ComputerBase Menü
Aktuelles

Routing zwischen zwei OpenVPN Tunnels

M

Moe.Joe

Lt. Junior Grade
Registriert
Dez. 2011
Beiträge
265
Hallo zusammen,

Ziel: Mein lokales Netzwerk von außen erreichbar machen via VPN.
Problem: Mein ISP ist ein lokaler Richtfunkanbieter (Landleben -.-) -> DynDNS nicht möglich, Statische IP auch nicht.
Lösungsansatz: vserver mit OPNSense (nennen wir diesen ab jetzt OPNsense02) mit Statischer Public ip (96.x.x.x) und lokale OPNSense Instanz Zuhause (OPNsense01)
OPNsense01 <--> OPNSense02 via Site-to-Site VPN verbinden
OPNSense02 <--> Mobiler Client mit VPN verbinden.

Aktuell sieht meine Konfiguration so aus:

OPNsense01 (Lokal - Dient dort nicht als Router)
- WAN: dynamisch (Durch Richtfunk ISP)
- lokale IP: 10.0.0.100 (Netz 10.0.0.0/22)
- OVPN Client -> Verbindet sich zu opnsense02 (96.x.x.x), bekommt die IP 192.168.160.2 (Netz: 192.168.160.0/24)


OPNsense02 (Public)
- WAN: 96.x.x.x
- lokale IP: 192.168.1.1 (192.168.1.0/24(

- OVPN Server 1:
-Peer to Peer (sharedKey)
- Tunnel Network (192.168.160.0/24)
- local Network (10.0.0.0/22)
- Address Pool haken gesetzt

- OVPN Server 2:
-Remote Access (SSL + User)
- Tunnel Network (192.168.178.0/24)
- local Network (192.168.1.0/24,192.168.160.0/24)
- Remote Network (10.0.0.0/22)
- Dynamic IP + Address Pool gesetzt

Code: 
          +                                               +
         |10.0.0.0/22                                    | 192.168.1.0/24
         |                                               |
         |                                               |
         |                                               |
         |                                               |
         |                                               |
         |10.0.0.100                                     |192.168.1.1
+-------------------+          Site2Site       +---------------------+
|                   |         192.168.160.0/24 |                     |
|   OPNsense01      +--------------------------+   OPNsense02        |
|                   |192.168.160.2             |                     |
+--------+----------+                          +---------+----+------+
         |                                               |    |
         |                                               |    |
         |                                               |    |192.168.178.0/24
         |                                               |    |OVPN2                      192.168.178.6
+--------+----------+                                    |    |                        +---------------------------+
|                   |                                    v    |                        |                           |
|  ISP Router       |                               96.x.x.x  +------------------------+   Client01                |
|                   |                                                                  |                           |
+--------+----------+                                                                  +---------------------------+
         |
         |
         |
         |
         v
     dyn IP

Aktueller Stand:
ich kann das 10.0.0.0/22 Netzwerk von der OPNsense02 aus pingen via Webgui Diagnostics (*wuhuu*)
Ein mobiler Client (192.168.176.6) welcher sich an den Public OVPN Server 2 anmeldet kann die opnsense01 Site2Site IP Adresse (192.168.160.2) pingen.
Der mobile Client kann jedoch nicht das gesamte 10.0.0.0/22 Netz erreichen. Ich denke das ist nur noch ein Routingproblem zwischen den beiden VPN Servern, ich habs bisher jedoch noch nicht gebacken bekommen.

An IPSec bin ich beim ersten Versuch gescheitert, deswegen OpenVPN

Ich bin jetzt sozusagen schon im lokalen Netz drin, komme hier jedoch nicht mehr weiter.
Könnt ihr mir hier helfen?

viele Grüße
MoeJoe

Edit:
Hier noch zwei Screenshots.
Eine traceroute vom opnsense02 zu intern -> geht wie er soll über opnsense01 (192.168.160.2) und kommt intern an.
Zweite traceroute via LTE zu intern -> geht eigentlich wie er soll über opnsense01 (192.168.160.2) kommt dann aber nicht an -.-. Ping von opnsense01 zu Smartphone ip funktioniert jedoch.
Das versteh ich absolut nicht^^

Edit2:
Erstes Problem gelöst. Auf meinem internen Router kam der Ping zwar an ging jedoch nicht zurück(ein Hoch an die DeepPackageInspection des EdgeRouters)
-> statische route für das 192.168.176.0/24 Netz auf die interne IP der Opnsense01 und es funktioniert.

So Problem Nummer 2:
Wie bekomme ich nun eine DNS Auflösung hin?
 

Anhänge

  • opensense02-opensense01-internal.JPG
    opensense02-opensense01-internal.JPG
    21,6 KB · Aufrufe: 432
  • vpn_mobiler_client.jpg
    vpn_mobiler_client.jpg
    137,4 KB · Aufrufe: 456
Zuletzt bearbeitet:
Du meinst die Namensauflösung innerhalb des VPN?
Dann musst du den DNS-Server deines Heimnetzes verwenden, denn nur der kennt die internen Systeme bei dir. Du könntest Ihn per DHCP im 192.168.178.0/24-Netz verteilen oder manuell konfigurieren.
Wenn das beides keine Option ist musst du die Anfragen auf Port 53 TCP und UDP umbiegen.

