich schon definiert, hat aber nicht den gewünschten Effekt.
Gruß orcape
Bitte warten ..
Mitglied: Dobby
06.02.2014 um 13:50 Uhr
Das sind 3 verschiedene Tunnel, die das pfSense interne LAN erreichen.
Ja aber jedes mit einem anderen IP Bereich, oder?

Es geht mir nur um die Verbindung vom VPN 3 zu den anderen beiden.
Dann sollte die Route von eben diesem auf die anderen beiden abzielen
oder aber man regelt (erlaubt den Zugriff) das mittels der Firewallregeln.

#grey| Gruß
Dobby##
Bitte warten ..
Mitglied: orcape
06.02.2014 um 16:18 Uhr
Dann sollte die Route von eben diesem auf die anderen beiden abzielen
Zum erstellen einer Route müsste ich aber einen neuen Gateway festlegen.
Für das virtuelle Interface "OpenVPN" lässt sich aber kein Gateway manuell erstellen.
Wenn ich hierzu die Tunnel-IP als Gateway verwende, bin ich mir nicht sicher, ob ich mir das WAN irgendwie blocke.
Mit dem WAN als Gateway und einer erstellten Rule funktioniert es definitiv nicht.
Wie gesagt, ein falscher Handgriff und das kann es für ein paar Wochen gewesen sein.
Wäre schön, wenn das so auf der pfSense schon mal jemand praktiziert hätte...
Gruß orcape
Bitte warten ..
Mitglied: Dobby
06.02.2014 um 20:17 Uhr
Wäre schön, wenn das so auf der pfSense schon mal jemand praktiziert hätte
Dann solltest Du lieber warten bis @aqui sich dazu äußert


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
06.02.2014 um 20:52 Uhr
Dann solltest Du lieber warten bis @aqui sich dazu äußert
...das waren auch schon so meine Gedanken...
Gruß orcape
Bitte warten ..
Mitglied: gresser
06.02.2014 um 20:56 Uhr
Hey,

für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.

Für den Tunnel 3 sollte dies so aussehen (VPN --> OpenVPN --> Server --> Tunnel 3

push "route 172.168.1.0 255.255.255.0";
push "route 172.168.2.0 255.255.255.0";

Nun findet aber nur der Client im Tunnel 3 den Weg zum Tunnel 1 und 2, diese kenne aber keinen Rückweg.
Deshalb sind in Tunnel 1 und 2 noch folgende Einträge notwendig

push "route 172.168.3.0 255.255.255.0";

Dies kann auch unter Umständen direkt auf dem Client erfolgen, sollte dann aber nur wie folgt aussehen.
route 172.168.3.0 255.255.255.0

