Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 PfSensen mit OpenVPN verbinden 1x Server 1x Client

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

13.01.2020 um 22:26 Uhr, 1335 Aufrufe, 37 Kommentare

N'abend! Noch wer wach?

Da ich nicht 100% OVPN-sicher bin kurze Frage:

Ich möchte 2 PfSense mit OpenVPN verbinden um vorübergehend, bis die feste IP geschaltet ist, auf eine externe Büchse (und das Netz dahinter) zugreifen zu können.

Da die Büchse 2 in einem privaten Range ist, habe ich mir überlegt, das mit OVPN zu machen und sich diese auf Büchse 1 im Clientmodus einwählen zu lassen.

Büchse 1 (Server) ist konfiguriert als Remote Access (SSL/TLS + User Auth)

Da man bei der PfSense ja im Client-Mode keine .ovpn Config importieren kann, muss ich es händisch machen.

In der Client Config der PfSense sehe ich aber nur Peer to Peer. Das irritiert mich gerade ein wenig...
Kanns leider vorher nicht testen, da ich aus anderen Gründen grade keine VM starten kann...

Hat das so seine Richtigkeit oder übersehe ich was relevantes?

THX!
Buc
37 Antworten
Mitglied: certifiedit.net
13.01.2020 um 22:49 Uhr
Hallo Buc,

wenn ich dich richtig gelesen habe, arbeitest du schon lang und ausgiebig mit pfsense'? Dann dürfte so eine Kleinigkeit doch keine Frage wert sein?

Site to Site und gut ist...

VG
Bitte warten ..
Mitglied: Spirit-of-Eli
13.01.2020 um 23:12 Uhr
Moin,

konfiguriere den Tunnel doch mit nen PSK. Dann ist das einfach auf beiden seiten identisch einzurichten. Ansonsten eben die Zertifikats Nummer wie im guide.

Gruß
Spirit
Bitte warten ..
Mitglied: the-buccaneer
13.01.2020, aktualisiert um 23:45 Uhr
Site-to-Site mit einer Büchse die in nem privaten Range ist ohne Portweiterleitung?
Das ist sozusagen ein DS-Lite Provider da.
Bei IPSec sehe ich da schwarz. EDIT: Wäre nach nachdenken zu testen... Könnte auch gehen...

Habe wirklich noch keine (Site-to-Site) Verbindung eingerichtet, die nicht ne öffentliche IP oder mindestens ne Portweiterleitung auf beiden Seiten hatte. (Sonst tät ich ja nicht so doof fragen...)

DS-Lite hat hier keiner. Kenn ich nur vom Hörensagen.

Wenn ihr beide sagt: Site-to Site geht (ich war halt unsicher, da ich den Verbindungsaufbau nicht kenne) dann ists ja super. Werd ich als erstes testen.

Ob PSK oder Zertifikate ist doch egal??? Hier gehts doch eher um: "Wer initiiert wann und wie den Tunnel auf welchem Port und erwartet auf der Gegenseite abc,,,)

Was ist nun mit dieser Client-Auswahl? Es ist doch merkwürdig einen Client einzurichten und dem zu sagen, dass die Gegenseite im Peer-to-Peer Modus arbeitet???)

VG
Buc
Bitte warten ..
Mitglied: Spirit-of-Eli
13.01.2020 um 23:50 Uhr
Wichtig ist nur, das einzig eine Seite den Tunnel initiiert. Das ist dann der client.
Bitte warten ..
Mitglied: certifiedit.net
13.01.2020 um 23:55 Uhr
Peer to Peer ist wohl auch der falsche Begriff.

Probier die Site-to-Site, wenn das nicht geht, hast du ggf. sogar ganz andere Probleme.
Bitte warten ..
Mitglied: the-buccaneer
14.01.2020, aktualisiert um 00:10 Uhr
Zitat von Spirit-of-Eli:

Wichtig ist nur, das einzig eine Seite den Tunnel initiiert. Das ist dann der client.

Wo ist aber diese Einstellung bei OpenVPN? Bei der IPSec kenne ich sie.

Dann mach ich das im Zweifel mit IPSec. Das kann ich.

Zitat von certifiedit.net:

Peer to Peer ist wohl auch der falsche Begriff.

Probier die Site-to-Site, wenn das nicht geht, hast du ggf. sogar ganz andere Probleme.

Die PfSense nennt das "Peer to Peer" kann ich nicht ändern.

Mal sehen, danke für die Tipps euch beiden! Klappen wird das schon. Die Frage ist nur immer, wieviel Nerven man verliert und wieviele graue haare wachsen.

CU
Buc
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020, aktualisiert um 08:08 Uhr
Du richtest doch nur einen simplen OVPN Server auf der einen Seite und auf der anderen einen Client ein.
Die Client Konfig wird unter dem (Clients) Tab eingerichtet. Die Konfig ist hier erstmal identisch. Einzig die (Tunnel Settings) müssen entsprechend gesetzt werden.

An dieser Stelle im PfSense Book wird es genau beschrieben:
https://docs.netgate.com/pfsense/en/latest/book/openvpn/site-to-site-exa ...

//Das nur von der Client Seite eine Verbindung aufgebaut wird, kommt bei IPsec zum tragen. Bei OVPN ist das bei Design schon so fest gegeben wenn du dieser Anleitung folgst.
Bitte warten ..
Mitglied: orcape
14.01.2020 um 08:42 Uhr
Hi,
Wo ist aber diese Einstellung bei OpenVPN? Bei der IPSec kenne ich sie.
Der OpenVPN-Client initiiert den Tunnel automatisch, da gibt es nichts einzustellen und das selbst bei einem UMTS-Anschluss.
Mit 2 pfSensen ist die EInrichtung des Tunnels ein Kinderspiel. Einfacher wie wenn Du einen DD-, oder OpenWRT Router auf der remote Seite hast.
Kreier Dir Deine Schlüssel auf der Serverseite, richte den Server und die Firewallregeln ein und exportiere den Client einfach mit der pfSense-internen Software (zusätzliches Paket, nachinstallieren) auf die remote pfSense.
Und wenn Du ein Problem hast, einfach @aquis Tutorial richtig lesen, dann klappt das schon.
Gruß orcape
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 08:44 Uhr
Die Client Konfig kann man bei einer Sense nicht importieren soweit ich weiß. Das wäre mir neu.
Bitte warten ..
Mitglied: orcape
14.01.2020 um 09:03 Uhr
Die Client Konfig kann man bei einer Sense nicht importieren soweit ich weiß. Das wäre mir neu.
Ich habe auch nicht von Import gesprochen, sondern von Export.Vom Server zum Client.
Da gibt es in "System-Package Manager" ein Paket namens "openvpn-client-export", welches man nachinstalliert.
Wie im Bild zu sehen gibt es dann einen zusättzlichen Reiter zum Client-Export sowie den Reiter zum Schlüsselexport.
Funktioniert tadellos.
openvpn - Klicke auf das Bild, um es zu vergrößern
Gruß orcape
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 09:09 Uhr
Das schon. Er will ja allerdings zwei PfSense koppeln.
Bitte warten ..
Mitglied: orcape
14.01.2020 um 14:54 Uhr
Das schon. Er will ja allerdings zwei PfSense koppeln.
Und wo soll da das Problem sein? Funktioniert genau so, wie ich das beschrieben habe.
Eine pfSense erhält den OpenVPN-Server, die andere den Client und den kann ich von der ersten exportieren.
Oder wo siehst Du da das Problem?
Nach @aquis Tutorial richten, geht nix schief.
Bitte warten ..
Mitglied: the-buccaneer
16.01.2020 um 00:13 Uhr
Zitat von Spirit-of-Eli:

//Das nur von der Client Seite eine Verbindung aufgebaut wird, kommt bei IPsec zum tragen. Bei OVPN ist das bei Design schon so fest gegeben wenn du dieser Anleitung folgst.

