Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Gelöst]Keine Verbindung zum WEBGui, sobald VPN Verbindung aufrecht

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann
      last edited by

      @Teddy:

      Jedoch komme ich, sobald die VPN Verbindung steht, Partout nicht auf die Weboberfläche von PFSense, dass auf einem XEN Server (HP Gen8, Intel 1000PT Quad Port) läuft.

      Von wo aus? Von außen, vom LAN?

      Poste mal deine Routing-Tabelle bei aufgebauter VPN. Diagnostic > Routes bzw. "netstat -r" in der Shell.
      Und verrate uns deine VPN IP.

      1 Reply Last reply Reply Quote 0
      • T
        Teddy
        last edited by

        Nabend,
        danke erstmal für deine Antwort. Vom LAN aus.

        Hier einmal das Routing1, mit PFSense parallel eingebunden (FritzBox mit unmanaged switch), PFSense mit 2xLAN Kabel an LAN (Port1) und WAN (Port2) an Switch angeschlossen, Oberfläche erreichbar. VPN lt. Traceroute Tool auf Weboberfläche verbunden.

        Und Routing2 mit PFSense seriell eingebunden (Kabelmodem -> WAN PFSense -> VPN -> LAN PFSense -> FritzBox Port1 zur DHCP Adressvergabe für internes Netzwerk), Oberfläche nicht erreichbar. VPN allerdings verbunden, Verkehr wird auch über opt1 geleitet. (Genau so soll es auch später laufen, mit dem Zusatz des erreichbaren WebGui :D)

        Bei beiden versuchen wurde (versucht) die Weboberfläche über die LAN IP zu erreichen. (…178.55).
        VPN IP in diesem Fall: 194.187.249.46

        Routing1.png
        Routing1.png_thumb
        Routing2.PNG
        Routing2.PNG_thumb

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by

          Da zeigt die Default Route auf die VPN Verbindung. D.h. es werden auch alle Antworten in diese Richtung geschickt.

          Liegt offenbar an der VPN Konfiguration. Vermutlich bekommst du die Route vom VPN Server.
          Nimm aus der Client Advanced Konfig "pull" raus und richte für die Interfaces, die über VPN gehen sollen, Policy based Routing ein, falls das noch nicht getan ist.

          1 Reply Last reply Reply Quote 0
          • T
            Teddy
            last edited by

            Ich stehe ein wenig auf dem Schlauch.  :D

            Unter OpenVPN Client -> Cyberghost habe ich nun mal bei "don't pull routes" den Haken gesetzt.
            Policy based routing, unter Firewall -> NAT?

            Sämtlicher Traffic ist vom LAN Port ausgehend (da dort die FritzBox natürlich dranhängt).
            In der Firewall ist daher derzeit folgende Regel aktiv:
            Source: LAN Net
            Destination: Any
            Gateway: opt1 (Cyberghost)

            Für opt1 (Cyberghost):
            Source: Any
            Destination: Any
            Gateway: Default

            Ich bräuchte doch nur eine Regel, die Anfragen an die IP der Firewall (…178.55:444) direkt auch an diese weiterleitet und nicht über VPN schicken will oder?

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Das kommt darauf an, von wo aus der Zugriff nicht klappt. Womit wir wieder bei meiner ersten Frage wären.

              In der VPN Client Konfig steht in den Advanced Settings kein "pull"?.

              Den VPN Client musst du natürlich auch neu starten, nachdem du Konfig-Änderungen durchgeführt hast.

              Die Firewall Regel für LAN ist okay. Mit dem OpenVPN Client als Gateway ist keine Default-Route vom VPN Server nötig.
              Die Regeln müssen nur so angeordnet sein, dass ein Zugriff auf das pfSense Interface weiterhin möglich ist.
              Normalerweise hast du als erste Regel am LAN die "Anti-Lockout Rule" (In System: Advanced: Admin Access > Anti-lockout Haken nicht gesetzt), die den Zugriff auf die GUI ermöglicht, also mit Ziel LAN-Adresse und Zielport 444 in deinem Fall.
              Wenn diese Regel gesetzt ist, sollte auch der Zugriff funktionieren, vom LAN aus.

