Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN Tunnel zum externen Server

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 3 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Hallo Markus,

      ich würde nach der Verbindung erstmal die Routen ausgeben lassen, ob du denn die pfSense erreichen kannst. Also ob 192.168.178.254 überhaupt gepusht wurde. Ansonsten weiß dein Rechner bzw. der VPN Server wenig damit anzufangen. Wenn das passt, müsstest du auf der pfSense auf dem VPN Interface auch mal schauen, ob du dort überhaupt ankommenden Traffic (und Pings) erlaubst oder nicht :)

      Grüße
      Jens

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • L
        ljmarkus
        last edited by

        Hallo Jens,

        wie komme ich an die Infos die du brauchst?

        Danke, Markus

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Zu den Routen:

          Wenn das Laptop mit VPN verbunden ist, sollte unter Windows "route print" und unter Linux "ip r"  weiterhelfen. Auf pfSense Seite solltest du bei den Filterregeln auf dem OpenVPN Tab mal nachsehen, ob da eingehend überhaupt was erlaubt wird :)

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • L
            ljmarkus
            last edited by

            Hallo,

            unter Windows wenn ich mit dem OpenVpn Server verbunden bin:

            
            $ route print
            ===========================================================================
            Schnittstellenliste
             18...00 ff ad f3 e7 7a ......TAP-Windows Adapter V9
             16...ac 72 89 bd 38 15 ......Microsoft Virtual WiFi Miniport Adapter #2
             15...ac 72 89 bd 38 15 ......Microsoft Virtual WiFi Miniport Adapter
             14...ac 72 89 bd 38 14 ......Intel(R) Centrino(R) Wireless-N 1030
             13...00 26 2d ca 69 a3 ......Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
             12...ac 72 89 bd 38 18 ......Bluetooth-Ger▒t (PAN)
             21...08 00 27 00 5c f8 ......VirtualBox Host-Only Ethernet Adapter
              1...........................Software Loopback Interface 1
             31...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
             32...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
             29...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
             20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
             17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
             30...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
             33...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6
             28...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #7
            ===========================================================================
            
            IPv4-Routentabelle
            ===========================================================================
            Aktive Routen:
                 Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
                      0.0.0.0          0.0.0.0    192.168.101.1   192.168.101.12     20
                     10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     30
                     10.8.0.8  255.255.255.252   Auf Verbindung         10.8.0.10    286
                    10.8.0.10  255.255.255.255   Auf Verbindung         10.8.0.10    286
                    10.8.0.11  255.255.255.255   Auf Verbindung         10.8.0.10    286
                    127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
                    127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
              127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
                 192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276
                 192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276
               192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
                192.168.101.0    255.255.255.0   Auf Verbindung    192.168.101.12    276
               192.168.101.12  255.255.255.255   Auf Verbindung    192.168.101.12    276
              192.168.101.255  255.255.255.255   Auf Verbindung    192.168.101.12    276
                192.168.178.0    255.255.255.0         10.8.0.9        10.8.0.10     30
                    224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
                    224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276
                    224.0.0.0        240.0.0.0   Auf Verbindung    192.168.101.12    276
                    224.0.0.0        240.0.0.0   Auf Verbindung         10.8.0.10    286
              255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
              255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
              255.255.255.255  255.255.255.255   Auf Verbindung    192.168.101.12    276
              255.255.255.255  255.255.255.255   Auf Verbindung         10.8.0.10    286
            ===========================================================================
            St▒ndige Routen:
              Keine
            
            IPv6-Routentabelle
            ===========================================================================
            Aktive Routen:
             If Metrik Netzwerkziel             Gateway
              1    306 ::1/128                  Auf Verbindung
             21    276 fe80::/10                Auf Verbindung
             21    276 fe80::/64                Auf Verbindung
             21    276 fe80::1de:6816:ed7c:4167/128
                                                Auf Verbindung
              1    306 ff00::/8                 Auf Verbindung
             21    276 ff00::/8                 Auf Verbindung
            ===========================================================================
            St▒ndige Routen:
             If Metrik Netzwerkziel             Gateway
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
              0 4294967295 fe80::/10                Auf Verbindung
            ===========================================================================
            
            

            Hier wird die Route nach 192.168.178.0/24 richtig eingetragen so wie ich das sehe.

            In der pfSense unter Firewall->Rules->OpenVPN habe ich folgenden Eintrag:
            Proto: IPv4 *
            Source: *
            Port: *
            Destination: *
            Port: *
            Gateway: *
            Quene: *
            Schedule: leer

            lg, markus

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              OK dann ein Schritt zurück: Kann denn dein OVPN Server überhaupt dich zu Hause (den pfSense Client) anpingen bzw. damit irgendwie reden?

