Hilfe bei VPN Einrichtung
-
States zurückgesetzt: alles beim alten. Wenn ich den VPN-Client deaktiviere, dann habe ich die WAN IP nach außen.
-
Magst du mal deine Regeln und Outbound NAT per Screenshot zeigen?
-
So sieht's aus:
(Heimnetz [DHCP an] ist ein Bridge aus LAN+WLAN [DHCP bei beiden aus]) -
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Mit bridges kenne ich mich leider nicht aus und kann daher nicht viel zu den bridges sagen.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Hast du Regeln bei der Floating Sektion?
-
Die 192.77.1.100 ist dein PC womit du bei dem IP-test die VPN IP bekommst?
Ganz genau.
Was genau ist der Alias für VPN DE1 GW und VPN DE2 GW?
Unter dem jeweiligen Alias sind bestimmte Geräte festgelegt, welche über den einen oder anderen VPN Tunnel sollen. So kann ich auch immer wieder weitere Geräte unter Aliases hinzufügen oder entfernen, ohne dabei etwas an den Regeln zu verändern.
Hast du Regeln bei der Floating Sektion?
Nein, dort sind keine Regeln eingerichtet.
-
Hast du beim VPN Client den Haken "Don't pull Routes" drin? Das könnte es eventuell sein.
-
Sorry für die längere Abwesenheit, hatte aber keine Zeit zum Testen.
Tatsache, mit deiner Vermutung hattest du Recht, vielen Dank!
Ich hätte da mal noch eine Frage zu VPN, diesmal aber zum IPSec Protokoll. Wenn ich es richtig verstehe, bietet pfSense an dieser Stelle keine wirkliche Trennung zwischen Client und Server wie bei OpenVPN? Folglich kann man die pfSense als Client auch nicht so einfach mit einem Server verbinden (wie man es bspw. vom Smartphone kennt), aber es soll ja nicht unmöglich sein. Was genau braucht man also dafür? Habe irgendwie keine brauchbaren Anleitungen gefunden…
-
Da ich mich mit dem Thema IPSec in Bezug auf PfSense noch nicht befasst habe, kann ich leider nicht helfen.
Falls sich hier niemand melden sollte, würde ich im Englischen IPSec Bereich mal nachfragen. -
Ok, danke für den Tipp, werde ich dann machen, wenn meine wichtigsten To-Do's abgearbeitet sind.
Jetzt habe ich aber noch eine wichtige Frage zu den eingerichteten OpenVPN Tunneln: wie schützt man sich vor DNS Leaks bzw. macht der pfSense deutlich welche DNS Server von welchen Interfaces verwendet werden sollen? Ich dachte, man stellt es unter System => General Setup ein (dort eben den DNS Server und das entsprechende Gateway)? Aber das scheint nicht zu funktionieren, denn ein DNS Leaktest zeigt meine reale IP Adresse. Kann sein, dass noch irgendwo in den Einstellungen ein Haken gesetzt werden muss oder es evtl. in Kollision mit den zuvor getätigten Einstellungen geraten ist?
*edit: ok, hat sich erledigt.
-
Ich mache das mit unbound, einfach als outgoing Interface das VPN nutzen. Hat natürlich den Nachteil, dass wenn der tunnel down ist, kann kein PC mehr DNS auflösen. Das kann man aber mit dem Service Watchdog am besten verhindern.
-
Ich habe die DNS Server im DHCP Server Bereich festgelegt und es scheint alles problemlos zu funktionieren.
Ich bin gerade wieder einmal auf ein Problem gestoßen. Auf einem Mac brauche ich ab und zu für eine Anwendung eine IP aus dem Ausland. Daher dachte ich mir, ich richte mir mal einen OpenVPN Tunnel direkt auf dem Mac ein. Die Verbindung wird zwar aufgebaut, jedoch habe ich keinen Internetzugriff, muss ich dafür noch etwas in der Firewall freigeben?
Ich habe 3 unterschiedliche Fälle, die mich noch mehr verwirren…
1. Bei einem Tunnel wird der normale OpenVPN Port 1194 verwendet. Wenn ich diesen in der pfSense auf die private IP meines Mac's weiterleite, dann kann ich eine Internetverbindung aufbauen; sonst geht's nicht.
2. Bei einem anderen Tunnel wird ein anderer Port verwendet. Wenn ich diesen freigebe, dann habe ich trotzdem keine Internetverbindung.