              1 Reply Last reply Reply Quote 0
              • T
                Teddy
                last edited by

                Zugriff soll ausschließlich vom LAN möglich sein (sämtliche Geräte, außer Kabelmodem selbst) liegen im Adressbereich 192.168.178.xxx), ich hoffe das ist die benötigte Antwort auf die erste Frage!?

                Habe mittlerweile nach jeder Änderung an Firewall / OpenVPN die gesamte PFSense neu gestartet. :)

                Hier mal die Openvpn Client Config, wie von Cyberghost aus vorgegeben:

                auth-user-pass /conf/CYBERGHOST.pas
                resolv-retry infinite 
                redirect-gateway def1
                persist-key
                persist-tun
                cipher AES-256-CBC
                auth MD5
                keepalive 5 60
                ping-timer-rem
                explicit-exit-notify 2
                script-security 2
                remote-cert-tls server
                route-delay 5
                tun-mtu 1500
                fragment 1300
                mssfix
                verb 4
                comp-lzo
                

                ![LAN Rules.png](/public/imported_attachments/1/LAN Rules.png)
                ![LAN Rules.png_thumb](/public/imported_attachments/1/LAN Rules.png_thumb)
                ![Cyberghost (opt1) Rules.png](/public/imported_attachments/1/Cyberghost (opt1) Rules.png)
                ![Cyberghost (opt1) Rules.png_thumb](/public/imported_attachments/1/Cyberghost (opt1) Rules.png_thumb)

                1 Reply Last reply Reply Quote 0
                • V
                  viragomann
                  last edited by

                  Habe mir noch mal die Routingtabellen angesehen. Da ist einiges ziemlich strange.

                  Wenn du die VPN herstellst, wandert das LAN Netz 192.168.178/24 von xn1 nach xn0, was vermutlich WAN ist???
                  Und gleichzeitig die Default Route von 192.168.0.1 nach 192.168.178.1.
                  Auf dieses Problem kann ich mir im Augenblick keinen Reim machen.
                  Vielleicht was mit den Interface-Einstellungen nicht in Ordnung? Hast du auch die pfSense schon mal restartet?

                  Poste doch mal die Seite Status > Interfaces und das was die Konsole an Interface-Konfig. über dem Menü anzeigt.

                  1 Reply Last reply Reply Quote 0
                  • T
                    Teddy
                    last edited by

                    Nabend,
                    anbei mal die Interface Einstellungen vor dem Neu-Aufsetzen.
                    Habe PFSense nochmal platt gemacht, neu aufgesetzt, scheinbar irgendetwas anders gemacht und bis jetzt läuft alles wie gewünscht.
                    Werde heute Abend nochmal näher auf die Einstellungen eingehen, bin sicherlich nicht der einzige, der PFSense mit Cyberghost füttert.  ;)

                    Bin jetzt auch in anderen Subnets unterwegs:
                    Kabelmodem: 192.168.0.xxx
                    PFSense: 192.168.1.xxx
                    FritzBox: 192.168.178.xxx

                    WAN.png
                    WAN.png_thumb
                    LAN.png
                    LAN.png_thumb
                    ![Status VPN.png](/public/imported_attachments/1/Status VPN.png)
                    ![Status VPN.png_thumb](/public/imported_attachments/1/Status VPN.png_thumb)

                    1 Reply Last reply Reply Quote 0
                    • T
                      Teddy
                      last edited by

                      Nabend,
                      wie versprochen hier nochmal meine jetzt funktionierende Konfiguration der jeweiligen Punkte:

                      System -> Cert Manager:
                      Nichts besonderes, alles aus den jeweiligen Dateien vom Anbieter einfügen (CA, CERT, KEY Files).