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • L
                ljmarkus
                last edited by

                Hallo.

                also Ping vom Server zur pfSense geht:

                
                root@openvpn ~ # ping 10.8.0.6
                PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
                64 bytes from 10.8.0.6: icmp_req=1 ttl=64 time=671 ms
                64 bytes from 10.8.0.6: icmp_req=2 ttl=64 time=631 ms
                64 bytes from 10.8.0.6: icmp_req=3 ttl=64 time=670 ms
                64 bytes from 10.8.0.6: icmp_req=4 ttl=64 time=630 ms
                64 bytes from 10.8.0.6: icmp_req=5 ttl=64 time=668 ms
                ^C
                --- 10.8.0.6 ping statistics ---
                6 packets transmitted, 5 received, 16% packet loss, time 5003ms
                rtt min/avg/max/mdev = 630.256/654.340/671.513/19.367 ms
                
                

                Danke, Markus

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Gut, pfSense auf Server auch?  (sollte)
                  Und wo ist 192.168.178.x? Hinter der pfSense in deinem LAN?

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • L
                    ljmarkus
                    last edited by

                    Hallo,

                    Die pfSense mit bin auf 10.8.0.1 (openvpn server) geht auch.

                    Die 192.168.178.254 ist mein pfSense im Lan und die PC's sind auch im 192.168.178.0/24.

                    lg, markus

                    1 Reply Last reply Reply Quote 0
                    • L
                      ljmarkus
                      last edited by

                      Hallo,

                      hier mal ein Update:

                      Der Tunnel von "Windows Client" und "pfSense Client" zum VPN Server steht.

                      Leider habe ich noch das Routing Problem.
                      Ein Zugriff durch den Tunnel auf die 192.168.178.0/24 funktioniert nicht.

                      Anbei die aktuelle Config:

                      Server:

                      
                      ;local a.b.c.d
                      
                      port 443
                      
                      proto tcp
                      
                      dev tun
                      
                      ca /etc/openvpn/easy-rsa2/keys/ca.crt
                      cert /etc/openvpn/easy-rsa2/keys/openvpn.crt
                      key /etc/openvpn/easy-rsa2/keys/openvpn.key
                      
                      dh /etc/openvpn/easy-rsa2/keys/dh1024.pem
                      
                      server 10.8.0.0 255.255.255.0
                      
                      ifconfig-pool-persist ipp.txt
                      
                      comp-lzo
                      
                      keepalive 10 120
                      
                      user nobody
                      group nogroup
                      
                      persist-key
                      persist-tun
                      
                      status openvpn-status.log
                      
                      verb 3
                      
                      route 192.168.178.0 255.255.255.0
                      
                      ;push "route 192.168.178.0 255.255.255.0"
                      client-to-client
                      
                      

                      Windows Client:

                      
                      client
                      
                      dev tun
                      
                      proto tcp
                      
                      remote SERVER_IP 443
                      
                      resolv-retry infinite
                      
                      nobind
                      
                      persist-key
                      persist-tun
                      
                      ca ca.crt
                      cert client1.crt
                      key client1.key
                      
                      ns-cert-type server
                      
                      comp-lzo
                      
                      verb 3
                      
                      route 192.168.178.0 255.255.255.0
                      
                      

                      und als Bild die Client Config der pfSense.

                      Danke,
                      Markus

                      pfsense_openvpnclient_settings_000.png
                      pfsense_openvpnclient_settings_000.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Ich mag mich irren, aber in der Windows Client Konfiguration kommt mir die Route am Ende schräg vor.

                        route 192.168.178.0 255.255.255.0

                        Das erzeugt doch eine Route zum OVPN Server. Die muss aber auf die IP zeigen, die deine Home-pfSense beim einwählen auf dem VPN Server hat. Sonst kommt sie da ja nie an.

                        Was mich zudem wunderte schon im Screenshot: Warum ist das Gateway vom Windows Server nach der Einwahl .9 und der Client .10? Wie sieht es bei der pfSense aus? Das sieht nämlich so aus, als würdest du kleine Mini-Subnetze im 10.8.0er Netz pro Einwahl aufmachen. Es sollte aber m.W. auch anders gehen, dass der Server EIN Gateway stellt (10.8.0.1/2) und jeder Client dann aufsteigende IPs hat (.3, .4, .5) aber das gleiche Gateway. Dann sollten die sich auch gegenseitig sehen können.

                        Grüße

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.