DAS war mir nicht klar. Danke. Mittlerweile habe ich das rausgefunden, aber die Bezeichnungen (das Design?) erscheinen mir hier genauso sinnvoll wie die Master / Slave Platten beim IDE. Warum nicht 2 Peers eine Verbindung aushandeln, wissen nur die Entwickler... Wird wohl historisch bedingt sein...

@ all: aqui's Tutorial? Gucks mir nochmal an, bevor das hier peinlich wird... Wusste aber nicht, dass es das auch im OVPN-Flavour gibt.
@Spirit-of-Eli: Er will überhaupt nicht, er MUSS, weil die Nasen von Colt-Telecom den Anschluss mit der öffentlichen IP nicht gebacken kriegen...

Tunnel steht soweit in der Testumgebung, aber das Routing klappt nicht. Jetzt lese ich aqui und dann kommt die Frage.

Buc
Bitte warten ..
Mitglied: the-buccaneer
16.01.2020 um 01:23 Uhr
Jo... Nun kommt die Frage...
Das OpenVPN ist etwas weniger trivial, als ich dachte, nachdem ich mal einen Server eingerichtet hatte und den Windows-Client zum laufen bekam... Trotzdem an sich kein Hexenwerk, (oder doch, wie der E.v.D. sagen würde?)

Mittlerweile behaupte ich, das grundlegend gerafft zu haben, jedoch habe ich im Testaufbau ein Problem:
Der Tunnel routet nicht. Oder nur zur Hälfte.

Testaufbau:

PfSense in Virtualbox mit Host-only-Adapter. Client Win 7 ebenfalls so. Damit habe ich das doppelte NAT beim Kunden nachgestellt.
Funktioniert super, Traffic kommt auf meiner dyn. IP (Server) an. Internet geht eh. Hier sitzt also der Client.

OpenVPN-Server eingerichtet auf meiner PfSense mit Shared-Key entsprechend der Netgate-Anleitung. Client-PfSense in der V-Box eingerichtet. Tunnel steht. Und nun kommts:

Die routen nicht vom jeweiligen LAN ins andere LAN. OVPN-Interface pingt auf der PfSense jeweils prima. Also Ping --> Address Remote-Client --> Interface OVPN. Aber: Ping --> Address Remote Client --> Interface LAN bringt auf BEIDEN Seiten timeouts.

Traceroute kommt vom jeweiligen LAN bis zum Tunneladapter der Gegenseite. Also: 10.0.81.1 --> 10.0.81.2 ok. Danach Funkstille. Aha, denkt man: Müssen die Routen oder die Firewallregeln sein. Nö. Ist nicht. Route ist gesetzt. Auf beiden Seiten. Firewall erlaubt den Traffic auf dem OVPN-Interface ("any") und auf dem WAN-Port 1194 des Servers ebenfalls.

Das ganze gilt also vice-versa: PfSense1-->OVPN-Interface--> LAN 2 gut. PfSense1 LAN-Interface-LAN 2 tot. Und umgekehrt.

Und LAN-Client --> PfSense Gegenseite oder Client Gegenseite auch tot. Aber OVPN Interface Gegenseite gut.

Definitiv die Routen, aber warum? Auch das von @aqui vorgeschlagene "Push Route" bringt nix. (Ist das überhaupt nötig?)

Durch gesetzte existierende Routen geht kein Traffic obwohl er in der Firewall erlaubt ist. Hatte ich so noch nicht. Im Netgate-Forum war ein sehr ähnlicher Fall. Bei dem ging es nach Neuinstallation der OVPN-Server und Clients. Habe ich gemacht: Nix.

Was würdet ihr machen?

Buc-tracker
Bitte warten ..
Mitglied: Spirit-of-Eli
16.01.2020 um 06:52 Uhr
Zitat von the-buccaneer:
Was würdet ihr machen?

Buc-tracker

Moin,

tatsächlich würde ich dafür einfach nicht VBox einsetzen. Die dortige Netzwerk Lösung ist einfach unterirdisch.

Nutz lieber HyperV.

Gruß
Spirit
Bitte warten ..
Mitglied: orcape
16.01.2020 um 09:10 Uhr
Und LAN-Client --> PfSense Gegenseite oder Client Gegenseite auch tot. Aber OVPN Interface Gegenseite gut.

Definitiv die Routen, aber warum? Auch das von @aqui vorgeschlagene "Push Route" bringt nix. (Ist das überhaupt nötig?)

Push Route stellt Dir die Route zum Netzwerk hinter dem OVPN-Server bzw. auf ein anderes Netzwerk, mit dem die Server-pfSense verbunden ist her.
Beim OVPN-Server solltest Du, ausser die Routen in den Servereinstellungen aufs remote Netz zu definieren, auch noch die CCD (Client-Config-Directory) einrichten.
Das machst Du unter VPN - OpenVPN - Client Specific Overrides ...

screenshot_20200116_090812 - Klicke auf das Bild, um es zu vergrößern

...hier trägst Du auch die remoten Netze ein.
Gruß orcape
Bitte warten ..
Mitglied: aqui
16.01.2020, aktualisiert um 15:13 Uhr
Auch das von @aqui vorgeschlagene "Push Route" bringt nix. (Ist das überhaupt nötig?)
Das ist auch auf dem Client Unsinn. "Push Route" schiebt nur das lokale LAN am OVPN Server zum Client. Wenn auch das Client LAN Netz geroutet werden muss dann dann müssen 2 route Kommandos zusätzlich in die Server Conf.
Beispiel Lokales LAN Server = 192.168.88.0 /24 und Client LAN = 172.16.1.0 /24:
Server Konfig:
route 172.16.1.0 255.255.255.0
= bringt die Route in die Kernel Routing Tabelle
iroute 172.16.1.0 255.255.255.0
= routet das Client Netz in den Tunnel
Client Konfig:
route 192.168.88.0 255.255.255.0

Dort reicht eine einfache statische Route

Das Banalste dafür ist eine Site 2 Site Konfig mit statischen Passwörtern wenn dir das als Security reicht:
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configuring-a-sit ...
Bitte warten ..
Mitglied: the-buccaneer
18.01.2020, aktualisiert um 12:36 Uhr
TEST:

Ich kann leider meine Antwort nicht abschicken. Wenn ich den Text hier einfüge sind die Buttons Vorschau und Senden ausgegraut. Weiss jemand, was das nun wieder ist???

