Forum: PC Hard- und Software Opnsense als OpenVPN Client


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von opnsenselerner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Moin,

ich benötige Hilfe und würde auch für den Lösungsweg ein paar Euro 
springen lassen.

Gegeben ist ein Server in der Cloud welcher OpenVPN Server ist.
Ein Server aus einer anderen Cloud ist Client und hängt ebenfalls an 
diesem OpenVPN Server.

Beide können ohne Probleme in beide Richtungen kommunizieren.

Wenn ich meinen Computer per OpenVPN Client dorthin verbinde kann ich 
ebenfalls mit beiden Servern ohne Probleme sprechen.


Ich möchte meinen Computer aber hinter opnsense hängen. Mein Computer 
hat als Gateway opnsense eingetragen und kann darüber ins Internet.
Jetzt will ich also, dass wenn ich die IP 10.8.0.1 eingebe ich mit 
meinem Computer hinter opnsense mit dem Server in der Cloud sprechen 
kann.

Leider schaffe ich es nicht opnsense entsprechend zu konfigurieren.

Die Konfiguration von opnsense als Client funktioniert, allerdings weiß 
ich nicht wie ich opnsense dazu bringe eeben genau diese Pakete an 
10.8.0.1 nicht ins Internet sondern über opnvpn zu tunneln.

Kann mir jemand helfen, gerne über Teamviewer. Bezahlung bei Erfolg.

Danke und viele Grüße!

von Tilo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
10.8.0.1 wird nicht übers Internet geroutet, da es ein privates Netz 
ist.
Es wird aber trotzdem versucht, weil du vermutlich nur eine default 
route eingestellt hast.

Ich kenne Opensense nicht. Das was du beschreibst, klingt verdammt nach 
routing.

Du musst die routing Tabellen so anpassen, dass die Daten den 
gewünschten Weg wählen.
Ausserdem musst du auf den entsprechenden Knoten das Routing erlauben.

Googel mal nach Routing und dem entsprechenden Betriebssystem.

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
opnsenselerner schrieb:
> Die Konfiguration von opnsense als Client funktioniert, allerdings weiß
> ich nicht wie ich opnsense dazu bringe eeben genau diese Pakete an
> 10.8.0.1 nicht ins Internet sondern über opnvpn zu tunneln.

das macht OpnSense bzw. das OpenVPN automatisch.

Der Client Akzeptiert per Default die Routes, die von der Gegenstelle 
gepusht werden.
Wenn das nicht passt:


Im OPNsense-Menu nach VPN->OpenVPN->CLients->dein Client(Edit),
Dort Haken bei "Don't pull routes" setzten,
bei "Advanced configuration" trägst du ein:
"route 10.8.0.1 255.255.255.0"
(oder eben die richtige Netmask für das Netz auf der anderen Seite…)

Verbindung aufbauen, im Menu auf System->Routes->Status. Dort müssten 
jetzt Routen für ein Netif ovpncX /Name "OVPN_<deinvpn>" eingetragen 
sein.

von opnsenselerner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke für eure ersten Tipps. Leider bin ich erfolglos geblieben und 
konnte es damit noch nicht lösen.

Im VPN Netz gibt es aktuell folgende Adressen:
10.8.0.1 <- VPN Server
10.8.0.6 <- opnsense Firewall
10.8.0.10 <- Anderer Cloudserver

Mit meinem Client aus einem 192.xxx.xxx.xxx/24 Netz kann ich hinter 
opnsense nur 10.8.0.6 erreichen. Dieser ist allerdings auch unter der 
192.xxx.xxx.xxx/24 Gatewayadresse erreichbar.

Die Pingversuche zu 10.8.0.1 und 10.8.0.10 bleiben unbeantwortet.

Unter Routen -> Status steht folgendes:
ipv4 10.8.0.0/24 10.8.0.5 UGS 0 1500 ovpnc2
ipv4 10.8.0.5 link#7 UH 0 1500 ovpnc2
ipv4 10.8.0.6 link#7 UHS 0 16384 lo0

Die IP Adresse 10.8.0.5 ist weder vergeben noch von irgendeinem 
funktioneren VPN Teilnehmer erreichbar. Keine Ahnung wie opnsense auf 
diese kommt.