                      System -> Routing Gateway:
                      Standardeinstellungen belassen

                      Erstelltes Opt1 Interface:
                      IPv4 / IPv6: jeweils NONE
                      KEIN Haken bei Bogon / Block private Networks

                      Firewall NAT Outbound:
                      Regeln UNTEN anstellen (!)

                      1. Regel (WAN Bound):
                      Interface: WAN
                      Protocol: Any
                      Source: Network: (bei mir: 192.168.1.0, also Subnet vom PFSense)
                      Port: Leer
                      Destination: any

                      2. Regel (VPN Bound):
                      Interface: OPT1 (erstelltes VPN Interface)
                      Protocol: Any
                      Source: Network (bei mir wieder 192.168.1.0, also Subnet vom PFSense)
                      Port: Leer lassen
                      Destination: Any

                      3. Regel (LAN):
                      Action: Pass
                      Interface: LAN
                      Protocol: Any
                      Source: Any
                      Destination: LAN Net (HAKEN SETZEN bei "not")
                      Unter Advanced: Gateway = Cyberghost (OPT, VPN Interface, wie ihr es auch genannt habt)

                      Und natürlich auf der Haupseite der NAT Regeln auswählen:
                      Manual Outbound NAT rule generation
                      (AON - Advanced Outbound NAT)

                      Firewall -> Rules -> WAN:
                      Cyberghost Fallback erstellt
                      Interface: WAN
                      Type: TCP/UDP
                      Source: Any
                      Destination: Any
                      Destination port Range: 9081 (Cyberghost Ports)

                      OpenVPN Cyberghost Settings:
                      Daten oben sollten klar sein (TCP/UDP, Serveradresse, Port  9081 etc.)
                      Entsprechende Encryption Algorythmen auswählen (AES256CBC), SHA1(160Bit)
                      Compression: Enabled without adaptive compression
                      Ansonsten KEIN Haken auf dieser Seite gesetzt

                      Feld Advanced:

                      auth-user-pass /conf/CYBERGHOST.pas
                      resolv-retry infinite
                      redirect-gateway def1
                      persist-key
                      persist-tun
                      cipher AES-256-CBC
                      auth MD5
                      keepalive 5 60
                      ping-timer-rem
                      explicit-exit-notify 2
                      script-security 2
                      remote-cert-tls server
                      route-delay 5
                      tun-mtu 1500
                      fragment 1300
                      mssfix
                      verb 4
                      comp-lzo

                      Das Routing sieht mittlerweile auch ein wenig anders aus, aber es läuft erstmal.
                      Muss mich hier mal reinfuchsen, wie ich es hinbekomme, dass kein Traffic mehr bei Verbindungsabbruch erfolgt und stattdessen erstmal die VPN Verbindung von alleine neu aufgebaut wird.

                      Danke an eure Mithilfe, reproduzierbar war das ganze bisher nicht, weshalb ich auch gerade nicht direkt wüsste, wo der Fehler zu Anfang lag!
                      Denke mal bei irgendeiner Firewall-Regel!  :(

                      1 Reply Last reply Reply Quote 0
                      • V
                        viragomann
                        last edited by

                        Toll, dass es nun läuft. Ein Neustart war vielleicht eh der schnellste Weg.

                        @Teddy:

                        Das Routing sieht mittlerweile auch ein wenig anders aus, aber es läuft erstmal.
                        Muss mich hier mal reinfuchsen, wie ich es hinbekomme, dass kein Traffic mehr bei Verbindungsabbruch erfolgt und stattdessen erstmal die VPN Verbindung von alleine neu aufgebaut wird.

                        Wie man das fixiert, wird hier erklärt:
                        https://forum.pfsense.org/index.php?topic=76015.msg494089#msg494089

                        Ist doch ein nettes Forum.  :)

                        Grüße

                        1 Reply Last reply Reply Quote 0
                        • M
                          Marvho
                          last edited by

                          Derelict hat dieses Tutorial diesbezüglich verfasst. Kann bestimmt dem ein oder anderen helfen. https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.