OpenVPN Tunnel zum externen Server
-
Hallo Markus,
ich würde nach der Verbindung erstmal die Routen ausgeben lassen, ob du denn die pfSense erreichen kannst. Also ob 192.168.178.254 überhaupt gepusht wurde. Ansonsten weiß dein Rechner bzw. der VPN Server wenig damit anzufangen. Wenn das passt, müsstest du auf der pfSense auf dem VPN Interface auch mal schauen, ob du dort überhaupt ankommenden Traffic (und Pings) erlaubst oder nicht :)
Grüße
Jens -
Hallo Jens,
wie komme ich an die Infos die du brauchst?
Danke, Markus
-
Zu den Routen:
Wenn das Laptop mit VPN verbunden ist, sollte unter Windows "route print" und unter Linux "ip r" weiterhelfen. Auf pfSense Seite solltest du bei den Filterregeln auf dem OpenVPN Tab mal nachsehen, ob da eingehend überhaupt was erlaubt wird :)
Grüße
-
Hallo,
unter Windows wenn ich mit dem OpenVpn Server verbunden bin:
$ route print =========================================================================== Schnittstellenliste 18...00 ff ad f3 e7 7a ......TAP-Windows Adapter V9 16...ac 72 89 bd 38 15 ......Microsoft Virtual WiFi Miniport Adapter #2 15...ac 72 89 bd 38 15 ......Microsoft Virtual WiFi Miniport Adapter 14...ac 72 89 bd 38 14 ......Intel(R) Centrino(R) Wireless-N 1030 13...00 26 2d ca 69 a3 ......Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20) 12...ac 72 89 bd 38 18 ......Bluetooth-Ger▒t (PAN) 21...08 00 27 00 5c f8 ......VirtualBox Host-Only Ethernet Adapter 1...........................Software Loopback Interface 1 31...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 32...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 29...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 30...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5 33...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6 28...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #7 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.101.1 192.168.101.12 20 10.8.0.0 255.255.255.0 10.8.0.9 10.8.0.10 30 10.8.0.8 255.255.255.252 Auf Verbindung 10.8.0.10 286 10.8.0.10 255.255.255.255 Auf Verbindung 10.8.0.10 286 10.8.0.11 255.255.255.255 Auf Verbindung 10.8.0.10 286 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276 192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276 192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276 192.168.101.0 255.255.255.0 Auf Verbindung 192.168.101.12 276 192.168.101.12 255.255.255.255 Auf Verbindung 192.168.101.12 276 192.168.101.255 255.255.255.255 Auf Verbindung 192.168.101.12 276 192.168.178.0 255.255.255.0 10.8.0.9 10.8.0.10 30 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.101.12 276 224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.10 286 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.101.12 276 255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.10 286 =========================================================================== St▒ndige Routen: Keine IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel Gateway 1 306 ::1/128 Auf Verbindung 21 276 fe80::/10 Auf Verbindung 21 276 fe80::/64 Auf Verbindung 21 276 fe80::1de:6816:ed7c:4167/128 Auf Verbindung 1 306 ff00::/8 Auf Verbindung 21 276 ff00::/8 Auf Verbindung =========================================================================== St▒ndige Routen: If Metrik Netzwerkziel Gateway 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung 0 4294967295 fe80::/10 Auf Verbindung ===========================================================================Hier wird die Route nach 192.168.178.0/24 richtig eingetragen so wie ich das sehe.
In der pfSense unter Firewall->Rules->OpenVPN habe ich folgenden Eintrag:
Proto: IPv4 *
Source: *
Port: *
Destination: *
Port: *
Gateway: *
Quene: *
Schedule: leerlg, markus
-
OK dann ein Schritt zurück: Kann denn dein OVPN Server überhaupt dich zu Hause (den pfSense Client) anpingen bzw. damit irgendwie reden?
-
Hallo.
also Ping vom Server zur pfSense geht:
root@openvpn ~ # ping 10.8.0.6 PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data. 64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=671 ms 64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=631 ms 64 bytes from 10.8.0.6: icmp_req=3 ttl=64 time=670 ms 64 bytes from 10.8.0.6: icmp_req=4 ttl=64 time=630 ms 64 bytes from 10.8.0.6: icmp_req=5 ttl=64 time=668 ms ^C --- 10.8.0.6 ping statistics --- 6 packets transmitted, 5 received, 16% packet loss, time 5003ms rtt min/avg/max/mdev = 630.256/654.340/671.513/19.367 msDanke, Markus
-
Gut, pfSense auf Server auch? (sollte)
Und wo ist 192.168.178.x? Hinter der pfSense in deinem LAN? -
Hallo,
Die pfSense mit bin auf 10.8.0.1 (openvpn server) geht auch.
Die 192.168.178.254 ist mein pfSense im Lan und die PC's sind auch im 192.168.178.0/24.
lg, markus
-
Hallo,
hier mal ein Update:
Der Tunnel von "Windows Client" und "pfSense Client" zum VPN Server steht.
Leider habe ich noch das Routing Problem.
Ein Zugriff durch den Tunnel auf die 192.168.178.0/24 funktioniert nicht.Anbei die aktuelle Config:
Server:
;local a.b.c.d port 443 proto tcp dev tun ca /etc/openvpn/easy-rsa2/keys/ca.crt cert /etc/openvpn/easy-rsa2/keys/openvpn.crt key /etc/openvpn/easy-rsa2/keys/openvpn.key dh /etc/openvpn/easy-rsa2/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt comp-lzo keepalive 10 120 user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 route 192.168.178.0 255.255.255.0 ;push "route 192.168.178.0 255.255.255.0" client-to-clientWindows Client:
client dev tun proto tcp remote SERVER_IP 443 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key ns-cert-type server comp-lzo verb 3 route 192.168.178.0 255.255.255.0und als Bild die Client Config der pfSense.
Danke,
Markus
-
Ich mag mich irren, aber in der Windows Client Konfiguration kommt mir die Route am Ende schräg vor.
route 192.168.178.0 255.255.255.0
Das erzeugt doch eine Route zum OVPN Server. Die muss aber auf die IP zeigen, die deine Home-pfSense beim einwählen auf dem VPN Server hat. Sonst kommt sie da ja nie an.
Was mich zudem wunderte schon im Screenshot: Warum ist das Gateway vom Windows Server nach der Einwahl .9 und der Client .10? Wie sieht es bei der pfSense aus? Das sieht nämlich so aus, als würdest du kleine Mini-Subnetze im 10.8.0er Netz pro Einwahl aufmachen. Es sollte aber m.W. auch anders gehen, dass der Server EIN Gateway stellt (10.8.0.1/2) und jeder Client dann aufsteigende IPs hat (.3, .4, .5) aber das gleiche Gateway. Dann sollten die sich auch gegenseitig sehen können.
Grüße
