Pagina's: [1]

Auteur Topic: LAN niet bereikbaar OpenVPN tunnel met OpnSense  (gelezen 1870 keer)

Offline bitrip

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Gepost op: 31 maart 2019, 11:26:18 »
Hallo,

Ik zal de situatie even uitleggen.
Ik zelf zit achter een OPNSense router en gebruik als LAN reeks 192.168.2.0/24. Op deze OPNSense router draai ik ook OpenVPN sever.
De tunnel reeks is 192.168.6.0/24

De remote zijde is een Synology 1900AC met SRM 1.2.1. Deze heeft als LAN reeks 192.168.10.0/24.
Deze router verbind dus als CLIENT naar de OPNSense router en krijgt netjes 192.168.6.2 als IP (de .1 is OPNSense)
Hierna kan ik prima het LAN bereiken achter de OPNSense router (192.168.2.x dus) maar niet andersom!

Vanaf de OPNSense kan ik niet de Synology LAN (192.168.10.x) bereiken. Zelfs niet vanaf de OPNSense router.
De route tabel ziet er op beide zijde goed uit en ik zie het verkeer ook via de tunnel vertrekken maar het komt niet aan.
Firewall, zou je denken maar als ik dat op ALL allow zet dan nog niet.

Overigens kunnen de routers elkaar wel prima bereiken op het tunnel ip (192.168.6.x)

Hieronder de situatie in een schema:

Code: [Selecteer]
            Site A                      Site B
      192.168.2.0/24 ⁞                  ⁞ 192.168.10.0/24

       ┌──────────┐  ⁞                  ⁞  ┌──────────┐
       │ OPNsense •-----►( Internet )◄-----• Synology │
       │ (OpenVPN │  ⁞                  ⁞  │ router   │
       │  server) │                        └─•────────┘
       └────────•─┘  ⁞                  ⁞    |  192.168.10.1
   192.168.2.1  |                            | (192.168.6.2)
  (192.168.6.1) |    ⁞                  ⁞    |   
                |                            |
┌────────────┐  |    ⁞                  ⁞    |     
│ Station A1 •--┤                            |
└────────────┘  |    ⁞                  ⁞    | 
                |                            |  ┌────────────┐
┌────────────┐  |    ⁞                  ⁞    ├--• Station B1 │
│ Station A2 •--┤                            |  └────────────┘
└────────────┘  |    ⁞                  ⁞    |
                |                            |  ┌────────────┐
                |    ⁞                  ⁞    ├--• Station B2 │
                |                            |  └────────────┘
                |    ⁞   VPN network    ⁞    |
                ├~~~~~~~~~~~~~~~~~~~~~~~~~~~~┤
                     ⁞  192.168.6.0/24  ⁞   
                                       
                     ⁞                  ⁞
Iemand enig idee?

Alvast bedankt voor het meedenken!

BiTRiP

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 527
  • Berichten: 2.721
  • a.k.a. MMD
Re: LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Reactie #1 Gepost op: 31 maart 2019, 12:02:46 »
Geen ervaring met OPNSense maar OpenVPN werkt hetzelfde op elk platform.

Post eens het log van de OpenVPN server en client met --verb 4 (verbosity 4).
Gevoelige info als WAN IP en certificaten even maskeren.

Kun je vanaf de server de client op zijn tunnel IP (192.168.6.2) pingen?

Heeft OpenVPN server een --iroute voor het client LAN (192.168.10.0/24)?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline bitrip

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Reactie #2 Gepost op: 31 maart 2019, 13:56:06 »
Allereerst bedankt voor je snelle reactie.

Hierbij de log posten van het moment dat de tunnel connect. Uiteraard heb ik dingen daarin gemaskeerd.

Code: [Selecteer]
Mar 31 12:11:35 : MULTI: multi_create_instance called
Mar 31 12:11:35 : Re-using SSL/TLS context
Mar 31 12:11:35 : LZO compression initializing
Mar 31 12:11:35 : Control Channel MTU parms [ L:1624 D:1170 EF:80 EB:0 ET:0 EL:3 ]
Mar 31 12:11:35 : Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Mar 31 12:11:35 : Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1572,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA256,keysize 128,tls-auth,key-method 2,tls-server'
Mar 31 12:11:35 : Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1572,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA256,keysize 128,tls-auth,key-method 2,tls-client'
Mar 31 12:11:35 : TCP connection established with [AF_INET]<synology_ip>:<port>
Mar 31 12:11:35 : TCPv4_SERVER link local: (not bound)
Mar 31 12:11:35 : TCPv4_SERVER link remote: [AF_INET]<synology_ip>:<port>
Mar 31 12:11:36 : <synology_ip>:<port> TLS: Initial packet from [AF_INET]<synology_ip>:<port>, sid=c520669d c48ff6ee
Mar 31 12:11:36 : <synology_ip>:<port> VERIFY SCRIPT OK: depth=1, C=NL, ST=NH, L=<hidden>, O=<hidden>, emailAddress=<hidden>, CN=SSL-CA
Mar 31 12:11:36 : <synology_ip>:<port> VERIFY OK: depth=1, C=NL, ST=NH, L=<hidden>, O=<hidden>, emailAddress=<hidden>, CN=SSL-CA
Mar 31 12:11:36 : <synology_ip>:<port> VERIFY SCRIPT OK: depth=0, C=NL, ST=NH, L=<hidden>, O=<hidden>, emailAddress=<hidden>, CN=<hidden>
Mar 31 12:11:36 : <synology_ip>:<port> VERIFY OK: depth=0, C=NL, ST=NH, L=<hidden>, O=<hidden>, emailAddress=<hidden> CN=<hidden>
Mar 31 12:11:36 : <synology_ip>:<port> peer info: IV_VER=2.3.11
Mar 31 12:11:36 : <synology_ip>:<port> peer info: IV_PLAT=linux
Mar 31 12:11:36 : <synology_ip>:<port> peer info: IV_PROTO=2
Mar 31 12:11:36 : <synology_ip>:<port> Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Mar 31 12:11:36 : <synology_ip>:<port> Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Mar 31 12:11:36 : <synology_ip>:<port> Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Mar 31 12:11:36 : <synology_ip>:<port> Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Mar 31 12:11:36 : <synology_ip>:<port> Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mar 31 12:11:36 : <synology_ip>:<port> [vpnuser] Peer Connection Initiated with [AF_INET]<synology_ip>:<port>
Mar 31 12:11:36 : <synology_ip>:<port> MULTI_sva: pool returned IPv4=192.168.6.2, IPv6=(Not enabled)
Mar 31 12:11:36 : <synology_ip>:<port> MULTI: problem deleting temporary file: /tmp/openvpn_cc_1e89c0500842cfef36b119c64ee6184d.tmp
Mar 31 12:11:36 : <synology_ip>:<port> MULTI: Learn: 192.168.6.2 -> <synology_ip>:<port>
Mar 31 12:11:36 : <synology_ip>:<port> MULTI: primary virtual IP for <synology_ip>:<port>: 192.168.6.2
Mar 31 12:11:38 : <synology_ip>:<port> PUSH: Received control message: 'PUSH_REQUEST'
Mar 31 12:11:38 : <synology_ip>:<port> SENT CONTROL [vpnuser]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,route-gateway 192.168.6.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.6.2 255.255.255.0,peer-id 0' (status=1)
Ik kan inderdaad van de server de client pingen op 192.168.6.2 maar niet op 192.168.10.1 (LAN IP van de SRM)

