OpenVPN connect to router, maar niet naar lokaal netwerk

[cybermaus]

Ik heb net een Unifi Cloud Gateway Ultra aangeschaft, en ik denk dat alles wel redelijk lukt.
Behalve de OpenVPN.

Vanaf een ander netwerk door de cloud connect OpenVPN en ook kan ik de gateway zelf openen en pingen.
Maar de aparaten die erachter staan niet. Niet op het default network, niet op het overige corporate virtual network, en niet op het 3e gast netwerk. Ok, die laaste is verwacht.

Ik heb het met een extra firewall route geprobeerd, maar het lukt niet. Zowel port 80 als ping werken niet.
Ik zie ook helemaal geen au-gegenereerde rules for VPN en/of 192.168.4.x

Enige suggesties?

 

[Eddie the Eagle]

Ik gebruik Wireguard en daar wordt inderdaad een auto-generated firewall regel voor gemaakt. Ik ben niet zeker of dat voor OpenVPN ook het geval is maar dat lijkt me wel. Verder zou ik voor de test alle handmatige firewall regels pauzeren.

 

[cybermaus]

Well, ik heb het probleem gevonden. Was ikzelf natuurlijk:

In mijn netwerk mock-up had ik een oude OpenWRT AP even 3 (hardcoded) interfaces gegeven, een op elke VLAN. Dit werkte om te testen, en kon middels SSH ook terugtesten. Maar ik was vergeten om een gateway te geven. Tja, dan kunnen ze natuurlijk niet terugpraten naar een client aan de andere kant van een gerouteerde externe VPN. Ik had mezelf waarschijnlijk veel hoofdbreken voorkomen als ik die OpenWRT gewoon DHCP had gemaakt.


Wel blijft nog een dingetje over:

De VPN werkt nu, naar alle intern netwerken, behalve één.
Dat netwerk is voor untrusted IoT devices, en mag niet het internet op, en ook niet naar de andere netwerken.
Gewoon gedaan door in het netwerk internet uit te zetten, en ook isolated aan te zetten (maar geen Guest, ze mogen wel met elkaar praten, Home Assistant heeft ook een interface op dit network.

Ik heb ook een firewall prikje gemaakt vanaf mijn hoofdnetwerk, maar alleen inkomend)
Het lukt mij niet om dezelfde doorgang te maken voor de VPN
Dus question:
- Hoe kan ik een rule maken om de VPN naar een isolated netwerk te laten gaan (alleen inkomend)

 

[Eddie the Eagle]

- Hoe kan ik een rule maken om de VPN naar een isolated netwerk te laten gaan (alleen inkomend)

Heel verhaal maar ik denk te lezen dat je bedoelt dat de VPN verbinding standaard naar alle mag VLAN`s mag. Dat klopt en heb ik zelf ook ervaren en lees ik ook zo op het UI forum dat het zo werkt. Ik heb er niet zo`n moeite mee maar ik lees op het UI forum dat je daarvoor firewall regels van rule type LAN OUT moet maken (ipv LAN IN) als je dit wilt inperken. Ik heb er zelf nog geen ervaring mee, moet ik nog eens mee testen.

 

[cybermaus]

Ik denk dat je het andersom las. Mijn vraag is niet hoe in te perken, dat ene VLAN is al gesloten.

Op mijn IoT VLAN (internet of things) is alles al ingeperkt. Niet naar internet, en niet naar de andere VLANS
Dat is gedaan met de netwerk vinkjes "isolated" en "internet"
En dat werkt.

Maar ik wil dat ik met mijn remote beheer VPN wel kan rondkijken op deze IoT VLAN
En dat lukt me niet.

 

[Eddie the Eagle]

Ik denk dat je het andersom las. Mijn vraag is niet hoe in te perken, dat ene VLAN is al gesloten.

Op mijn IoT VLAN (internet of things) is alles al ingeperkt. Niet naar internet, en niet naar de andere VLANS
Dat is gedaan met de netwerk vinkjes "isolated" en "internet"
En dat werkt.

Maar ik wil dat ik met mijn remote beheer VPN wel kan rondkijken op deze IoT VLAN
En dat lukt me niet.

Aah, ik snap het. Dat is inderdaad andersom. Mijn gok is dat je in dat geval ook een LAN OUT regel moet maken waarin je toestaat dat de IP range v/d VPN (192.168.4.0/24) toegang geeft tot het IoT netwerk. Die regel moet voor de anderen staan.

 

[Bolten88]

Ik heb inter vlan routing ook uitstaan. Maar wil wel dat ik van 1 netwerk naar alle andere netwerken kan. Dan moet je in jou geval vanuit het iot netwerk wel establishes en related verkeer naar buiten toestaan.

Ik heb dat zo gedaan: kan natuurlijk stricter, maar dit werkt voor mij.

 

[cybermaus]

Ja, dit (matched state) had ik ook vanuit het PriveNet VLAN naar het IoT-Devices VLAN, en dat werkt. Maar om een of andere reden werkt dezelfde regel niet vanaf de VPN IP adressen.

Daarnaast vind ik het erg jammer dat de VPN's net gewoon als netwerk geselecteerd kunnen worden zoals de andere VLAN. Ik moet blijkbaar een IP range definieren. Of misschien is dat verschil wel waarom het niet werkt.

 

[Bolten88]

Daarnaast vind ik het erg jammer dat de VPN's net gewoon als netwerk geselecteerd kunnen worden zoals de andere VLAN. Ik moet blijkbaar een IP range definieren. Of misschien is dat verschil wel waarom het niet werkt.

Dat klopt. Daar heb ik een IP group voor gemaakt en dat volstaat zolang je de IP range van je VPN netwerk niet veranderd. Verder weet ik het ook niet want gebruik zelf geen OpenVPN.

 

[cybermaus]

Het probleem is niet OpenVPN. Zowel OpenVPN as WireGuard routeren niet naar de isolated IoT-Devices VLAN (ik heb ze allebei geactiveerd)

 

[Bolten88]

Het probleem is niet OpenVPN. Zowel OpenVPN as WireGuard routeren niet naar de isolated IoT-Devices VLAN (ik heb ze allebei geactiveerd)

Dan zit het hem eerder in het feit dat je isolation aan hebt staan denk ik. Ik heb het alleen met firewall regels ingesteld, zonder de optie isolated. Maar, volgens mij maakt het vinkje 'isolated' ook gewoon een firewall regel aan. Je zal het denk ik daar ergens moeten zoeken.