OpenVPN Client zu IPSec Network Routing

Das schwierige Thema VPN!
Post Reply
silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

OpenVPN Client zu IPSec Network Routing

Post by silvio » February 7th, 2019, 5:20 pm

Hallo,

ich habe im Forum schon gesucht um die Routing Probleme zu lösen aber bisher leider ohne Erfolg.
Das Problem:
Wir haben ein IPFire Gateway welches eine Net2Net Verbindung zu einem IPSec Endpoint hat.
Die Verbindung aus aus dem internen Netz (Green) und dem verbundenen Netz zu Rechnern im internen Netz funktioniert ohne Probleme.
Weiterhin können Nutzer sich über OpenVPN ins interne Netz als Roadwarrior einloggen und dort auf alle Services zugreifen.

Was ich möchte:
Nutzer die sich über OpenVPN angemeldet haben sollen auch auf das per IPSec vebundene Netzwerk zugreifen können.
Dafür habe ich folgendes versucht.
1. in den Optionen der Clients habe ich bei "Client hat Zugriff auf diese Netzwerke auf IPFire-Seite" sowohl Green als auch die IPSec Verbindung zugelassen
Ergebnis: kein Zugriff möglich
2. bei den erweiterten Einstellung des OpenVPN Servers, habe ich für die Push Route eine Route vom OpenVPN Netzwerk zum verbunden Netzwerk eingetragen
Ergebnis: ich sehe im verbundenen Client eine Route mit dem IPFire Router als Gateway aber die Verbindung lässt sich trotzdem nicht aufbauen

Route des Clients:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default _gateway 0.0.0.0 UG 50 0 0 tun0
default fritz.box 0.0.0.0 UG 600 0 0 wlp3s0
10.234.16.0 _gateway 255.255.255.0 UG 50 0 0 tun0
10.251.150.0 _gateway 255.255.255.0 UG 50 0 0 tun0
10.251.150.1 _gateway 255.255.255.255 UGH 50 0 0 tun0
_gateway 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
xxxxxxxxx. fritz.box 255.255.255.255 UGH 600 0 0 wlp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp3s0
fritz.box 0.0.0.0 255.255.255.255 UH 600 0 0 wlp3s0
192.168.2.0 _gateway 255.255.255.0 UG 50 0 0 tun0

Wobei 192.168.1.0 mein Netzwerk, 10.251.150.0 das OpenVPN Netzwerk, 192.168.2.0 das Green Netzwerk und 10.234.16.0 das IPSec Netzwerk sind.

[abcd@linux ~]$ ping 10.234.16.37
PING 10.234.16.37 (10.234.16.37) 56(84) bytes of data.
From 10.251.150.1 icmp_seq=1 Destination Net Unreachable
From 10.251.150.1 icmp_seq=2 Destination Net Unreachable
From 10.251.150.1 icmp_seq=3 Destination Net Unreachable
[abcd@linux ~]$ traceroute 10.234.16.37
traceroute to 10.234.16.37 (10.234.16.37), 30 hops max, 60 byte packets
1 10.251.150.1 (10.251.150.1) 42.779 ms 133.694 ms 133.709 ms
2 10.251.150.1 (10.251.150.1) 133.691 ms !N 133.674 ms !N 133.651 ms !N
[abcd@linux ~]$ ssh -l root 10.234.16.37
ssh: connect to host 10.234.16.37 port 22: Network is unreachable

Verwunderlich ist für mich das ich auf dem Gateway kein Route zum IPsec Netzwerk sehe aber die Verbindung, wie oben beschrieben, aus dem internen Netz funktioniert.

Route des IPFire Gateways:
[root@ipfire ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default gateway 0.0.0.0 UG 0 0 0 red0
10.251.150.0 10.251.150.2 255.255.255.0 UG 0 0 0 tun0
10.251.150.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 red0
gateway * 255.255.255.255 UH 0 0 0 red0
192.168.2.0 * 255.255.255.0 U 0 0 0 green0

IPSec:
[root@ipfire ~]# ipsecctrl I
Security Associations (1 up, 0 connecting):
connEXT[44]: ESTABLISHED 4 hours ago, 192.168.1.2[192.168.1.2]...xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]
connEXT{77}: INSTALLED, TUNNEL, reqid 41, ESP in UDP SPIs: c162da33_i c2f15487_o
connEXT{77}: 192.168.2.0/24 === 10.234.16.0/24


Für Ideen und Lösungsvorschläge bin ich dankbar, ich komme nicht mehr weiter.

Silvio

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by fredym » February 8th, 2019, 7:30 am

Hallo,
man kann durch mehrere VPN routen;
Prüfe mal, indem du an einem Endpunkt (oVPN-Client?) anfängst per traceroute und schaust wo es klemmt.
(ping ist da nichssagend ... )

Fred

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by silvio » February 8th, 2019, 7:35 am

Hi Fred,

Danke für die Antwort.
In meinem Post ist unter dem Ping der Traceroute vom OVpn Client zum Zielsystem im IPSec Netzwerk. Bis zum IPFire Gateway komme ich und dann ist Schluss.

Silvio

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by fredym » February 8th, 2019, 4:32 pm

Hallo,
dann feht dort fggfs. eine Route !

1 - denke daran, mit welcher Quell-IP du sendest/routest
2 - sendest du UDP oder TCP ?

