Zwischen zwei VPN-Netzen routen über ein GATEWAY

[H8Ball]

Hallo zusammen, ich komme absolut nicht weiter. Ist bestimmt eine Denkblockade, ihr könnt mir da bestimmt weiterhelfen.

Folgendes:

Ich habe ein Netzwerk zusammengebaut aus:

OpnSense: verbindet zum Internet, und gibt intern per DHCP 192.168.111.0/24 Netz
OpenVPN Server: bietet derzeit zwei VPNs an 10.0.2.0/24 und 10.0.7.0/24, und macht redirect gateway.

Jetzt würde ich gerne erreichen dass jeglicher Netzwerkverkehr von 10.0.2.0 für 10.0.7.0 an die OpnSense geschickt wird, und nicht direkt im VPN Server geroutet wird.

Ich habe mich schon soweit in nftables eingearbeitet, dass ich die Kommunikation der beiden Netze unterbinden kann, aber es soll ja nicht gedropt, sondern weitergeleitet werden.

Ich habe auch mit verschiedenen Routing-Tabellen gearbeitet, führt auch immer zu gleichen Ergebnis.
Ich bin fest davon überzeugt dass nftables das kann was ich gerne hätte, aber ich habe keinen guten Tipp gefunden der mein Problem löst.

Ich weiß die Beschreibung ist ein wenig bescheiden, aber fragt gerne so viele Details wie ihr wissen möchtet.

Vielen Dank schon mal fürs Lesen.
Daniel

[hec_tech]

Ich verstehe irgendwie das Setup nicht so recht. Warum überhaupt ein eigener VPN Server? Lass den doch gleich auf da OpenSense laufen.

Du musst wahrscheinlich die Routen für die Tunnelnetze auf da OpenSense eintragen sonst wird das nicht so recht funktionieren.

[H8Ball]

Hallo, wenn es bei den beiden Netzen bleiben würde, würde ich es natürlich auf der Opnsense machen, aber das werden ganz schnell mehr Netze, und da lässt sich an dem Linux-Server mit einem Skript schneller und besser arbeiten.

Die routen umgebogen an OpnSense habe ich auch schon, geht auch in sofern dass die Pakete bei der Opnsense aufschlagen, aber wenn die sie dann an 10.0.X.X zustellen will, geht das ja auch nicht...

[mludwig]

Deine Absichten kann ich irgendwie auch nicht nachvollziehen:

Traffic von VPN1 zu VPN2 würde normalerweise direkt der VPN-GW verarbeiten/routen, wenn du hier eine Route einträgst, dass alles an VPN2 zuerst zu der OPNSense geht, macht die damit dann was genau? Und hinterher schickt sie es zurück an den VPN-GW?

Bei normalen Routing-Einträgen geht das Paket ja immer noch an VPN2, und die Route für das Netz zeigt ja auf die OpnSense, also spielen die beiden mit diesen Paketen Ping-Pong, bis die TTL abgelaufen ist.

Also brauchst du sowas wie Source-Based routing auf dem VPN-GW und NAT auf der OpnSense, was sehr unschön ist, oder ich habe - wie schon vermutet - noch nicht alles verstanden was du vorhast.

[H8Ball]

Das ganze Netz soll nachher von weniger Linux-lastigen Menschen bedient werden können, und da ist die OpnSense als Firewall um einiges leichter zu bedienen als IPTABLES oder NFTABLES.
Was man mir jetzt nahe getragen hat, ist mir mal die Network Namespaces anzuschauen, ich werde mich da durch probieren, und dann mal Rückmeldung geben.

[hec_tech]

Ist ja alles ok dann nimmt man eben OpenSense oder pfSense je nach Geschmacksrichtung.

Aber warum machst du dort nicht auch gleich OpenVPN. Dann kannst du das dort sinnvoll routen. Warum willst du OpenVPN nicht auf da OpenSense haben? Das macht einfach keinen Sinn.

Wenn du nicht hunderte OpenVPN User hast kann man das in ein paar Minuten migrieren.

[H8Ball]

Genau da ist ja das Problem, es werden nachher 100 Netze mit 100 Usern, und da ist mir das Geklicke im Webif der OpnSense einfach zu anstrengend ...

[hec_tech]

Dann mach es mit ansible

[H8Ball]

Ich schaue mir erst mal die Namespaces an