Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN scheitert an Portweiterlietung 1194

    Deutsch
    2
    8
    742
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Alcamar
      last edited by Alcamar

      Hallo,
      ich habe OpenVPN eingerichtet und den Port 1194 (UDP) von der Fritzbox auf die pfsense (interne WAN-Adresse der FB) weitergeleitet.
      Ich habe auch eine WAN und OpenVPN Regel erstellt und auch ein NAT ist vorhanden.
      Der OpenVPN-Client wartet und bekommt keine Rückmeldung. Auf der Fehlersuche habe ich mit "Diagnostics Port" getestet. Dort ist die Rückmeldung Connection failed.
      Da ich an der Fritz bereits die Port 443 und 80 erfolgreich an die pfsense weiterleiten konnte, gehe ich davon aus, dass ich das auch mit dem Port 1194 richtig gemacht habe. Welcher Haken fehlt noch in der pfsense?

      Hier mein Regeln zu WAN:
      Bildschirm­foto 2023-02-27 um 18.05.04.png

      OpenVPN
      Bildschirm­foto 2023-02-27 um 18.15.21.png
      NAT
      Bildschirm­foto 2023-02-27 um 18.16.28.png

      V A 2 Replies Last reply Reply Quote 0
      • V
        viragomann @Alcamar
        last edited by

        @alcamar said in OpenVPN scheitert an Portweiterlietung 1194:

        Ich habe auch eine WAN und OpenVPN Regel erstellt und auch ein NAT ist vorhanden.

        Warum eine NAT Regel auf der pfSense?
        Lauscht der OpenVPN Server nicht direkt am WAN?

        Der OpenVPN-Client wartet und bekommt keine Rückmeldung. Auf der Fehlersuche habe ich mit "Diagnostics Port" getestet. Dort ist die Rückmeldung Connection failed.

        Das bekommst du bei UDP Ports auch, wenn sie offen sind. Der Test macht nur TCP.

        Da ich an der Fritz bereits die Port 443 und 80 erfolgreich an die pfsense weiterleiten konnte, gehe ich davon aus, dass ich das auch mit dem Port 1194 richtig gemacht habe.

        Hast du bei der Weiterleitung auch UDP eingestellt?

        Welcher Haken fehlt noch in der pfsense?

        Ich gehe erst mal davon aus, dass die pfSense die Pakete gar nicht bekommt, ansonsten sollte die WAN Regel zumindest ein paar Bytes unter States anzeigen.

        1 Reply Last reply Reply Quote 0
        • A
          Alcamar @Alcamar
          last edited by

          @alcamar

          @viragomann said in OpenVPN scheitert an Portweiterlietung 1194:

          Lauscht der OpenVPN Server nicht direkt am WAN?

          ja, aber ein gutgemeinter Vorschlag war, die NAT. Problem zwar nicht gelöst, aber auch nichts verschlimmert, hoffe ich

          @viragomann said in OpenVPN scheitert an Portweiterlietung 1194:

          Das bekommst du bei UDP Ports auch, wenn sie offen sind. Der Test macht nur TCP.

          stimmt undhalb habe ich die Portweiterleitung an der Fritz UDP gelassen. Mit TCP ging der Test :-)

          @viragomann said in OpenVPN scheitert an Portweiterlietung 1194:

          Ich gehe erst mal davon aus, dass die pfSense die Pakete gar nicht bekommt, ansonsten sollte die WAN Regel zumindest ein paar Bytes unter States anzeigen.

          Das denke ich auch. Aber was kann ich daraus schließen?

          1. UDP Weiterleitung von der Fritzbox geht nicht, aber TCP schon?
            oder
          2. Es muss noch auf der pfsense oder Fritzbox eingestellt werden, damit auch dieser Port durchgeht?
          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @Alcamar
            last edited by

            @alcamar said in OpenVPN scheitert an Portweiterlietung 1194:

            ja, aber ein gutgemeinter Vorschlag war, die NAT. Problem zwar nicht gelöst, aber auch nichts verschlimmert, hoffe ich

            Möglicherweise schon. Wenn der OpenVPN Server auf der WAN Adresse lauscht, die OpenVPN Pakete aber weitergeleitet werden, empfängt er sie nicht.

            Aber wie gesagt, erst mal kommt anscheinend nichts auf der WAN Adresse an.
            Überzeugen kannst du dich mittels Packet Capture.

            stimmt undhalb habe ich die Portweiterleitung an der Fritz UDP gelassen. Mit TCP ging der Test :-)

            Was mich auch wundert. Ist der Server auf UDP eingestellt?

            UDP Weiterleitung von der Fritzbox geht nicht, aber TCP schon?

            Wenn es die Option gibt, UDP weiterzuleiten, sollte es auch gehen. Grundsätzlich geht das auch. Von der FB habe ich allerdings keine Ahnung.
            Zur Not kannst du den VPN Server ja über TCP betreiben, ist aber nicht ganz optimal, was die Performance betrifft.

            A 1 Reply Last reply Reply Quote 0
            • jimpJ jimp moved this topic from OpenVPN on
            • A
              Alcamar @viragomann
              last edited by

              @viragomann said in OpenVPN scheitert an Portweiterlietung 1194:

              Was mich auch wundert. Ist der Server auf UDP eingestellt?

              wenn ich hier an der richtige Stelle schaue, ja.
              @viragomann Bildschirm­foto 2023-02-27 um 18.58.34.png

              Grundsätzlich ging bisher die Weiterleitung von UDP-Port, nur nicht an an die pfsense.

              Packet Capture bekommt schon Pakete:
              Bildschirm­foto 2023-02-27 um 19.03.37.png
              die IP 81..103 ist der Client, der OpenVPN versucht. Die 192..254 die interne WAN Adresse der pfsense.
              Wenn hinter der IP-Adresse der Port sein sollte, passt der natürlich gar nicht.

              A 1 Reply Last reply Reply Quote 0
              • A
                Alcamar @Alcamar
                last edited by

                @alcamar
                Sorry, bin noch immer ein Anfänger. Wenn ich den Port einschränke, dann liefert mit Packet bessere Ergebnisse:
                Bildschirm­foto 2023-02-27 um 19.09.30.png

                1 Reply Last reply Reply Quote 0
                • V
                  viragomann
                  last edited by

                  @alcamar
                  Das sieht schon besser aus. Ist aber jetzt eine andere Client-IP.

                  D.h. die Pakete kommen am WAN an.
                  Dann braucht es auch kein Port-Forwarding auf der pfSense, weil der Server eh auf WAN lauscht, wie der obige Screenshot zeigt.
                  Wenn du die wegnimmst, sollten die Pakete beim Server ankommen und sich was im OpenVPN Log (Status > System Logs) zeigen. Das würde vielleicht weiterhelfen.

                  A 1 Reply Last reply Reply Quote 0
                  • A
                    Alcamar @viragomann
                    last edited by

                    @viragomann so ist es! Die Portweiterleitung raus und schon geht es weiter. Wenn auch nun mit einer anderen Baustelle:
                    TLS Error: tls-crypt unwrapping failed from [AF_INET]80.187.99.111:27914
                    Da muss ich mich jetzt durchwühlen, aber Deine Analyse zum unnötigen NAT scheint das Problem gelöst zu haben. Die Verschlüsselung ist hoffentlich nun lösbar für mich.

                    V i e l e n Dank!

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.