VG
Buc

Edit: O.k. Das ging. Warum geht die inhaltliche Antwort nicht? Wurde da irgendwas am Forum umgestellt? Versuche mal die Antwort zu splitten...
Jetzt hats geklappt...
Bitte warten ..
Mitglied: the-buccaneer
18.01.2020, aktualisiert um 13:07 Uhr
So. Kann "Vollzug" melden. Tunnel steht und routet auch. War aber ne schwere Geburt...

Die Dokumentation ist eher verwirrend. Mal heisst es: "Create an Interface for OpenVPN" in der Standardanleitung, dann heisst es wieder, man muss das

nicht machen.
Mal heisst es, die Routen werden über die Angaben der Subnetze automatisch erzeugt (man kann sie ja auch sehen), mal heisst es "push route" und "route"

und "iroute" in der Advanced Configuaration angeben.
OPNSense will die Advanced Configuration demnächst komplett entfernen, da sie unnötig und "dangerous" sei. Dann muss es ja ohne gehen, aber wie route ich

dann in ein 2. Netz?
Problematisch kann es wohl werden, wenn (wie bei mir) weitere IPSec-Tunnel mit dem lokalen Netz der Serverseite existieren und dann ein OpenVPN

hinzukommt.
Warum das so kompliziert war, weiss der Geier. Werde nochmal ein bisschen rumtesten.

Nun aber die nächste herausforderung:

Site A (OVPN-Client) <--------ovpn ------------------> Site B (OVPN-Server) <---IPSec ----> Site C
192.168.22.0/24 <------>10.0.8.0/24 <----------->192.168.1.0/24 <-----------IPSec ----> 192.168.4.0/24
----PfSense------------------------------------------------------------pfSense----------------------------------------Fritzbox

Wie route ich nun von Site A nach Site C und zurück?

Gemacht habe ich: Fritzbox das Netz Site 1 mitgegeben .
Auf der pfSense in Site B in der Phase 2 im IPSec-Tunnel als lokales Netzwerk 192.168.0.0/19 definiert. Da sollten beide drin sein.
Auf dem OVPN-Server in Site B gesetzt:
Geht nicht. Dann auf Site B ein Interface OVPN-Test mit dem ovpns (1) Adapter angelegt. Das legt automatisch ein dynamisches Gateway an und der bekommt

die IP 10.0.8.2. Statische Route gesetzt auf Netz 192.168.22.0/24 über Gateway 10.0.8.2. Regel gesetzt auf dem OVPN-Test Interface "any"

Damit sollte die PfSense auch auf dem IPSec wissen, wohin mit den Päckchen für Site A. Ping vom LAN geht. Tracert auf Site C kommt bis zur Fritte. Dann

Timeouts. laut AVM soll das aber gehen. Mindestens die PfSense Site B sollte hier doch aber antworten?

Nun müsste ich wohl auf Site A an der PfSense evtl. ebenfalls das Interface definieren und die Route einrichten, aber da komme ich aus mir unbekannter

Ursache aus Site B gerade nicht drauf. (pingbar ist sie, das Webinterface antwortet aber nicht) anderes Problem...

Was aktuell geht ist Site A <---> Site B. Site C bleibt ausgesperrt. Momentan geht aber auch ein traceroute von der pfsense B nur bis zum OVPN (10.0.8.2)

der Gegenseite. Also hängts da noch...

Jetzt muss ich aber mal mein "Samstagsprogramm" anfangen.

Ideen sind nachwievor willkommen.

Buc
Bitte warten ..
Mitglied: aqui
18.01.2020 um 15:13 Uhr
Tunnel steht und routet auch. War aber ne schwere Geburt...
Alles andere hätte uns hier bei dir als FritzBox und Netzwerk Profi auch sehr gewundert !
Die Dokumentation ist eher verwirrend.
Dazu geht der Netzwerk Profi ja auch über die Shell und SSH auf die Firewall und sieht sich mit cat /etc/openvpn/meine.config mal die Konfig an was das GUI dann wirklich daraus gemacht hat !
Mit den Kommandos die da stehen ist dann doch alles glasklar !
weitere IPSec-Tunnel mit dem lokalen Netz der Serverseite existieren und dann ein OpenVPN
Kein Problem !
Die alle trägst du dann statisch ein, da die ja über ein weiteres Gateway im Netz erreicht werden. Ggf. musst du dann auch zusätzlich über das Routing Menü machen sollten diese Tunnel NICHT über den Internet Router (Default Gateway der pfSense) erreichbar sein. Vermutlich ist das aber eine kaskadierte FritzBox, richtig ?
Tracert auf Site C kommt bis zur Fritte. Dann Timeouts...
Bedeutet das du die Fritte dann falsch komnfiguriert hast. Dort muss natürlich sowohl das internen OVPN Netz als auch das Zielnetz IPsec technisch eingetragen sein so das die remote FB diese Netze routen kann in den Tunnel !
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
aber da komme ich aus mir unbekannter Ursache aus Site B gerade nicht drauf.
Zeigt das du einen Fehler gemacht hast. Normal funktioniert das natürlich fehlerlos !
Als Ziel gibt man immer die LAN IP der remoten FW an ! Vermutlich hast du also entweder einen Fehler im Routing gemacht oder du hast vergessen die richtige Firewall Regel für das Tunnel Interface einzurichten ! Eins von beiden kanns nur sein.
Hier wieder die Frage: WAS sagt die Routing Tabelle in deinen pfSensen auf beiden Seiten ??? Dort müssen alle erreichbaren Zielnetze zu sehen sein via Tunnel. Wenn nicht hast du einen Fehler gemacht...
Normal ist so ein Setup in 15 Minuten erledigt und online mit beidseitigem Zugriff.
Was aktuell geht ist Site A <---> Site B. Site C bleibt ausgesperrt.
Was ist "Site C" ??? Oben redest du doch nur von einer Kopplung von nur 2 Sites ?
Unser Samstagsprogramm wäre dann die Konfig für dich klickfertig zum Abtippen hier zu machen...
Bitte warten ..
Mitglied: orcape
18.01.2020 um 18:10 Uhr
Alles andere hätte uns hier bei dir als FritzBox und Netzwerk Profi auch sehr gewundert !
@the-buccaneer Mit solchen Sprüchen musst Du leben, dafür bekommst Du ja auch eine kompetente Beratung.
Die Dokumentation ist eher verwirrend. Mal heisst es: "Create an Interface for OpenVPN" in der Standardanleitung...
Wie sonst willst Du denn eine Firewallregel erstellen, wenn nicht einmal ein Interface eingerichtet ist. Du brauchst das nicht zwingend für jede OpenVPN-Instanz zu tun, wenn Du mehrere Server am laufen hast, da würde ich mitgehen.
Im übrigen hat hier niemand behauptet das ein VPN-Tunnel, egal welcher, ein triviales Klikibunti ist, was auf Anhieb funktionieren muss.
Aber das Routing von Tunnel zu Tunnel, sollte auf der pfSense Site-B, auch problemlos zwischen OpenVPN und dem IPSec-Tunnel zu Stite-C funktionieren.
Plan B wäre dann, die Fritte freezen und mit OpenVPN den IPSec ersetzen oder notfalls gleich OpenWRT einsetzen. Dann läuft das Routing auch innerhalb der OpenVPN-config.
Ich denke der einfachere Weg wäre aber, ein ordentliches Routing zwischen den Standorten und das es geht, ist Fakt.
Gruß orcape
Bitte warten ..
Mitglied: the-buccaneer
19.01.2020 um 01:37 Uhr
Zitat von orcape:

Alles andere hätte uns hier bei dir als FritzBox und Netzwerk Profi auch sehr gewundert !
@the-buccaneer Mit solchen Sprüchen musst Du leben, dafür bekommst Du ja auch eine kompetente Beratung.
Der aqui darf das. Hat er sich hart erabeitet. Muss ja auch Spaß machen, anderer Leute Probleme zu lösen.

