[geloest]OpenVPN Verbindungsaufbau

sYnCzZz

Hallo liebe Community.

Ich habe Probleme mit dem OpenVPN Service der pfSense 2.0(Release amd64).

Durch http://www.youtube.com/watch?v=odjviG-KDq8 dieses Video habe ich meine Firewall über den Wizard konfiguriert, ein Benutzer in der lokalen Datenbank erstellt und durch den Client Exporter alles auf dem Client-System installiert. Sowohl der OpenVPN-Client, als auch die Certs sind auf dem Client vorhanden.

Sobald nun auf dem Client das Programm ausgeführt wird und er sich mit dem Server verbinden will, kommt der "TLS Handshake error".
Port 1194 per UDP ist freigeschalten auf der Firewall und die OpenVPN-Regel, welche den Traffic innerhalb des VPN erlaubt auch.

Nach mehreren Tagen suche habe ich leider immer noch nichts gefunden.. deshalb frage ich nun hier im Forum.

OpenVPN Service läuft. Im Status von OpenVPN steht jedoch "[error] Management Daemon Unreachable".

Beim Client im Log steht (siehe Attachment).

Und im Log der Firewall unter OpenVPN steht das:

Oct 20 11:03:19 openvpn[30847]: Initialization Sequence Completed
Oct 20 11:03:19 openvpn[30847]: UDPv4 link remote: [undef]
Oct 20 11:03:19 openvpn[30847]: UDPv4 link local (bound): [undef]
Oct 20 11:03:19 openvpn[29721]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1542 172.24.241.193 172.24.241.194 init
Oct 20 11:03:19 openvpn[29721]: /sbin/ifconfig ovpns1 172.24.241.193 172.24.241.194 mtu 1500 netmask 255.255.255.255 up
Oct 20 11:03:19 openvpn[29721]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Oct 20 11:03:19 openvpn[29721]: TUN/TAP device /dev/tun1 opened
Oct 20 11:03:19 openvpn[29721]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
Oct 20 11:03:19 openvpn[29721]: Initializing OpenSSL support for engine 'cryptodev'
Oct 20 11:03:19 openvpn[29721]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Oct 20 11:03:19 openvpn[29721]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Oct 20 11:03:19 openvpn[30908]: SIGTERM[hard,] received, process exiting
Oct 20 11:03:19 openvpn[30908]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1542 172.24.241.193 172.24.241.194 init
Oct 20 11:03:19 openvpn[30908]: event_wait : Interrupted system call (code=4)

Weis leider auch nicht mehr weiter… is wirklich wichtig, ich brauch die Funktionalität für meine Bachelor Thesis!

Also schonmal vielen Dank im voraus :)

Kampfwurst

Hallo

Probier mal anstatt UDP TCP.

Nachtfalke

Benutzt du die final Version von pfsense ? Wenn nicht, dann update.
Poste bitte Screenshots von deiner OpenVPN Server webGUI config

In dem Video wird ein TLS Key im OpenVPN Server generiert (automatisch), dieser Key wird aber niemals im User Manager bei Key eingetragen. Meiner Meinung nach muss man das aber.

Editiere also mal deinen OpenVPN Server, kopiere den TLS key heraus und füge ihn beim User im UserManager ein. Geht es denn ohne User und ohne TLS key ?

sYnCzZz

Das Problem war leider ein anderes.
Ich habe gemerkt das im TCP-Dump auf Port 1194 ein Request-Paket reinkam, aber kein ACK oder ähnliches zurück an den Client ging.
Nach ein paar Stunden fehlersuche ist mir dann eine fatale Rule aufgefallen.
Diese routete alles was eigtl ins WAN mit OpenVPN rausgehen sollte wieder auf die interne IP.. konnte ja nicht gehen.. :)

Jetzt hab ich aber das Problem, dass der Client im VPN nur das "Tunnel Network" sieht.
Er soll aber Vollzugriff auf das gesamte Netzwerk bekommen.
Ist es möglich für andere Clients wiederum nur explizite IP-Adressen freizugeben?
Danke für eure Hilfe.

Nachtfalke

Du musst erstmal im OpenVPN Server eine route pushen, das heisst, der Server teilt den clients mit, welches subnetz diese ins VPN routen sollen.

Bsp. für die custom options:

push "route 192.168.10.0/24";
Dann leitet er pakete, die an das obige netz adressiert sind, über das OpenVPN weiter. Eine Firewall rule ist dann natürlich notwendig im openvpn tab, die den verkehr in dieses subnetz auch erlaubt.

