opnsense + mikrotik nat/fw

Splitter · 20 sep 2018, 23:42

Waarschijnlijk zal het niet zo heel moeilijk zijn maar ik zie even de logica niet:

- ik heb thuis een opnsense firewall, die heeft een openvpn verbinding naar een mikrotik.
de vpn verbinding is *niet* de default route (is ook NIET de bedoeling)

nu wil ik 1 apparaat dat op het interne lan, achter de opnsense zit, over die vpn verbinding sturen,
en wat in de mikrotik aankomt van extern verkeer terug naar dat interne apparaat op mijn lan.
simpel gezegd wil ik gewoon voor 1 specifiek toestel in mijn lan het externe ip van de mikrotik gebruiken.

maar ik kom er dus even niet uit, en hulp zou dus wel geapprecieerd worden

Ken · 20 sep 2018, 23:49

https://forum.mikrotik.com/viewtopic.php?t=122979

&

https://forum.mikrotik.com/viewtopic.php?f=2&t=122523

Splitter · 21 sep 2018, 23:24

langs de kant van de mikrotik had ik het (afaik) al in orde: ik kan heen en terug pingen op het ingestelde ip en kom waar ik zijn moet...
het probleem is dat als ik met het toestel naar buiten surf, ik nog steeds het IP van mijn vdsl verbinding krijg en niet het externe ip van de vpn.

ik heb thans in de opnsense een regel ingesteld dat alles van dat ip via de vpn zou moeten gaan, dus ik ben even niet mee waarom hij dat dan niet lijkt te doen.

blaatpraat · 21 sep 2018, 23:31

Doe eens een traceroute vanaf dat toestel naar buiten, en zie of hij op 1 of andere manier de mikrotik passeert.
Indien niet: bekijk je route tabel, inclusief metrics, op je opnsense toestel, en zie waarom hij een andere (de default) route voorrang geeft op de vpn-route.

Splitter · 22 sep 2018, 21:03

de enige manier waarop ik het aan de praat krijg is de default GW instellen op de openvpn verbinding, zodat alle verkeer over die verbinding loopt.
via de FW rules (in opnsense) lijkt er geen beginnen aan, het verkeer blijft over de default GW in plaats van de ingestelde GW gaan.

22 sep 2018, 21:08

Kan je dat niet makkelijker oplossen door dat device naar een andere GW te sturen die dan forward via de VPN?

blaatpraat · 22 sep 2018, 21:11

Dan lijkt mij dat de source van je routing niet goed ingesteld staat.
Kun je eens zien naar je policy based routes?

https://www.netgate.com/docs/pfsense/ro ... uting.html

Splitter · 22 sep 2018, 22:27

ITnetadmin schreef:Kan je dat niet makkelijker oplossen door dat device naar een andere GW te sturen die dan forward via de VPN?

dat zou niet flexibel genoeg zijn naar de toekomst toe, omdat ik echt op device-basis wil gaan kijken welk toestel langs welke GW moet,
ongeacht de vlan waarop dat toestel zich zou bevinden. (i know, mostly useless, maar wel een leuke leerervaring)

blaatpraat schreef:Dan lijkt mij dat de source van je routing niet goed ingesteld staat.
Kun je eens zien naar je policy based routes?

ik heb ondertussen de struikelblokken gevonden:
- de interface waarop de vpn verbinding actief moet komen, moest ook nog fixed datzelfde ip hebben ingesteld
- de firewall rule moest ook nog een bijkomende definitie hebben om het verkeer naar de lokale dns niet erover te sturen (destination != 10.x)

feitelijk is nu enkel maar stap 1 rond, en dat is het verkeer van een specifiek device (via een alias op de dhcp hostname) over een specifieke GW sturen.
stap 2 is nu om specifieke poorten van de andere kant van de tunnel (dus op de mikrotik) te forwarden naar bepaalde poorten op die devices.