Die Dokumentation ist eher verwirrend. Mal heisst es: "Create an Interface for OpenVPN" in der Standardanleitung...
Wie sonst willst Du denn eine Firewallregel erstellen, wenn nicht einmal ein Interface eingerichtet ist. Du brauchst das nicht zwingend für jede OpenVPN-Instanz zu tun, wenn Du mehrere Server am laufen hast, da würde ich mitgehen.
Na ja. Es wird ja in der PfSense ein "Interface" erstellt, auf dem ich Regeln definieren kann. Auch wenn ich das nicht noch händisch mache. Wenn man das auch manuell noch erstellt, wie empfohlen hat man 2x OpenVPN. "Eindeutig" ist anders.
Im übrigen hat hier niemand behauptet das ein VPN-Tunnel, egal welcher, ein triviales Klikibunti ist, was auf Anhieb funktionieren muss.
Einen Client mit der pfSense als Server verbinden ist das. Da lobe ich mir meinen "Shrew". Da lernt man das zwangsläufig.
Aber das Routing von Tunnel zu Tunnel, sollte auf der pfSense Site-B, auch problemlos zwischen OpenVPN und dem IPSec-Tunnel zu Stite-C funktionieren.
Ja... Bei "sollte" bleibe ich ja hängen und frage mich und die Welt, was das sein könnte... Ich sage momentan: "Die doofe Fritte macht das Routing trotz Eintrag nicht"
Plan B wäre dann, die Fritte freezen und mit OpenVPN den IPSec ersetzen oder notfalls gleich OpenWRT einsetzen. Dann läuft das Routing auch innerhalb der OpenVPN-config.
No-Go. Meine Fritte ist mir heilig. (U.a. wg. Kindersicherung...)
Ich denke der einfachere Weg wäre aber, ein ordentliches Routing zwischen den Standorten und das es geht, ist Fakt.
Aber wie??? Ich kann mir ja auf der Fritte die Routen nicht anzeigen lassen und wg. IPSec ist Standort B ja auch kein verbundenes Interface, womit statische Routen wegfallen...

Es interessiert mich auch eher "prinzipiell", da ich gerne wissen möchte, ob das so geht, oder nicht. In 2 Wochen ist beim Kunden ne feste externe IP (so Colt will) geschaltet und dann ist das "konkrete Problem" obsolet.

Und solange hier nicht einer sagt: "Ich habe genau dieses Setting i(Routing über ein FB-->Pfsense IPSec über ein dortiges OVPN in ein remotes Netz im Einsatz und es geht", halte ich alles für "theoriegeleitet"

So. Nun habe ich nach einem Reboot der pfSense auf Site B gar keine Verbindung mehr zu Site A.. OVPN-Log sagt:
Super. Dass das stabil und zuverlässig ist, halte ich für ein Gerücht. Ich habe NICHTS verändert.

Gute Nacht.
Buc
Bitte warten ..
Mitglied: orcape
19.01.2020 um 09:56 Uhr
Super. Dass das stabil und zuverlässig ist, halte ich für ein Gerücht. Ich habe NICHTS verändert.
Nun, dann hast Du wohl noch einen Fehler eingebaut, keine Frage. Um dabei helfen zu können, sollte man aber über die Einstellungen, Routingtabelle, Logs etc. Kenntnis haben, sonst ist das wie die Suche im Heuhaufen.
Das die OpenVPN-Tunnel, Hardware bedingt, teils unterschiedliche Einstellungen erfordern, ist mir klar. Auch sind die Pfadangaben auf die einzelnen Systemdateien teils unterschiedlich, abhängig vom verwendeten OS.
Bei mir laufen auf einer meiner pfSensen gleich 5 OpenVPN-Server und das Routing, auch zwischen diesen Tunnel klappt problemlos.
Leider habe ich einen einst funktionierenden IPSec-Tunnel, der zu einer remoten Fritte 3370 ging, nicht mehr in Verwendung, sonst könnte ich Dir wohl gezielt weiter helfen.
Gruß orcape
Bitte warten ..
Mitglied: the-buccaneer
19.01.2020 um 12:27 Uhr
Jo, danke orcape!
Sieht so aus, als würde der Client einfach keine Verbindungsversuche mehr unternehmen. Auf dem Server kommt nix an.

Mag was völlig anderes sein, wer weiss. Client steht in nem neuen Bürohaus, wo immer noch an diversen Verkabelungen gearbeitet wird etc.
Evtl. haben die nachts irgendeine Wartung gefahren, so dass der nicht mehr raus kommt, wer weiss. Merkwürdig nur, das es beim Neustart der Serverseite auftrat. (Das verändert nicht die öffentliche IP da Einwahl über andere FB)


Zitat von orcape:

Um dabei helfen zu können, sollte man aber über die Einstellungen, Routingtabelle, Logs etc. Kenntnis haben, sonst ist das wie die Suche im Heuhaufen.
Ist schon klar. Hier ist das mit dem Log aber einfach: Keine eingehenden Verbindungsversuche auf dem WAN-Port am Server. Punkt. Client nicht zugänglich. Das wars, bis ich vor Ort sein kann oder den dortigen Admin fragen kann, ob die was umgestellt haben.
Solange hat sich die Sache mit den Routen erstmal erledigt...

Schönen Sonntag!
Buc
Bitte warten ..
Mitglied: orcape
19.01.2020 um 13:26 Uhr
Sieht so aus, als würde der Client einfach keine Verbindungsversuche mehr unternehmen. Auf dem Server kommt nix an.
Na ja, kann durchaus auch einer den Stecker gezogen haben.
Das einfachste ist, die Tests vor Ort zu Hause machen.
Ich gehe bei mir mit den Test-Clients eines neuen Tunnels einfach ins LAN der Fritte, wo auch das WAN der pfSense angeschlossen ist. Wenn der Tunnel steht, kommt erst der remote Teil.
Wenn der Server funktioniert, sagt Dir das die pfSense, dann den Client händisch starten...
openvpn <pfad zur Client.conf>...und die Fehlermeldungen auswerten.
Wie gesagt, trivial sieht anders aus aber was lange währt wird gut.
Schönen Sonntag
Gruß orcape
Bitte warten ..
Mitglied: aqui
19.01.2020, aktualisiert 22.01.2020
Vielleicht hilft dies dem Kollegen @the-buccaneer seinen Fehler zu finden ?! Das ist ein simples, in 30 Minuten fertiges Setup und funktioniert absolut fehlerlos wie das nachfolgende Kurztutorial zeigt !

