OpenVPN: Routing bzw. Regelproblem

ThomasSWCS · Beitrag von **ThomasSWCS** » Mi 14.10.2020, 15:03

Hallo, ich habe von der Securepoint eine Client-Verbindung zu einem Openvpn-Server bei Ionos aufgebaut. Die bieten da eine Openvpn-Verbindung zum gemieteten Server an, ich schütze damit ssh und den Plesk-Port. Ich benutze das seit langen vom lokalen Rechner aus mittels der Openvpn Software. Da werden auch eine Reihe von Routings eingerichtet.

Nun habe ich die Verbindung in die Securepoint eingetragen und die notwendigen Zertifikate so konvertiert, dass die Securepoint die so annimmt. Die Verbindung ist auch erfolgreich, aber ich bekomme "natürlich" keine Verbindung von meinem Rechner aus. Da fehlen vermutlich noch Regeln, die sich mir aber nicht erschliessen -((. Die Routings werden in der Securepoint erzeugt, das kann man sehen.

Basierend auf der Road-Warrior Erläuterung habe ich ein Netzwerkobjekt - VPN Schnittstelle "Ionos" erzeugt mit [font="Helvetica Neue", Helvetica, Arial, sans-serif]10.4.1X8.0/24 und der Zone "vpn-ssl-ionos-client". Dann gibt es zwei Regeln internal network -> Ionos ANY und Ionos ->Internal network ANY. Dazu gibt es noch eine Regel "Internal network -> Ionos_server_ip ANY"[/font]

Aktuell steht das hier im Log

Ich hoffe, es kann jemand helfen -)

Gruß

Thomas

Beitrag von **Mario** » Mi 14.10.2020, 18:03

Es handelt sich bei der Verbindung, die sie bei der Securepoint hinterlegt haben, um eine Roadwarrior-Verbindung zu dem entsprechenden Server? Oder ist das eine S2S-Verbindung?

Die Schnittstelle vom VPN-Tunnel bekommt eine IP-Adresse zugewiesen. Wenn diese Verbindung steht, muss, wie sie bereits erwaehnten, ein Schnittstellenobjekt angelegt werden fuer diese IP-Adresse. Die Adresse, die der Firewall zugewiesen wird, sollte also immer die gleiche sein.

Dann folgende Regel:

Internes Netzwerk > S2S-Remotenetzwerk : Dienst |HIDENAT Tunneladresse

So werden ausgehende Verbindungen zur anderen Seite des Tunnels mit der IP-Adresse des Tunnelinterfaces maskiert und sollten so drueben ankommen, vorrausgesetzt es existiert eine Route fuer das Zielnetz.

Prinzipiell ist das jedoch so nicht vorgesehen. Normalerweise wird eine S2S-VPN-Verbindung fuer soetwas verwendet.

ThomasSWCS · Beitrag von **ThomasSWCS** » So 18.10.2020, 18:29

Danke für die Unterstützung. Ich habe es einrichten können, und zwar mit einer S2S Verbindung, bei der die UTM als Client fungiert. Einer meiner Fehler war, dass ich für die IP des IONOs Servers keine Route über das Interface, hier tun0, eingerichtet habe. Dann reduzierte sich das Ganze auf zwei Regeln

Eine internal network -> vpn network mit einer Dienstgruppe Plesk, die bei mir Port 22,80,443 und 8443 enthält.
Die andere Regel ist internal network -> server-Ip, HideNat exclude mit der Dienstgruppe Plesk.