Fred

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by silvio » February 19th, 2019, 1:52 pm

Hi Fredym,

die Frage ist doch was ich für eine Route setzen muss bzw. wo.
Diese müsste ja dynamisch beim Auf bzw. Abbau der VPN Verbindung sowohl für OVPN als auch für die IPSec Verbindung aktiviert bzw. deaktiviert werden.
Dies war ja der Grund warum ich mich gewundert habe das die Konfiguration über den OVPN Server nicht funktioniert.
Die Frage wurde ja auch hier schon gestellt und scheinbar nicht beantwortet:
viewtopic.php?t=9556

Silvio

User avatar
SuperBigAl
Posts: 19
Joined: August 16th, 2017, 1:52 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by SuperBigAl » February 19th, 2019, 3:37 pm

Ich hatte genau das gleiche Problem und es so gelöst, dass ich an beiden Net2Net Punkten die IPFire Box mit OpenVPN Server ausgestattet habe. Nun kann ich mich also Roadwarrior über OpenVPN entwerder beim einen oder anderen Netz anmelden. Nicht die Eierlegendewollmilchsaulösung, aber für meinen Bedarf reichts und funktioniert problemlos.

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by fredym » February 19th, 2019, 5:20 pm

silvio wrote:
February 19th, 2019, 1:52 pm
Hi Fredym,

die Frage ist doch was ich für eine Route setzen muss bzw. wo.
Diese müsste ja dynamisch beim Auf bzw. Abbau der VPN Verbindung sowohl für OVPN als auch für die IPSec Verbindung aktiviert bzw. deaktiviert werden.
Dies war ja der Grund warum ich mich gewundert habe das die Konfiguration über den OVPN Server nicht funktioniert.
Die Frage wurde ja auch hier schon gestellt und scheinbar nicht beantwortet:
viewtopic.php?t=9556

Silvio
Ich habe das mit einem Shellscript gelöst, welches so im Minutentakt testet und ggfs die Routen (auf Verdacht) neu setzt.
Routen sind an das Vorhandensein des (VPN) devices gebunden, welches bei bei Verbindungsabbruch/restart usw, verschwindet .
Es kommt also ein Ping pro Minute (oder wie oft auch immer) als Last hinzu .

als Hinweis:

https://stackoverflow.com/questions/181 ... sh-scripts

Fred

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by silvio » February 20th, 2019, 9:45 am

Danke für die Info, geht leider bei mir nicht da am anderen Ende ein Kunde mit einer Cisco ASA sitzt ...

SuperBigAl wrote:
February 19th, 2019, 3:37 pm
Ich hatte genau das gleiche Problem und es so gelöst, dass ich an beiden Net2Net Punkten die IPFire Box mit OpenVPN Server ausgestattet habe. Nun kann ich mich also Roadwarrior über OpenVPN entwerder beim einen oder anderen Netz anmelden. Nicht die Eierlegendewollmilchsaulösung, aber für meinen Bedarf reichts und funktioniert problemlos.

silvio
Posts: 39
Joined: May 22nd, 2009, 12:07 pm

Re: OpenVPN Client zu IPSec Network Routing

Post by silvio » February 20th, 2019, 9:46 am

Ok, dann schaue ich mir da an.
Ich bin halt davon ausgegangen das dies über IPFire "direkt" möglich ist und irgendwann zweifelt man an sich selber ....

Danke

Silvio
fredym wrote:
February 19th, 2019, 5:20 pm
silvio wrote:
February 19th, 2019, 1:52 pm
Hi Fredym,

die Frage ist doch was ich für eine Route setzen muss bzw. wo.
Diese müsste ja dynamisch beim Auf bzw. Abbau der VPN Verbindung sowohl für OVPN als auch für die IPSec Verbindung aktiviert bzw. deaktiviert werden.
Dies war ja der Grund warum ich mich gewundert habe das die Konfiguration über den OVPN Server nicht funktioniert.
Die Frage wurde ja auch hier schon gestellt und scheinbar nicht beantwortet:
viewtopic.php?t=9556

Silvio
Ich habe das mit einem Shellscript gelöst, welches so im Minutentakt testet und ggfs die Routen (auf Verdacht) neu setzt.
Routen sind an das Vorhandensein des (VPN) devices gebunden, welches bei bei Verbindungsabbruch/restart usw, verschwindet .
Es kommt also ein Ping pro Minute (oder wie oft auch immer) als Last hinzu .

als Hinweis:

https://stackoverflow.com/questions/181 ... sh-scripts

Fred

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: OpenVPN Client zu IPSec Network Routing

Post by fow0ryl » September 10th, 2019, 9:26 pm

Hallo,

ich habe genau das von Silvio aufgezeigte Problem. Das Szenario, das er in seinem ersten Post beschreibt passt 100%.
Die Konfig's sehen natürlich etwas anders aus.

Was für eine Hard-/Software auf der remote IPSEC Seite eingesetzt wird kann ich nicht sagen. Da hält sich der Betreiber mit Info's vornehm zurück.

Gibt es denn nun eine Lösung mit der man den gewünschten Zugriff herstellen kann?
Hier wurde zwar von Scripten und der Einrichtung von Routen gesprochen. Aber wie genau müssen die aussehen?

Gruß
Henning

Post Reply