Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Das schwierige Thema VPN!
Post Reply
Yerophiz
Posts: 3
Joined: October 29th, 2016, 5:52 pm

Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Post by Yerophiz » October 29th, 2016, 6:14 pm

Hallo,

ich verbinde mich per OpenVPN zu meinem Heimnetz (Site a), welches wiederum per IPSec mit einem zweiten Netz (Site b) verbunden ist (Net to Net).

Ich möchte über den OpenVPN Tunnel auf Site b zugreifen:
Roadwarrior/Smartphone OpenVPN (10.128.216.0/24) -> Site a (10.0.0.0/24) -> IPSec -> Site b (10.0.1.0/24)


Ich habe für OpenVPN das Pushen für Site b eingestellt:
openvpn.png

Ich habe auch schon ein paarThreads gelesen in denen geschrieben wird, dass man zusätzlich ein SourceNAT einstellen muss, und das auch versucht:
firewall_rule.png
Leider funktioniert das aber nicht :(


Was mache ich falsch?

Alorotom
Posts: 429
Joined: March 30th, 2015, 6:56 am

Re: Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Post by Alorotom » October 29th, 2016, 6:58 pm

Hallo Yerophiz,

einerseits ein entferntes Netz hinter dem Gateway anzugeben (Push-Route) und andererseits ein Source-NAT einzustellen, sollte nicht gleichzeigt erfolgen. Wenn eine Route in das entfernte Netz gesetzt ist, sollte das reichen.

Zwei Punkte, die mir dazu einfallen:
Ist die andere Seite von der Net-to-Net-Verbindung auch eine Fritz!Box?
Wenn ja, dann könnte es sein, dass Du an der jeweils lokalen Firewall im entfernten Netz hängen bleibst. Gibt einen Knowledgebase Artikel bei AVM zu der Thematik. Die Windows-Clients (1 sehen die Anfragen aus einem anderen Netz kommen und blockieren das. Insofern muss wechselseitig das entfernte Netz als vertrauenswürdig eingetragen werden. Ich hatte dieses Verhalten bis dato nur bei der Kopplung von Fritz!Boxen obwohl ich nicht erklären könnte, wieso es gerade mit diesen Geräten auftritt. Außerdem ist noch die Frage, auf was Du in Site b zugreifen willst 1). Drucker, Webserver, NAS, etc. sollten so gehen.
Der zweite Punkt bezieht sich auf eine Firewall-Regel auf der IPFire. Ggfs. müsste da noch eine Regel für die Route in das entfernte Netz gesetzt werden. Also sinngemäß ACCEPT OpenVPN > IPSec (10.128.216.0/24 > 10.0.1.0/24). Wenn es daran liegen sollte, müssten aber auch Einträge im Firewall-Log zu sehen sein.

Was liefert Dir ein tracert zu einem Gerät in Subnetz 10.0.1.0/24? Oder zumindest zur IP des entfernten Gateway?

Gruß
Alorotom
Image
Image

Yerophiz
Posts: 3
Joined: October 29th, 2016, 5:52 pm

Re: Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Post by Yerophiz » October 30th, 2016, 9:22 am

Danke für deine Hinweise!
Ja, die andere Seite (also die auf die ich will) ist eine FritzBox.

Ich bin auf eine Lösung mit SNAT gekommen

Ich habe bei diversen Ping und Traceroute Versuchen festgestellt, dass der ipfire standardmäßig alles schluckt:
ipsecblock.png
Da ich den Standard nicht manipulieren will, habe ich im CUSTOMFORWARD (was vorher zieht) ein ACCEPT hinzugefügt, was wohl leider nur über SSH geht:

iptables -t filter -A CUSTOMFORWARD -s 10.128.216.0/24 -d 10.0.1.0/24 -j ACCEPT
iptables -t filter -A CUSTOMFORWARD -s 10.128.216.0/24 -d 10.0.2.0/24 -j ACCEPT
customforwarding.png
customforwarding.png (11.7 KiB) Viewed 1044 times
Um die Einstellung auch nach einem Neustart zu haben, habe ich das File "/etc/sysconfig/firewall.local" erweitert:
firewall.local.png
Das Push Route habe ich in den OpenVPN Einstellungen rausgeworfen.
Auf Seite der FritzBox musste ich nichts ändern.

tomtom94
Posts: 8
Joined: July 24th, 2015, 9:29 am

Re: Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Post by tomtom94 » October 31st, 2016, 12:33 pm

Hi,

zunächst mal vielen Dank! Ich hatte genau das selbe Problem. Jetzt funzt alles zumindest in die eine Richtung.
Hast du die Rück-Route von Site b zurück zum OpenVPN-Client (via Site a) schon hinbekommen bzw. weiß eventuell jemand wie man das macht?

lg
Tom

Yerophiz
Posts: 3
Joined: October 29th, 2016, 5:52 pm

Re: Roadwarrior -> OpenVPN -> IPFire -> IPSec -> Fritzbox

Post by Yerophiz » October 31st, 2016, 5:40 pm

Da muss ich leider passen.
Ich gehe aber mal davon aus, dass man zunächst an Site b etwas rumschrauben muss, um die Pakete über den IPSec Tunnel zu schleusen.

Post Reply