Über client specific override kannst du OpenVPN clients spezielle IP adresse zuweisen. das geht etwas "um die ecke gedacht". Du musst ein tunnennetzwerk mit /30 einrichten, welches sich im subnetz des Tunnel-Netzwerks deines OpenVPN servers befindet. Dann bekommt der client immer dieses Subentz bzw. diese IP. Alles weitere steuerst du dann über die firewall.

sYnCzZz

Ich hab bei den Advanced Options die Route so eingetragen wie du es geschrieben hast.
Leider funktioniert es immer noch nicht.
Die Route auf dem Client (route print) zeigt aber diese an:

Netzwerkziel          Netzwerkmaske      Gateway                              Schnittstelle      Metrik
lokales Netzwerk      Maske stimmt        Tunneladresse der Firewall        openvpn            30

Was soweit eigtl ja korrekt wäre oder?
Ich glaube das Problem liegt daran, dass die Firewall nicht von dem VPN-Netz ins normale LAN routet.. Gibt es da noch irgendwelche Sondereinstellungen??

Nachtfalke

@sYnCzZz:

Ich hab bei den Advanced Options die Route so eingetragen wie du es geschrieben hast.
Leider funktioniert es immer noch nicht.
Die Route auf dem Client (route print) zeigt aber diese an:

Netzwerkziel           Netzwerkmaske      Gateway                               Schnittstelle       Metrik
lokales Netzwerk      Maske stimmt        Tunneladresse der Firewall        openvpn            30

Was soweit eigtl ja korrekt wäre oder?
Ich glaube das Problem liegt daran, dass die Firewall nicht von dem VPN-Netz ins normale LAN routet.. Gibt es da noch irgendwelche Sondereinstellungen??

Die Einstellung eicht bei mir und funktioniert wunderbar. Wenn der Client die Route hat, scheint es auch ok zu sein. Hast du die Firewall am OpenVPN Tab korrekt eingestellt ?

Du könntest ein tracert probieren um festzustellen, ab wo es hängt.
OpenVPN unter Windows 7 benötigt Admin-Rechte.

sYnCzZz

Hier mal was tcpdump ausspuckt, wenn ich den VPN-Traffic logge.
Problem ist weiterhin, ich bin im tunnel-netz aber habe keinen zugriff auf lan bzw wan…  :(

[2.0-RELEASE][root@pfsense.lan]/root(10): tcpdump -i ovpns1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes

13:56:20.307882 IP clientIP.58408 > frnk-mdr.dnscache.mediaways.net.domain: 40401+ A? notify2.dropbox.com. (37)
13:56:20.391152 IP frnk-mdr.dnscache.mediaways.net.domain > clientIP.58408: 40401 Refused [0q] 0/0/0 (12)
13:56:23.291866 IP clientIP.58408 > gtso-mdr.dnscache.mediaways.net.domain: 29676+ A? notify2.dropbox.com. (37)
13:56:23.391916 IP gtso-mdr.dnscache.mediaways.net.domain > clientIP.58408: 29676 Refused [0q] 0/0/0 (12)
13:56:24.124975 IP clientIP.51722 > gtso-mdr.dnscache.mediaways.net.domain: 11315+ A? www.wieistmeineip.de. (38)
13:56:24.183936 IP gtso-mdr.dnscache.mediaways.net.domain > clientIP.51722: 11315 Refused [0q] 0/0/0 (12)
13:56:32.268288 IP clientIP.58408 > gtso-mdr.dnscache.mediaways.net.domain: 29676+ A? notify2.dropbox.com. (37)
13:56:32.320945 IP gtso-mdr.dnscache.mediaways.net.domain > clientIP.58408: 29676 Refused [0q] 0/0/0 (12)
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel

sYnCzZz

Wenn ich die OpenVPN Firewall Rule logge, steht im Firewall-log:

pass Oct 28 16:08:05 ovpns1 vpn-client-ip    lan-server-ip   ICMP

also vom vpn-netz ins lokale netz funktionierts(request). Habe auch auf dem Zielsystem gedumpt und der Request kam an.

Aber der reply kommt einfach nicht wieder im vpn netz an..
Ich kann auch nicht vom lokalen Netz in das VPN-Netz pingen.

GELÖST

Ich habe das Tunnelnetzwerk als Subnetz im lokalen LAN Konfiguriert gehabt.
Jetzt habe ich zwei separate Netze eingestellt.
Also als Beispiel:
Lokales Netz: 192.168.0.1/24
Tunnel Netz: 10.0.8.0/24

Danke an alle für die Hilfe !
Vor allem danke ich Nachtfalke!!