jetzt dachte ich ich hätte den ganzen VPN-Kram endlich verstanden, hab erfolgreich einen Tunnel aufgebaut aber krieg keine Daten durch
Also: ich hab hier einen 1823er fürs lokale Netz der über VDSL einen VPN-Tunnel zu einem OpenBSD Server aufbaut (mit isakmpd) hinter dem einige Server stehen.
Lokal 192.168.0.0/24 --> 1823 --Internet--> OpenBSD --> Remote 10.0.0.0/8
Ich würde jetzt gerne aus dem lokalen Netz direkt auf die Server in diversen Subnetzen zugreifen können.
Den Tunnel hab ich aufgebaut bekommen, allerdings bin ich mir jetzt nicht ganz sicher was ich auf dem LANCOM bei den Routen bzw. Firewall Regeln eintragen muss.
Ich hab auf dem LANCOM diese Route eingetragen:
Erste blöde Frage: ist 10.0.0.3 dann quasi die Adresse des LANCOM im entfernten Netz? Das hab ich mir von einer anderen funktionierenden VPN-Verbindung (externer Client zum LANCOM) abgeguckt:
Da ist dann halt 192.168.0.248 die interne Adresse des Clients.
Die OpenBSD Maschine hat die interne Adresse 10.0.0.1.
Und so sieht die VPN-Verbindung aus, allerdings mit automatischer statt manueller Regelerzeugung:
So wird der Tunnel aufgebaut, ich sehe auf der OpenBSD Maschine auch entsprechende Routen:
In pf (OpenBSD Paketfilter) ist auch eingehender Traffic fürs VPN Interface pauschal freigegeben (outbound Policy ist eh allow): pass in quick on $fw_if_enc allEncap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
192.168.0/24 0 10/8 0 0 p5DCXXXXX.dip.t-dialin.net/esp/use/in
10/8 0 192.168.0/24 0 0 p5DCXXXXX.dip.t-dialin.net/esp/require/out
Allerdings kann ich z.B. 10.0.0.110 nicht anpingen (oder sonstwie darauf zugreifen). Nichtmal 10.0.0.1, also der Host selbst, funktioniert.
Ich habe dann auch probiert die automatische Regelerzeugung auszuschalten und folgende Regel selbst hinzuzufügen:
So komme ich zwar ins Internet und kann auch über das VPN auf die Server im entfernten Netz zugreifen (also scheine ich ja schonmal kein Problem mit den Firewallregeln auf der OpenBSD Seite zu haben), allerdings kann man dann nicht mehr aus dem Internet auf die Server zugreifen. Die Routen auf der OpenBSD Maschine sehen dann auch so aus:
Dass die Server so nicht mehr erreichbar sind wundert mich auch nicht weiter, aber wie mach ich das jetzt richtig? :\Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
default 0 10/8 0 0 p5DCXXXXX.dip.t-dialin.net/esp/use/in
10/8 0 default 0 0 p5DCXXXXX.dip.t-dialin.net/esp/require/out
Knackpunkt sind wohl meine Firewallregeln in pf, ohne die standardmäßige "blockier alles was reingeht" Regel funktionierts nämlich. Wahrscheinlich geht der Traffic zwar übers VPN rein und zu den Servern raus aber nicht zurück. Muss ich mich da wohl nochmal durchwursten.