Habt ihr noch eine Idee?

von opnsenselerner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Nach 4h Suche habe ich eine Anleitung gefunden mit der es zumindest per 
NAT funktioniert:

https://bluescreengenerator.de/blog/netzwerk-zu-nordvpn-verbinden-mit-opnsense


Keine Ahnung, ob opnsense es überhaupt ohne NAT hinbekommen kann, aber 
soweit bin ich gerade zufrieden :)

Falls jemand noch ne Idee hat wie man opnsense wirklich als Router 
einsetzt gerne her damit.

von Jan H. (j_hansen)


Bewertung
0 lesenswert
nicht lesenswert
opnsenselerner schrieb:
> Keine Ahnung, ob opnsense es überhaupt ohne NAT hinbekommen kann, aber
> soweit bin ich gerade zufrieden :)
>
> Falls jemand noch ne Idee hat wie man opnsense wirklich als Router
> einsetzt gerne her damit.

Opnsense ist ein Router. Ich bin mir ziemlich sicher, dass hier nicht 
deine Seite das Problem ist. Die Gegenstelle wird deine 192er-IP einfach 
nicht weiterleiten. Daher klappt's auch mit NAT, will du dann mit einer 
10er-IP ankommst.

Also nicht auf Opnsense schimpfen, die macht schon alles richtig.

von Tilo (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Mal mal ein Digramm mit den Netzen, Knoten und wie diese verbunfen sind.

Du brauchst kein NAT. Routing reicht völlig aus.

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
opnsenselerner schrieb:
> Im VPN Netz gibt es aktuell folgende Adressen:
> 10.8.0.1 <- VPN Server
> 10.8.0.6 <- opnsense Firewall
> 10.8.0.10 <- Anderer Cloudserver

d.H. opnsense ist weder VPN Server noch VPN client, und hat mit dem VPN 
also garnichts am Hut? d.H. du kannst das Netzwerk-Kabel von der 
OPNsense-Box rausziehen, und es müsste trotzdem gehen, weil ja 
VPN-Server und Cloud-Server im selben Subnetz sind?

Oder kommt das Internet über OPNsense? Dann ist das Problem eher, dass 
der VPN-Client den VPN-Server nicht erreicht?

Tilo schrieb:
> Mal mal ein Digramm mit den Netzen, Knoten und wie diese verbunden sind.

+1.
Auch das Internet und OpenVPN-Client(s) in das Diagramm aufnehmen.

von opnsenselerner (Gast)


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Schaltplan siehe Anhang.

Ich hoffe jetzt wirds klarer.

Wie gesagt, opnsense arbeitet wenn ich natten lassen wie es soll. 
Vielleicht ist der Tipp mit dem durchlassen der Pakete aus dem 
192.168.1.0/24 Netz im 10.8.0.0/24 Netz tatsächlich das Problem.
Dies würde ich vermutlich auf der openvpn server Config angehen müssen?

Danke euch bis hierhin!

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
opnsenselerner schrieb:
> Ich hoffe jetzt wirds klarer.

ja.

Die Server haben vmtl. keine Route zum 192.168.1.0/24-er Netz über VPN.

Problem würde sich z.B. lösen lassen, wenn Server1 in seiner 
OpenVPN-Config einen Eintrag für diese Route pusht, damit Server2 den 
automatisch kriegt.
Oder durch einen manuellen Routen-Eintrag auf Server2.
Beides also ohne Änderung am OPNsense.

Oder aber wenn OPNsense das 192.168.1.0er-Netz per NAT/Masquerading 
hinter seiner 10.8er-Adresse versteckt, dann muss Server2 das 192er 
Netzwerk nicht kennen.

von Tilo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Willst du nur aus dem 192.168.1.0/24 Netz auf die Server im 
Rechenzentrum zugreifen?
Dann würde tatsächlich NAT ausreichen.