Hast du dich bewusst gegen Wireguard entschieden, oder hattest du es nicht auf dem Schirm?
 
  • Gefällt mir
Reaktionen: Moe.Joe
Funktioniert - den Wald vor lauter Bäumen nicht mehr gesehen. Hab versehentlich die Opnsense01 als DNS angegeben, nicht den internen Router. Search Domain funktioniert nun auch wunderbar :-).
Wireguard hab ich 5 Minuten angetestet, aufgrund zu weniger Tutorials wieder aufgegeben (für dieses Szenario hab ich so direkt eigentlich nirgends etwas gefunden, die meisten lösen das Problem via dyndns.)
Was könnte Wireguard hier besser/einfacher? (ich benötige Apps für Windows/iOS/Android - hier möglich?)
Bis gestern kannte ich Wireguard nicht, wohingegen mir OpenVPN ein Begriff war.
Allgemein scheint mir Wireguard im opnsense Umfeld noch ziemlich in der Entwicklung zu sein. Zum jetzigen Zeitpunkt lässt sich das Plugin nur via CLI installieren.
 
Wireguard ist sehr einfach gehalten, Ressourcen schonend und auch auch schwachen Geräten schnell.

In deinem konkreten Fall sehe ich folgende Vorteile:
- schont den Akku bei deinen Mobilgeräten
- Der vServer könnte vermutlich kleiner dimensioniert werden, spart dir also Geld.
- Da Wireguard auch auf Routern läuft könnte man den ISP-Router durch ein entsprechendes Modell ersetzen - Stichwort Router-Freiheit und sich somit den OPNsense01 sparen. Reduziert die Komplexität, den Stromverbrauch und du wirst im Sommer froh sein nicht extra noch ein System mehr laufen zu haben.

Android und iOS Clients sind vorhanden - Windows bisher nur ein inoffizieller.
Als vServer für Wireguard wird häufig Amazon Lightsail empfohlen für 3,5$/Monat (1TB Volumen), der erte Monat ist frei - Was zahlst du aktuell? Wenn du Wiregaurd zunächst mal von der Clientseite her testen möchtest kannst du das hier tun: https://tunsafe.com/vpn
 
hmm, das mit dem Stromsparen für Handys ist ein Argument. Schaue ich mir definitiv mal an, sobald sich das mal etwas verbreitet hat.
- vServer ist maximal klein gewählt (1core,20gb ssd, 40tb traffic -2,69€ bei Netcup)
- Opnsense ist virtualisiert auf dem QNAP das sowieso Tag und Nacht läuft
- Routerzwang habe ich durch Richtfunk ISP mehr oder weniger, da die Antenne gleichzeitig der Router ist, gibts hier eigentlich nur eine Hand voll Hersteller. Ich habe mein Netwerk jedoch zusätzlich GeNATted, dahinter ist alles nur noch ein Hersteller (ubiquitti), so löse ich mich vom "Routerzwang".

Ich habe bei wireguard jedoch auch das Problem dass ich "zwei Wireguard VPNs" aufsetzen müsste oder?
Einen für Site2Site & den anderen für Clients!?
Die Opnsense habe ich eigentlich nur wegen Klicki Bunti gewählt (&später soll hier auch Noch ein Failover realisiert werden, was mit Opnsense auch mehr oder weniger Out of the Box geht), ich bin mittlerweile jedoch froh dass ich ein komplexeres System mit weiteren Features genommen habe. Nur so habe ich anhand der Logfiles auf der Opnsense und dem Edgeroute gesehen dass die ICMP's zwar ankommen, jedoch nicht mehr zurück gehen. Ich bin zwar kein Kommandozeilen Gegner, hätte hier jedoch um das X fache länger gebraucht, da ich kein wirklicher Linuxer bin.

Geschwindigkeitstechnisch und auch Latenztechnisch (<60ms) bin ich mehr als zufrieden. Der vServer würde zur Not mit 1Gbit/s schieben :evillol:
 
Moe.Joe schrieb:
Ich habe bei wireguard jedoch auch das Problem dass ich "zwei Wireguard VPNs" aufsetzen müsste oder?
Einen für Site2Site & den anderen für Clients!?
Zum Vergrößern anklicken....

Soweit ich deine Situation verstehen habe ja
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Revolution
Routing zwischen zwei Netzen
Antworten
17
Aufrufe
7.311
MusicJunkie666
MusicJunkie666
G
Zwei OpenVPN Verbindungen tunneln
Antworten
3
Aufrufe
1.022
1a2b3c4d5e
1
L
OpenVPN Tunnel mit Raspberry Pi Server (Routing)
Antworten
14
Aufrufe
5.670
Legolasvegas
L
A
Internetzugang über OpenVPN Tunnel
Antworten
1
Aufrufe
3.585
Aldaris
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz