ich versuche aktuell folgende Kombi zum Laufen zu bekommen:
Securepoint UTM (NFR) als Site-to-Site Client mit SSL-VPN zu einem Debian 10 Buster als OpenVPN-Server.
Grundsätzlich scheint die SSL-VPN-Verbindung i.O. zu sein, da sie erfolgreich aufgebaut wird und auch bestehen bleibt.
Netzwerk-Objekte und FIrewall-Regeln sind ebenfalls angelegt.
So weit wie ich es aktuell überschauen kann, stimmt irgendetwas mit dem Routing nicht,
denn ein Ping im Transfer-Netz zu beiden Enden (10.8.0.1 und 10.8.0.2) klappt sowohl auf der UTM als auch auf dem Debian.
Aber ein Ping ins andere Netz, z.B. auf 192.168.1.10, klappt nicht.
Laut tcpdump auf der UTM kommt nichts an.
tcpdump auf dem Debian gibt folgendes aus, wenn man versucht vom Debian aus die 192.168.1.10 zu pingen:
Code: Alles auswählen
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
09:52:18.467273 IP 10.8.0.1 > 192.168.1.10: ICMP echo request, id 906, seq 1, length 64
Code: Alles auswählen
root@firewall:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 * 255.255.255.0 U 0 0 0 tun2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
Code: Alles auswählen
root@debian:/home/user# /sbin/route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 enp0s3
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 enp0s3
192.168.1.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
Ferner hat die Debian-Maschine nur eine NIC und es gibt im Moment kein Netz dahinter.
Dennoch sollte ja der Ping zu 192.168.1.10 möglich sein.
Die Grundkonfiguration habe ich aus einer pfSense, die als OpenVPN-Server für diese UTM eingerichtet war, abgeschaut und mit dieser klappte alles inkl. Routing, Ping, etc..
Anbei die OpenVPN-Server-Konfig. des Debian:
Code: Alles auswählen
port 1195
proto udp
dev tun
tls-server
ca ca.crt
cert OpenVPN-Server.crt
key OpenVPN-Server.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
keepalive 10 120
cipher BF-CBC
comp-noadapt
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
auth SHA1
route 192.168.1.0 255.255.255.0
client-config-dir /etc/openvpn/csc
Code: Alles auswählen
push "route 192.168.2.0 255.255.255.0"
iroute 192.168.1.0 255.255.255.0
Code: Alles auswählen
24.06.2020 08:41:01openvpn-pfSense-clientPUSH: Received control message: 'PUSH_REPLY,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 60,route 192.168.2.0 255.255.255.0,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-128-GCM'24.06.2020 08:41:01openvpn-pfSense-client/sbin/ip route add 192.168.2.0/24 via 10.8.0.124.06.2020 09:33:04openvpn-pfSense-client/sbin/ip route del 192.168.2.0/24
Vielen Dank vorab schonmal.
Gruß
Andy