Test Design für die Kopplung pfSense OpenVPN mit IPsec VPN

ovpn-buctest - Klicke auf das Bild, um es zu vergrößern
Der Einfachheit halber wurde hier eine OpenVPN Kopplung der 2 pfSense Firewalls mit Shared Keys verwenden und simpler 128Bit AES Verschlüsselung.
Die Routing Kopplung an ein IPsec VPN Netz ist hier durch ein Mikrotik_IPsec_Site_to_Site_Netz realisiert, was wegen der Vielzahl der Standort IP Netze dynamisches Routing verwendet um die Fehleranfälligkeit vieler statischer Routen und ein automatisiertes Link Backup zu ermöglichen.
Das ist nur ein Beispiel und kann durch jedes andere beliebige IPsec VPN Netz mit statischen Routen ersetzt werden. Punkt ist hier nicht das IPsec VPN sonder das korrekte Routing in dieses Netz bzw. Netze.

1.) Konfiguration des pfSense OVPN Servers:
ovpnsrv1 - Klicke auf das Bild, um es zu vergrößern
ovpnsrv2 - Klicke auf das Bild, um es zu vergrößern
ovpnsrv3 - Klicke auf das Bild, um es zu vergrößern

2.) Eintragen der statischen Routen ins IPsec VPN Netz a.d. OVPN Server:
gateway - Klicke auf das Bild, um es zu vergrößern


3.) Konfiguration des pfSense OVPN Clients:
ovpncl - Klicke auf das Bild, um es zu vergrößern
ovpnclient2 - Klicke auf das Bild, um es zu vergrößern
ovpnclient3 - Klicke auf das Bild, um es zu vergrößern
Unter /var/etc/openvpn kann man mit PuTTY Shellzugriff die Konfig des OVPN Clients nochmals checken und ggf. finetunen.
Hier sieht man auch deutlich die remoten IP Netze auf der Serverseite !

4.) Check des OVPN Tunnels:
ovpnclientdb - Klicke auf das Bild, um es zu vergrößern
Ist aktiv und online !

5.) Check ob die OVPN Server Routen richtig in der Routing Tabelle des OVPN Clients sind:
ovpnclientroutes - Klicke auf das Bild, um es zu vergrößern
Sind sie !
Damit ist der OpenVPN Tunnel soweit OK und einsatzklar !


Weiter geht es mit dem Koppelrouter Mikrotik RB750GL (hEX R3)...

6.) Konfig der statischen Route OVPN Client Netz a.d. IPsec Koppelrouter (750GL):
ovpnrou750gl - Klicke auf das Bild, um es zu vergrößern
Die statische Route ins OVPN Client Netz wird per RIPv2 automatisch ins gesamte IPsec VPN der Mikrotiks distribuiert so das jeder Standort dort das OVPN Client Netz "kennt".

7.) Check ob OVPN Client Netz in den IPsec Standorten bekannt ist:
ovpn750 - Klicke auf das Bild, um es zu vergrößern
Ist es !

8.) Ping Check OVPN Client auf Mikrotik IPsec Core Router (RB750GL):
ovpnclientping750gl - Klicke auf das Bild, um es zu vergrößern
Klappt !

9.) Ping Check OVPN Client auf Mikrotik IPsec Standort Router (RB750):
ovpnclientping750 - Klicke auf das Bild, um es zu vergrößern
Klappt !

10.) Ping Mikrotik IPsec Standort Router (RB750) auf OVPN Client:
pingfw750 - Klicke auf das Bild, um es zu vergrößern
Klappt !

Fertisch... !
Ein Web Zugriff auf das GUI sowohl des pfSense Servers und Clients aus allen IP Netzen funktioniert fehlerlos !

Fazit: Works as designed und auch ein stolzer Freibeuter kann sich jetzt nicht mehr rausreden !!
Bitte warten ..
Mitglied: the-buccaneer
20.01.2020 um 04:23 Uhr
@aqui: Du bist ein Held!

Ein kleiner Fehler hat sich eingeschlichen: In der OVPN Client Config muss es heissen WAN-IP OVPN Server.
Das wird sicher wieder viel gelesen und sorgt sonst für Verwirrung...

Trotzdem habe ich noch 1-2 Verständnisfragen...

In der OVPN Server Config tauchen folgende Routen auf:
Wo hast du die definiert? Der Schritt fehlt. (Ich gehe davon aus, in der "Advanced Configuration" mit "route " und push "route" ?)
Wie genau? Das ist hier wichtig.

Als Gateway hast du bei den Static Routes die LAN-IP des OVPN-Servers für alle (IPSec-) verbundenen Netze angegeben.
Hier unterscheidet sich dein Setup aber von dem meinen, da du noch einen Mikrotik fürs IPSec dazwischen schaltest und das nicht die PfSense selber macht...

Ich ging erst davon aus, dass die PfSense den Traffic aus den IPSec Remote-Netzen schon routen kann, denn die Netze kommunizieren ja, und sie weiss offenbar, dass sie die Pakete fürs IPSec VPN-Netz auch dorthin routen muss.
Langsam versteh ich's aber... Das LAN-interface der pfSense kennt die remoten Netze automatisch wg. IPSec. Keine Routen nötig. Das OpenVPN-Interface weiss ja aber nix davon. Was soll es tun? Es schickt die Pakete zum Standardgateway. Dahinter ist aber meist das Internet und der Providerrouter denkt sich: "Wo soll ich hin mit dem Zeug? Kenn wa nich, ham wa nich, ab in die Tonne."

Das ist halt so ne IPSec-Sache mit dem Routing ohne explizite Routen die auch anderen Interfaces zur Verfügung stünden, wie man das sonst gewohnt ist...

Lange Rede, kurzer Sinn: Wie ich es nun verstehe, lege ich in der pfSense einen Gateway "IPSec-VPN" an, der auf das LAN Interface des IPSec-Tunnels verweist. Dann setze ich eine statische Route für alle per IPSec verbundenen Netze, die ich anderen Interfaces (z.B. OpenVPN) zur Verfügung stellen möchte. Klingt logisch und einfach. Funktioniert aber wieder nicht.

Sollte die Schwierigkeit darin liegen, dass sowohl IPSec als auch OpenVPN auf der pfSense liegen, hast du das elegant umschifft, indem du den Mikrotik das IPSec machen lässt.

Ich bekomme es nachwievor nicht hin. Gateway angelegt LAN 1. Route gesetzt VPN-Netz hinter FB --> Gateway LAN1. In der Phase 2 des IPSec das OpenVPN Tunnelnetz hinterlegt, das Netz hinter dem OVPN ebenfalls. etc.pp. Die pfSense routet keinen Traffic aus dem OVPN-netz.
Testweise ein weiteres Netz angelegt: pfsense-interface2 192.168.10.0/24. PHYSIKALISCHER Adapter auf der pfSense. Route mitgegeben auf der FB und in der Phase 2 der pfSense. Klappt wie gewünscht.
Also definitiv irgendwas mit dem Routing aus dem OVPN-Interface (sowohl das automatisch erstellte "OVPN-Server", als auch das manuelle "OVPN".) ins IPSec.

Herzallerliebster aqui!
Solltest du die Zeit finden und die Herausforderung annehmen:
Versuche doch mal, das mit OVPN und IPSec auf derselben pfSense abzubilden.Wozu Mikrotik dazwischen? Die Lösung wäre Gold wert, und mir definitiv einen Kasten gutes ayrisches Bier, wenn du mir die Post-IP für's "Real-World-Routing" zukommen lässt...