Wenn die Server im Rechenzentrum auch auf das 192.168.1.0/24er Netz 
zugreifen sollen, muss der openVPN Server dies wissen und die Route 
entsprechend setzen. Ich hab das mit mit mit einem Skript gelöst, dass 
unter /etc/openvpn/clients/clientname liegt und mit
iroute 192.168.1.0 255.255.255.0
die route setzt. Damit weiß der openvpn Server, wie geroutet werden 
soll.
Dann müssen die anderen openvpn clients noch wissen, dass sie eine Route 
setzen müssen. das geht in der server.conf mit
push "route 192.168.1.0 255.255.255.0"

Auf deiner opensense musst du dann nur das Forwarding aktivieren.

Viel mehr ist es dann nicht mehr.

Beim Setup tust du dir vermutlich einfacher, wenn du mit üblichen 
Überwachugnstools den Verkehr überprüfst. Du kannst z.B. von deinem 
Client aus mit einem Ping starten und dann prüfen, ob diedser über das 
VPN device der Opensense raus geht. Danach kannst du schauen, ob die 
Antwort rein kommt und ob sie aufs interne Interface weitergeleitet 
wird.

von opnsenselerner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Εrnst B. schrieb:
> opnsenselerner schrieb:
>> Ich hoffe jetzt wirds klarer.
>
> ja.
>
> Die Server haben vmtl. keine Route zum 192.168.1.0/24-er Netz über VPN.
>
> Problem würde sich z.B. lösen lassen, wenn Server1 in seiner
> OpenVPN-Config einen Eintrag für diese Route pusht, damit Server2 den
> automatisch kriegt.
> Oder durch einen manuellen Routen-Eintrag auf Server2.
> Beides also ohne Änderung am OPNsense.
>
> Oder aber wenn OPNsense das 192.168.1.0er-Netz per NAT/Masquerading
> hinter seiner 10.8er-Adresse versteckt, dann muss Server2 das 192er
> Netzwerk nicht kennen.

Also ich möchte ja eigentlich nur, dass die Clients Zuhause die beiden 
Server in der Cloud über 10.8.0.1 / 10.8.0.10 erreichen können.

Muss hierfür das Clientnetzwerk gepusht werden? Wie würde hier denn der 
Befehl in der openvpn Config aussehen?

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
opnsenselerner schrieb:
> Also ich möchte ja eigentlich nur, dass die Clients Zuhause die beiden
> Server in der Cloud über 10.8.0.1 / 10.8.0.10 erreichen können.

Dann aktivier' das NAT im OPNsense. Da meintest du ja schon, dass es 
geht.

Dass die Server dann nicht die Clients zuhause einzeln per IP ansprechen 
können, ist dann ja egal bzw. vielleicht sogar ein Vorteil.


Ansonsten musst du die config am VPN-Server ändern, und dort (aber nur 
für die VPN-Verbindung vom Server2!) ein
1
push "route 192.168.1.0 255.255.255.0 10.8.0.6"
eintragen.

Am Server1 musst du auch eine ensprechende Route anlegen, entweder in 
der Server-Config (für die Home-Connection) als "route"-Anweisung ohne 
"push",
oder notfalls außerhalb der VPN-Config, also in 
"/etc/network/interfaces(.d)" oder "/etc/netplan/irgendwas.yaml" oder 
"/etc/systemd/network/*", ...

von opnsenselerner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ich hab tatsächlich die anderen Wege jetzt nicht mehr getestet, danke 
euch aber für eure Tipps.

Tatsächlich scheint es wohl sinnvoller zu sein, wenn opnsense nattet, da 
ich ja gar keine Pakete aus dem fremden Netz haben möchte, sondern 
ausschließlich im VPN Netz die Server erreichbar sein sollen.

Trotzdem super, dass ihr vielleicht auch für andere hier so tatkräftig 
Lösungen zusammengeschrieben habt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.