Ich habe ein OpenVPN-Problem mit meinem PFSense und mehreren OpenVPN-Servern. Die Situation ist folgende:
- Wir verfügen über zwei Standorte, einen Hauptstandort und eine Zweigstelle
- Es gibt einen OpenVPN Site-to-Site-Tunnel, der Hauptbüro und Filiale verbindet
- Wir haben mehrere Dienste, die regelmäßig zwischen Haupt- und Zweigstelle laufen, und wir müssen dafür sorgen, dass sie ungestört sind
- Wir haben mehrere Außendienstmitarbeiter, die sich in der Zentrale über ihren eigenen OpenVPN-Server in das PFSense einwählen.
- Die Art und Weise, wie die Außenstellen an das Internet angebunden sind, lässt es nicht zu, dort einen Server aufzustellen, daher ist der Server stets die Zentrale.
Der Hauptgrund für die beiden OpenVPN-Server ist, dass ich das Netzwerk für Außendienstmitarbeiter trennen möchte, wenn sie etwas tun, das gegen die Unternehmensrichtlinien verstößt (was von Zeit zu Zeit vorkommt), ohne dass es zu Störungen zwischen den Büros kommt. Und es gibt auch seltene Fälle, in denen wir auch die Verbindung zwischen den Büros trennen müssen, aber möchten, dass die Außendienstmitarbeiter weiterhin verbunden bleiben können.
Bis vor einiger Zeit funktionierte dieses Setup auch recht gut, doch in jüngster Zeit (vorher und jetzt, wo das Coronavirus grassiert) gab es für die Außendienstmitarbeiter keinen Grund mehr, sich direkt mit den Rechnern in der Zweigstelle zu verbinden.
Jetzt besteht Bedarf und ich kann PFSense nicht dazu bringen, zwischen den beiden OpenVPN-Servern zu routen. Die Straßenkämpfer holen ihre Mistgabeln raus und zünden Fackeln an.
Die Konfiguration des pfsnese-Setups sieht wie folgt aus
Hauptbüro:
- Netzwerk: 192.168.3.0/24
- Gateway: 192.168.3.1
OpenVPN-Server: 192.168.3.1
Site-2-Site zu Branch OpenVPN:
- Servermodus: Peer-to-Peer (gemeinsamer Schlüssel)
- UDP auf IPV4 / tun
- Tunnelnetzwerk: 10.11.12.0/24
- Tunnelnetzwerk-IP: 10.11.12.1
- Remote-Netzwerk: 192.168.77.0/24
Road Warrior-Einwahl zum Main:
- Servermodus: Remote-Zugriff (SSL/TLS + Benutzerauthentifizierung)
- UDP auf IPV4 / tun
- Tunnelnetzwerk: 10.0.42.0/24
- Tunnelnetzwerk-IP: 10.0.42.1
- Lokales Netzwerk: 192.168.3.0/24
Zweigstelle:
- Netzwerk: 192.168.77.0/24
- Gateway: 192.168.77.1
OpenVPN-Server: 192.168.77.1
Site-2-Site zu Branch OpenVPN:
- Servermodus: Peer-to-Peer (gemeinsamer Schlüssel)
- UDP auf IPV4 / tun
- Tunnelnetzwerk: 10.11.12.0/24
- Tunnelnetzwerk-IP: 10.11.12.2
- Remote-Netzwerk: 192.168.3.0/24
Ich habe im Grunde alles versucht, was ich finden konnte, darunter:
- Hinzufügen der Zweigstellen-IP und des Zweigstellen-Tunnelnetzwerks zum Dial-In-Netz und umgekehrt
- Pushen der Routen und Gateways über den OpenVPN-Befehl „push route“
- Versuch, eine Route zwischen den Tunnelnetzwerken über den OPENVPN-Befehl "route" einzurichten, aber pfsense hat sie alle abgelehnt
Von innerhalb des Zentralbüros kann ich durch die Tunnel immer einen Ping zum Endpunkt senden, von der Zweigstelle oder über eine DFÜ-Verbindung jedoch nie.
Im Moment schaue ich mir das gesamte Setup an und frage mich, was ich falsch mache.