Een iroute staat er niet specifiek in. Welke iroute regel zou daar in moeten dan? Hieronder de server.conf:

Code: [Selecteer]
dev ovpns3
verb 4
dev-type tun
tun-ipv6
dev-node /dev/tun3
writepid /var/run/openvpn_server3.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-128-CBC
auth SHA256
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local <my-public-ip>
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server3"
tls-server
server 192.168.6.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/3
ifconfig 192.168.6.1 192.168.6.2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'SSLVPN' 1"
lport 1194
management /var/etc/openvpn/server3.sock unix
push "route 192.168.2.0 255.255.255.0"
route 192.168.10.0 255.255.255.0
ca /var/etc/openvpn/server3.ca
cert /var/etc/openvpn/server3.cert
key /var/etc/openvpn/server3.key
dh /usr/local/etc/dh-parameters.2048.sample
tls-auth /var/etc/openvpn/server3.tls-auth 0
comp-lzo adaptive
topology subnet

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 527
  • Berichten: 2.721
  • a.k.a. MMD
Re: LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Reactie #3 Gepost op: 31 maart 2019, 15:10:47 »
Je zult waarschijnlijk aan de server zijde in de configuratie ergens "Remote networks" of iets dergelijks in moeten geven.
Dat is dan het LAN netwerk aan de client zijde, de --iroute voor deze client dus.
Kan ook zijn dat dit tijdens export van de client config aangegeven moet worden, ken OpnSense niet...


--iroute is OpenVPN's interne route tabel.
Middels die tabel weet de OpenVPN server welk subnet zich achter welke client bevindt.

De "Remote networks" zou dan als
Code: [Selecteer]
iroute 192.168.10.0 255.255.255.0in een bestand met de naam van de router (gebruikersnaam/CommonName) moeten staan in deze map:
Code: [Selecteer]
/var/etc/openvpn-csc/3
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline bitrip

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 6
Re: LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Reactie #4 Gepost op: 31 maart 2019, 19:25:10 »

Dank MMD!  :thumbup:

Ik heb het eindelijk werkend dmv een "client specific override" te gebruiken op de CN naam en daar een "iroute 192.168.10.0 255.255.255.0" in te zetten.

Beide kant pingen nu  :P :clap:

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 527
  • Berichten: 2.721
  • a.k.a. MMD
Re: LAN niet bereikbaar OpenVPN tunnel met OpnSense
« Reactie #5 Gepost op: 31 maart 2019, 20:23:21 »
Das vooruitgang  :thumbup:
Test ook of alle andere dingen werken, ping zegt niet alles.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp
Pagina's: [1]
 

wat kan er niet met php/mysql?

Gestart door AnonymousBoard Web Station

 Reacties: 2
Gelezen: 7431 		Laatste bericht 10 april 2008, 21:14:21
door Anonymous
Map verwijderen op USB-schijf lukt niet

Gestart door AnonymousBoard Externe harddisks en Printers

 Reacties: 1
Gelezen: 6771 		Laatste bericht 28 augustus 2006, 10:55:33
door Bob
Fan 106e lawaaierig, slaat niet/nauwelijks af bij standby

Gestart door AnonymousBoard NAS hardware vragen

 Reacties: 9
Gelezen: 10753 		Laatste bericht 02 januari 2007, 12:21:44
door LeendertB
Norton Ghost and DS106j niet compatible?

Gestart door AnonymousBoard NAS hardware vragen

 Reacties: 2
Gelezen: 5873 		Laatste bericht 06 oktober 2006, 13:35:38
door Anonymous
Synology 106E komt niet uit standby [SOLVED]

Gestart door MichielBoard NAS hardware vragen

 Reacties: 2
Gelezen: 5098 		Laatste bericht 11 december 2006, 21:16:06
door Anonymous