PS: Die Befehle gehören in den unteren Bereich Advanced configuration

Gruß
Bitte warten ..
Mitglied: aqui
06.02.2014, aktualisiert um 22:45 Uhr
Hi Orcape
Hast du die OVPN Routing Dok dazu mal gelesen:
http://community.openvpn.net/openvpn/wiki/RoutedLans
Ggf. hilft das..
Bitte warten ..
Mitglied: orcape
07.02.2014, aktualisiert um 10:56 Uhr
@ gresser
für den Zugriff vom 3 Tunnel auf die Tunnel 1 und 2 musst du im Normalfall eine Route für die Clients (also Gegenseite der pfSense) pushen.
Wenn das nur so einfach wäre.
Die einzelnen OpenVPN-Server kennen ja die Route zu Ihrem Client-LAN bereits.
Das pushen der Routen ist für ein Netzwerk hinter dem Server kein Problem.
Ein Eintrag wie von Dir vorgeschlagen, führt zu keiner Änderung in der Routing-Tabelle.
Die pfSense müsste auf dem OpenVPN-Interface von einem Tunnel in den anderen routen, dann wären die remoten Clients sofort erreichbar.
Der "push route" Befehl funktioniert da nicht.
@ Aqui
...hab mir das mal reingezogen. So ein Fall ist aber nicht beschrieben.
Also wohl doch erst mal weiter die "Notlösung" mit dem Umweg über den Router und später einen Multi-Client Modus mit den entsprechenden Regeln.
Es sei denn, hier hat noch jemand eine "zündende " Idee, die dann schon getestet und auch funktioniert...
Gruß orcape
Bitte warten ..
Mitglied: aqui
07.02.2014 um 19:22 Uhr
Die Frage ist generell warum du 3 unterschiedliche OVPN Instanzen hast ? Gibt es einen Grund dafür ?
Bitte warten ..
Mitglied: orcape
08.02.2014 um 07:07 Uhr
Hi,
Die Frage ist generell warum du 3 unterschiedliche OVPN Instanzen hast ? Gibt es einen Grund dafür ?
Gute Frage...
Irgendwann war da mal ein erster Tunnel mit der entsprechenden CA, *.crt, und Key für einen Client.
Später kam dann ein zweiter hinzu, mit neuer CA, *.crt, und Key..usw.
Die Tunnel brauchten bis Dato keine Verbindung untereinander und das kann und soll auch so bleiben.
Sicher kann man einen einzelnen Tunnel draus machen und den im Multi-Client Modus laufen lassen.
Entsprechend konfigurieren und gut iss es.
Das müsste aber dann passieren, wenn ich direkten Zugriff auf die pfSense habe.
Die Tunnel laufen alle auf einem Interface, wäre es eine Möglichkeit für jeden Tunnel
ein Interface zu machen und dann entsprechend zu routen ?
Gruß orcape
Bitte warten ..
Mitglied: aqui
08.02.2014 um 13:29 Uhr
Das ast du ja jetzt mit den separaten Prozessen. Vermutlich ist das auch das grundlegende Problem, denn normalerweise hat man nur einen Prozess und steuert den Zugriff über die Firewall.
Langfristig wäre es also besser wenn man die Konfig im Hinblick darauf optimiert.
Bitte warten ..
Mitglied: orcape
08.02.2014 um 16:58 Uhr
Das ast du ja jetzt mit den separaten Prozessen. Vermutlich ist das auch das grundlegende Problem, denn normalerweise hat man nur einen Prozess und
steuert den Zugriff über die Firewall.
Ist eigentlich kein Problem 3 Tunnel auf einem Interface, so lange man nicht zwischen den Tunneln routen muss.
Eigentlich müssten sich doch 3 Virtuelle Interfaces für die Tunnel definieren lassen, die dann bei Bedarf entsprechend geroutet werden können.
Nur ist das für mich von remote zur Zeit ein zu hohes Risiko, wenn das Szenario noch keiner am laufen hat.
Langfristig wäre es also besser wenn man die Konfig im Hinblick darauf optimiert.
Das wird dann wohl irgendwann so werden, wenn ich denn hier in 3 Wochen aus dem Funkloch mit GPRS <10Kbit/s wieder raus bin...
Gruß orcape
Bitte warten ..
Mitglied: orcape
02.03.2014, aktualisiert 04.03.2014
Hi,
hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
Hier mal eine Beispiel-conf....
OpenVPN-Server3
Advanced Configuration
push "route 10.7.8.0 255.255.255.0"; # zu OVPN-Netz 1
push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1
route 192.168.65.0 255.255.255.0; # zu LAN hinter OVPN 1
push "route 10.14.8.0 255.255.255.0"; # zu OVPN-Netz 2
push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2
route 192.168.187.0 255.255.255.0; # zu LAN hinter OVPN 2

OpenVPN-Server2
Advanced Configuration
push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3
route 10.13.6.0 255.255.255.0; # zu Tunnel3

OpenVPN-Server1
Advanced Configuration
push "route 10.13.6.0 255.255.255.0"; # zu Tunnel3
route 10.13.6.0 255.255.255.0; # zu Tunnel3

Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren...
pass Tunnel3-Tunnel1
pass Tunnel3- LAN 1
pass Tunnel1-Tunnel3
pass LAN1 -Tunnel3

pass Tunnel3-Tunnel2
pass Tunnel3- LAN 2
pass Tunnel2-Tunnel3
pass LAN 2 -Tunnel3
...und schon klappt die Verbindung in die remoten LAN´s.
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß.
Leider habe ich dazu nichts in den Manuals finden können.
Gruß orcape
Bitte warten ..
Mitglied: aqui
03.03.2014, aktualisiert um 10:21 Uhr
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß.
Das meins du im Hinblick auf die zahllosen Konfig Parameter oben nicht wirklich Ernst, oder ?
Es bleibt immer noch die Frage warum der ganze Frickelkram mit den 3 separaten Instanzen ? Das ist von der grundsätzlichen Konfig her falsch und müsste so nicht sein und erzwingt in letzter Konsequenz auch diese überflüssig aufwendige Konfig.
Gut wenns nun klappt und für dich alles rennt ists ok aber es mpüsste nicht so sein.
Hört sich so ein bischen nach " Warum einfach machen wenns umständlich auch geht ?!" an.
Bitte warten ..
Mitglied: orcape
03.03.2014 um 17:08 Uhr
Hört sich so ein bischen nach " Warum einfach machen wenns umständlich auch geht ?!" an.
Ja gut irgend eine Ausrede braucht man ja...
Aber beim Multiclienttunnel muss ich auch genügend Regeln definieren um auf Nummer sicher zu gehen, wenn die Oma mir nicht
"in die Suppe spucken soll".
Also was soll´s Aqui, Du weist vielleicht schon das Aufgeben nicht mein Ding ist und nun wissen wir wenigstens das es auch anders geht.
Gruß orcape
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

LAN, WAN, Wireless
VLAN mit pfSense Routing: Server als Mitglied in mehreren VLANs (1)

Frage von Ruuder zum Thema LAN, WAN, Wireless ...

Router & Routing
Routing Windows OpenVPN Server mit Teltonika RUT500 als Client (1)

Frage von ahenngee zum Thema Router & Routing ...

Router & Routing
PfSense Routing durch VPN-Tunnel (2)

Tipp von FA-jka zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...