Buc
Bitte warten ..
Mitglied: aqui
20.01.2020 um 09:57 Uhr
Ein kleiner Fehler hat sich eingeschlichen: In der OVPN Client Config muss es heissen WAN-IP OVPN Server.
Du hast Recht ! Ist korrigiert....
Zu deinen Fragen:
Wo hast du die definiert? Der Schritt fehlt.
Nein er fehlt nicht. Augen auf... Punkt 3, Drittes Bild Dort ist sogar noch ganz fett in rot markiert: Remote IP Netze auf der Server Seite (Mikrotik IP Netze)
Wer lesen kann !!
Als Gateway hast du bei den Static Routes die LAN-IP des OVPN-Servers für alle (IPSec-) verbundenen Netze angegeben.
Nein !
Auch hier hast du wohl wieder Tomaten auf den Augen gehabt !
Die pfSense IP (OVPN Server) des LAN ist 192.168.188.149 ! Die statischen Routen verweisen, wie es richtig ist, auf die IP Adresse des Mikrotik RB750GL Routers in diesem Netz 192.168.188.1 denn das ist ja das Next Hop Gateway !
da du noch einen Mikrotik fürs IPSec dazwischen schaltest und das nicht die PfSense selber macht...
Das hattest du oben nicht gesagt. Deinen Ausführungen war zu vermuten das das IPsec Netz separat mit FritzBox usw. gemacht wird. Aber egal...das Design können wir auch noch umstellen das die auch auf der pfSense abgefrühstückt werden.
Das macht das ganze Setup dann noch viel einfacher.
Ich ging erst davon aus, dass die PfSense den Traffic aus den IPSec Remote-Netzen schon routen kann
Das kann sie auch ! Aber rein nur für IPsec. OpenVPN muss man diese Netze beibringen das die in den OVPN Tunnel geroutet werden. Zudem musst du dann auch in der IPsec Konfig das remote OVPN Netz bekannt machen.
Das LAN-interface der pfSense kennt die remoten Netze automatisch wg. IPSec. Keine Routen nötig.
Richtig !
Das OpenVPN-Interface weiss ja aber nix davon. Was soll es tun? Es schickt die Pakete zum Standardgateway.
Richtig !
Beides sind 2 unterschiedliche Prozesse. Du musst die OVPN IP Netze dem IPsec bekannt machen und vice versa, damit diese IP Netze ALLE in der Routing Tabelle der pfSense global vorhanden sind.
Das ist halt so ne IPSec-Sache mit dem Routing ohne explizite Routen die auch anderen Interfaces zur Verfügung stünden,
Mmmhhh..das ist bei allen VPN Protokollen so. Bei IPsec machst du die Routen in der Phase 2 SA bekannt und bei OVPN über die Server bzw. Client Konfig. Im Endeffekt müssen sie immer irgendwo angegeben werden !
Genau DAS war der Grund das nicht immer statisch zu machen sondern im oben zitierten Tutorial mit einem dynamischen Routing Protokoll was alle diese Routen dann automatisch und ohne manuelle Frickelei an die Standort Clients distribuiert. Ob man da dann RIPv2 oder OSPF nimmt ist dann eher eine kosmetische Frage.
Wie ich es nun verstehe, lege ich in der pfSense einen Gateway "IPSec-VPN" an, der auf das LAN Interface des IPSec-Tunnels verweist.
Nein ! Das ist falsch. Liegt wohl daran das du die Antwort oben missverstanden hast.
hast du das elegant umschifft, indem du den Mikrotik das IPSec machen lässt.
Nöö, das war Faulheit, weil das MT IPsec Netz hier schon fix und fertig lief. Nur um das "Samstagprogramm" nicht so ausufern zu lassen
das mit OVPN und IPSec auf derselben pfSense abzubilden.
Auch noch ein "Montagsprogramm" ?! Das kostet aber. Da muss der Freibeuter dann aber seine Sonntags Rum Buddel für öffnen. Unter Ron Zapaca oder A.H.Rise ist das nicht zu machen...
Und...du musst ein Tutorial davon schreiben.
Und überhaupt... was ist denn "ayrisches Bier" ? Klingt gruselig.
Bitte warten ..
Mitglied: orcape
20.01.2020 um 10:46 Uhr
@the-buccaneer
Trotzdem habe ich noch 1-2 Verständnisfragen...
...und mit dem nächsten Satz, hast Du auch mein Verständnis in Frage gestellt.
In der OVPN Server Config tauchen folgende Routen auf:

Wo hast du die definiert? Der Schritt fehlt. (Ich gehe davon aus, in der "Advanced Configuration" mit "route " und push "route" ?)
Wie genau? Das ist hier wichtig.

Denn was dort steht, ist nicht die Server, sondern die Client.config der Site A-pfSense und dessen remote Netzeinträge.
Wie das aqui schon richtig definiert hat.
Unter /var/etc/openvpn kann man mit PuTTY Shellzugriff die Konfig des OVPN Clients nochmals checken und ggf. finetunen.
Punkt 3, Drittes Bild Dort ist sogar noch ganz fett in rot markiert: Remote IP Netze auf der Server Seite (Mikrotik IP Netze)
@aqui
Du solltest übrigens nicht nur darauf bestehen das er "ayrisches Bier" ausgibt, das "B" sollte noch drin sein.
Bitte warten ..
Mitglied: aqui
20.01.2020, aktualisiert 24.01.2020
@orcape
Wie unter Freibeutern üblich sollte es besser ein Rum sein oder ein Cuba libre !

So auf besonderen Wunsch eines besonderen Freibeuters ! Das "Montagsprogramm"...

Test Design wie vom Buccaneer vorgegeben:
Als Beispiel nur eine IPsec Tunnel Verbindung, die mit einem Mikrotik Router als Gegenpart rennt. IKEv1 wurde bewusst gewählt weil die FritzBox nur IPKEv1 kann und Kollege @the-buccaneer ja FritzBox Fan ist. Die IPsec Konfig rennt aber genau so auch unter IKEv2.
buc2test - Klicke auf das Bild, um es zu vergrößern

1.) OpenVPN Client Konfig anpassen:
Die komplette OVPN Server Konfig und auch die Grundkonfig des OVPN Client bleibt so wie oben nur die remoten IP Netze müssen im Client angepasst werden !
ovcl1 - Klicke auf das Bild, um es zu vergrößern

2.) Einrichten der pfSense IPsec Verbindung (Phase 1):
ipsecp1-1 - Klicke auf das Bild, um es zu vergrößern
ipsecp1-2 - Klicke auf das Bild, um es zu vergrößern

3.) Einrichten der Phase 2 zum o.a. IPsec Tunnel:
Die Phase 2 bestimmt immer WELCHER IP Traffic in den VPN Tunnel geschickt wird. Es sollte klar sein, das dazu natürlich auch der Traffic des OpenVPN Client LANs in das IPsec LAN gehört das über die pfSense gesendet wird !
  • 1. Phase 2: Traffic LAN zu Mikrotik LAN = 192.168.1.0 /24 <-> 192.168.88.0 /24
  • 2. Phase 2: Traffic OVPN LAN zu Mikrotik LAN = 172.17.1.0 /24 <-> 192.168.88.0 /24
Folglich müssen also 2 mal Phase 2 eingerichtet werden für den o.a. IPsec Tunnel !
ipsecp2-1 - Klicke auf das Bild, um es zu vergrößern
ipsecp2-2 - Klicke auf das Bild, um es zu vergrößern
Zweiter ! Phase 2 Eintrag für OpenVPN LAN und remotes LAN:
ipsecp2-3 - Klicke auf das Bild, um es zu vergrößern
Die fertige IPsec Tunnel Konfig auf dem Server sieht dann so aus:
ipsecsrvglob - Klicke auf das Bild, um es zu vergrößern
Fertig....
Weiter geht es mit dem Mikrotik IPsec Router am remoten Standort:

4.) Konfiguration IPsec Tunnel Mikrotik (Phase 1):
Peer IPs, Phase 1 Krypto Parameter, Passwort.
mtipsec - Klicke auf das Bild, um es zu vergrößern

5.) Konfiguration IPsec Tunnel Mikrotik (Phase 2):
Hier werden genau wie im pfSense Server die zwei Phase 2 Netze eingetragen und die P2 Krypto Parameter.
mtipsec2 - Klicke auf das Bild, um es zu vergrößern

6.) Wir wollen KEIN NAT auf den internen VPN IP Netzen !!! (nur Mikrotik):
Wichtig bei Mikrotik !!:
Der VPN Tunnel Traffic auf dem Mikrotik muss zwingend vom NAT ausgenommen werden in der Firewall, ansonsten kann man nicht beidseitig routen im VPN. (Die pfSense macht glücklicherweise generell KEIN NAT im VPN Tunnel !)
mtfwuip - Klicke auf das Bild, um es zu vergrößern

7.) Check des IPsec Session Status auf der pfSense:
Im obigen Bild konnte man auf dem Mikrotik schon sehen das die beiden SA erfolgreich established wurden was wir jetzt auch auf der pfSense erwarten:
ipsecstatpfsense - Klicke auf das Bild, um es zu vergrößern
Dem ist so !
Entsprechend zeigt uns das Dashboard der pfSense das beide VPN Tunnel OpenVPN und auch IPsec sauber aufgebaut sind und funktionieren:
dashboardsrv - Klicke auf das Bild, um es zu vergrößern

8.) Finaler Ping Check zwichen lokalem LAN Mikrotik und lokalem LAN OpenVPN Client:
pfSense OpenVPN Client (LAN3 ist aktives Interface !)
ovpn2pingmt - Klicke auf das Bild, um es zu vergrößern
Klappt !!!
Mikrotik:
mtping - Klicke auf das Bild, um es zu vergrößern
Klappt !!!

Fazit:
Works as designed !
So, und nun muss der Freibeuter aber den Rum rausrücken !!
Bitte warten ..
Mitglied: orcape
20.01.2020 um 17:12 Uhr
Wie unter Freibeutern üblich sollte es besser ein Rum sein oder ein Cuba libre !
Den Cuba aber selber mischen und je nach Art des Rums. Denn bedenke, wenn er Dir 75% igen Rum liefert kann das "tödlich" enden.
Bitte warten ..
Mitglied: aqui
20.01.2020 um 17:18 Uhr
Nee, nee da hast du recht. 75% ist gruselig stark und gehört da nicht rein. Das Zeug ist für die Mannschaft aber nicht für den Captain !
Bitte warten ..
Mitglied: the-buccaneer
22.01.2020 um 00:46 Uhr
Vorneweg: nachdem ich nun gar nicht mehr auf die neue pfSense kam und feststellen musste, dass sie gruselige Fehler bzgl. Swapspace produzierte, habe ich sie nochmal aufgesetzt und damit auch den Tunnel nochmal eingerichtet. Läuft natürlich. War ja auch vorher eigentlich schon soweit...

WARNUNG: Es ist keine gute Idee, einen Snort zu installieren und gleichzeitig die Kiste auf RAMdisk umzustellen. Der Snort (den habe ich im Verdacht) frisst bei manchen Aktionen (Updates?) ordentlich Speicher, auch wenn er sonst im Betrieb recht genügsam ist.

Zitat von aqui:


Zu deinen Fragen:
Wo hast du die definiert? Der Schritt fehlt.
Nein er fehlt nicht. Augen auf... Punkt 3, Drittes Bild Dort ist sogar noch ganz fett in rot markiert: Remote IP Netze auf der Server Seite (Mikrotik IP Netze)
Wer lesen kann !!
O.k. Eingesehen. "Client....Server.... ist eh alles Hähnchen" sagt das Känguruh.

Als Gateway hast du bei den Static Routes die LAN-IP des OVPN-Servers für alle (IPSec-) verbundenen Netze angegeben.
Nein !
Auch hier hast du wohl wieder Tomaten auf den Augen gehabt !
Doch! Oder ich verstehe deine Netzwerkgrafik nicht. Da hat doch die pfSense die IP 192.168.188.1 und der Mikrotik die .149 ????
Die pfSense IP (OVPN Server) des LAN ist 192.168.188.149 ! Die statischen Routen verweisen, wie es richtig ist, auf die IP Adresse des Mikrotik RB750GL Routers in diesem Netz 192.168.188.1 denn das ist ja das Next Hop Gateway !
Dann verstehe sogar ich das, aber auf dem 1. Bild... Sonst wär ich ja nicht auf die Idee verfallen, der PfSense ihr IPSec-Netz nochmal auf der eigenen LAN-IP zu verklickern...

da du noch einen Mikrotik fürs IPSec dazwischen schaltest und das nicht die PfSense selber macht...
Das hattest du oben nicht gesagt. Deinen Ausführungen war zu vermuten das das IPsec Netz separat mit FritzBox usw. gemacht wird. Aber egal...das Design können wir auch noch umstellen das die auch auf der pfSense abgefrühstückt werden.
Das macht das ganze Setup dann noch viel einfacher.
Bäääh.
Ich ging erst davon aus, dass die PfSense den Traffic aus den IPSec Remote-Netzen schon routen kann
Das kann sie auch ! Aber rein nur für IPsec. OpenVPN muss man diese Netze beibringen das die in den OVPN Tunnel geroutet werden. Zudem musst du dann auch in der IPsec Konfig das remote OVPN Netz bekannt machen.
Das LAN-interface der pfSense kennt die remoten Netze automatisch wg. IPSec. Keine Routen nötig.
Richtig !
Das OpenVPN-Interface weiss ja aber nix davon. Was soll es tun? Es schickt die Pakete zum Standardgateway.
Richtig !
Beides sind 2 unterschiedliche Prozesse. Du musst die OVPN IP Netze dem IPsec bekannt machen und vice versa, damit diese IP Netze ALLE in der Routing Tabelle der pfSense global vorhanden sind.
Nu hab ich's ja gerafft... Essentiell ist hier das händische Anlegen eines OVPN-Interfaces auf Server-Seite und das Setzen einer statischen Route für das hinter dem OVPN liegenden Netz.
Das ist halt so ne IPSec-Sache mit dem Routing ohne explizite Routen die auch anderen Interfaces zur Verfügung stünden,
Mmmhhh..das ist bei allen VPN Protokollen so. Bei IPsec machst du die Routen in der Phase 2 SA bekannt und bei OVPN über die Server bzw. Client Konfig. Im Endeffekt müssen sie immer irgendwo angegeben werden !
Genau DAS war der Grund das nicht immer statisch zu machen sondern im oben zitierten Tutorial mit einem dynamischen Routing Protokoll was alle diese Routen dann automatisch und ohne manuelle Frickelei an die Standort Clients distribuiert. Ob man da dann RIPv2 oder OSPF nimmt ist dann eher eine kosmetische Frage.
Wie ich es nun verstehe, lege ich in der pfSense einen Gateway "IPSec-VPN" an, der auf das LAN Interface des IPSec-Tunnels verweist.
Nein ! Das ist falsch. Liegt wohl daran das du die Antwort oben missverstanden hast.
Klar. trotz allem frage ich mich noch, wie es sein konnte, dass trotz vorhandener Routen immer nix ankam. (LAN-IP-Server --> OVPN-IP-Client)
hast du das elegant umschifft, indem du den Mikrotik das IPSec machen lässt.
Nöö, das war Faulheit, weil das MT IPsec Netz hier schon fix und fertig lief. Nur um das "Samstagprogramm" nicht so ausufern zu lassen
Och, ist doch eh Schmuddelwetter draussen...
das mit OVPN und IPSec auf derselben pfSense abzubilden.
Auch noch ein "Montagsprogramm" ?! Das kostet aber. Da muss der Freibeuter dann aber seine Sonntags Rum Buddel für öffnen. Unter Ron Zapaca oder A.H.Rise ist das nicht zu machen...
Sach an wohin.
Und...du musst ein Tutorial davon schreiben.
Eher nen Erfahrungsbericht: "Wie ich es mit aqui's umfassender Expertise und seinem unendlichen Langmut geschafft habe, ein OVPN in ein IPSec zu tunneln."
Und überhaupt... was ist denn "ayrisches Bier" ? Klingt gruselig.
Darfst noch ein "B" kaufen... Dann schmeckt das wieder exzellent.

@aqui: Du hast was gut bei mir!

@orcape: Wo du Recht hast...
Bitte warten ..
Mitglied: the-buccaneer
22.01.2020, aktualisiert um 01:01 Uhr
Zitat von aqui:


So auf besonderen Wunsch eines besonderen Freibeuters ! Das "Montagsprogramm"...

Test Design wie vom Buccaneer vorgegeben:
Als Beispiel nur eine IPsec Tunnel Verbindung, die mit einem Mikrotik Router als Gegenpart rennt. IKEv1 wurde bewusst gewählt weil die FritzBox nur IPKEv1 kann und Kollege @the-buccaneer ja FritzBox Fan ist. Die IPsec Konfig rennt aber genau so auch unter IKEv2.


Sprachlos... Mir bleibt die Spucke weg...


Zu meiner Ehrenrettung möchte ich aber erwähnen, dass ich den Tunnel (MIT Routing) in völliger Unkenntnis dieses "Spezialbeitrags" gestern Abend zeitgleich bereits eingerichtet hatte.

Möge es noch vielen Anderen von Nutzen sein, die auf hoher See zwischen den Kontinenten der Protokolle und Ranges dahinschippern und statt in Indien in Mittelamerika landen...

So, und nun muss der Freibeuter aber den Rum rausrücken !!

Ich trink schon mal einen auf dich!

@orcape: Keine Angst, für den "Herrn der Netze" nur das Beste in verträglicher Mischung. Der wird noch gebraucht. Sollte man nix riskieren.

Hochachtungsvoll!
Buc
Bitte warten ..
Mitglied: aqui
22.01.2020, aktualisiert um 10:34 Uhr
Oder ich verstehe deine Netzwerkgrafik nicht.
Du hast Recht ! Sorry, Cut and Paste Fehler. Das muss natürlich die .149 sein ! Ist oben korrigiert !
Essentiell ist hier das händische Anlegen eines OVPN-Interfaces auf Server-Seite
händisches Anlegen ??? Nein ! Was soll das sein ?
Sowie du den OVPN Server konfiguriert hast wird das OVPN Interface doch automatisch hinzugefügt. Oder was meintest du da genau ?? Das ist übrigens auch beim Client so auf der pfSense.
Keine Ahnung was du da machst oder damit meinst. Sowas muss man jedenfalls nicht machen.
Das setzen der statischen Route muss man natürlich einzig nur im ersten Design machen wo IPsec auf einem getrennten Router gemacht wird. Natürlich NICHT auf deinem 2ten Design wo OVPN und IPsec auf der pfSense koexistieren !
Eher nen Erfahrungsbericht: "Wie ich es..."
👍
Ich hoffe dein "Doppel VPN" rennt nun fehlerfrei so wie du es geplant hast ??
Wenn ja, können wir den Case ja dann schliessen.
Bitte warten ..
Mitglied: orcape
22.01.2020 um 14:04 Uhr
Super das es läuft.
Ich habe mir da vor ein paar Tagen eine Aufgabe gestellt, bei der ich nun wieder einmal an meiner Grenzen stosse.
Vielleicht kann mir ja der Netzwerk-Profi oder der "Frittenspezialist" mal unter die berüchtigten Arme greifen.
Ich mach mal einen neuen Thread auf..."Fritz!Box3370 mit OpenWRT Interface-Zuordnung".
Gruß orcape
Bitte warten ..
Ähnliche Inhalte
Sicherheit
OpenVPN zwischen 2 Server und ein Client
Frage von rasoul1989Sicherheit6 Kommentare

Hallo, ich habe ein kleines Problem. Ich hab 2 SPS als Server und möchte gleichzeitig den Servern mit meinem ...

Linux Netzwerk
OpenVPN Client-to-Client
Frage von FreezzenLinux Netzwerk1 Kommentar

Moin Moin. Vorweg, Ubuntu war bis Ostern uninteressant für mich. Seitdem lerne ich es lieben. Moment beschäftige ich mich ...

TK-Netze & Geräte

Verbind 2 Hauser mit Kupfer und einen Netzwerkisolator

Frage von Hampi7273TK-Netze & Geräte3 Kommentare

Ich hab gelesn das in der Medizin Technik oft mit Netzwerkisolator gebaut wird. Netzwerkisolatoren bilden innerhalb einer kupfergeführten Ethernet-Datenleitung ...

Router & Routing

OpenVPN-Client Router

gelöst Frage von IT-ProRouter & Routing11 Kommentare

Hallo, Habe gehört, dass es Router gibt, die man direkt als Client für ein VPN verwenden kann. Damit soll ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 4 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 5 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 7 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android27 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Windows Server
Windows-NAS zum sekundären DNS-Server machen?
Frage von DanielG1974Windows Server18 Kommentare

Moin. Wer so ein bissel meine Situation meiner Arbeitsstelle kennt Mein Chef hat immer noch keinen neuen ESXi-Server angeschafft. ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V14 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Telefonserver remote starten
Frage von imebroBatch & Shell12 Kommentare

Hallo, ich hatte ein ähnliches Problem schon einmal. Damals hatten sich jedoch die Gegebenheiten dann verändert, sodass sich das ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...