3. Zum Ausprobieren habe ich auf dem iPhone die App OpenVPN installiert und dort genau die .ovpn Config aus Fall 2 eingerichtet => es funktioniert auf Anhieb, ohne irgendwelche Portfreigaben in der pfSense. Warum geht es also beim Mac nicht so einfach? -
Zu dem Mac:
Du brauchst bei OVPN keine Rules oder sonstiges einstellen. Habe selber keinen Mac, kann also nicht viel dazu sagen. Würde einfach mal die Standard Sachen nachgucken, funktioniert ein anderer (Kostenloser / Test) VPN? Bzw. funktioniert Ping, oder ist etwas an der Config eventuell falsch.
Zu 1. Wie genau leitest du den zum Mac weiter?
Zu 2. Also sind zwei Tunnel gleichzeitig (auf der PfSense?) am laufen. Wie gibst du diesen "frei"? Wechselst du das Gateway? Outbound-NAT Regel vorhanden?
Zu 3. Siehe Punkt 2 -> Outbound-NAT für diesen internen IP-Bereich eingerichtet? -
Ähm, irgendwie verstehe ich deine Fragen nicht bzw. mir kommt es so vor als ob du mich etwas missverstanden hast. Habe mich wohl nicht gut genug ausgedrückt, war schon spät…
Ich versuche es nochmal, aber etwas detaillierter. Mir geht es nur darum auf dem Mac ab und zu eine IP aus einem anderen Land zu haben. So Sachen wie Verschlüsselung oder allgemeine Sicherheit sind mir an der Stelle egal, da der Mac standardmäßig über den auf der pfSense eingerichteten VPN Tunnel läuft. An der Stelle habe ich also zwei kostenlose VPN Anbieter ausprobiert, welche die o.g. Aufgabe erfüllen sollten.
Ab hier läuft die Einrichtung nur auf dem Mac ab, hier hat pfSense nichts damit zu tun.
1. Beim ersten Anbieter läuft es über den Port 1194. Wenn ich diesen Port in der pfSense freigebe, dann hat mein Mac eine Internetverbindung über den aufgebauten Tunnel. Erfolgt keine Portfreigabe meinerseits, so kommt zwar der Aufbau des Tunnels zustande, Internet ist aber tot - ich kann keine Seite aufrufen.
2. Beim zweiten Anbieter läuft es über einen anderen Port und dann funktioniert die Portfreigabe auf der pfSense aus Punkt 1 (nur eben mit dem entsprechend geändertem Port) nicht mehr.
3. Etwas irritiert war ich als ich den Tunnel aus Punkt 2 (also demselben .ovpn config File) problemlos auf dem iPhone aufbauen und erfolgreich nutzen konnte, ohne dabei irgendwelche Freigaben auf der pfSense einzurichten.Aus diesem Grund habe ich gefragt was nun richtig ist - muss ich auf der pfSense überhaupt etwas einrichten, damit die Geräte (in dem Fall mein Mac) im Heimnetz einen eigenständigen VPN Tunnel nach außen aufbauen können? Besser gesagt, ob die Firewall es standardmäßig blockt oder nicht? Weil ich halt kein eindeutiges Fehlerbild habe - auf dem Mac funktioniert es - wenn überhaupt - nur mit einer Freigabe, auf dem iPhone läuft alles auf Anhieb. Oder ist das nun definitiv ein Problem meines Mac's?
-
Wie genau sieht deine Freigabe (Firewall-Rule) aus? Standardmäßig musst du für OpenVPN nichts an der PfSense ändern. Hast du eventuell einen Windows Client, wo du das ganze testen kannst? Am besten auch am gleichen Interface der PfSense (wahrscheinlich WLAN?) testen.
-
Ähm, ich wollte pfSense jetzt mal komplett ausschließen und habe meinen Mac über den Hotspot des iPhones mit dem Internet verbunden. Die VPN Verbindung klappte sofort und ich konnte problemlos über den aufgebauten Tunnel surfen. Dann muss es doch irgendwo in der pfSense einen Hacken geben?
Ob's mit Windows klappt, weiß ich noch nicht, aber evtl. kann ich es am Wochenende ja mal ausprobieren.
So sieht die Rule aus (befindet sich entsprechend beim VPN Interface, welches als Gateway des Mac's definiert ist):
-
Falls ich dich nun richtig verstanden habe, hast du diese Regel auf dem VPN Interface angelegt?
Eigentlich musst du keine Regeln auf dem VPN Interface anlegen, außer du möchtest vom VPN Tunnel aus auf dein LAN zugreifen. Ich habe auch keine angelegt.
Da das VPN Interface ein internes Interface der PfSense ist (OVPNC1 wahrscheinlich), musst du deine Regel eher auf dem entsprechendem Interface wo dein Mac dran hängt (LAN/WLAN, wo du auch das VPN als Gateway bestimmt hast) anlegen. -
Hmm, das ist schon lange her als ich die Regel erstellt habe (bzw. eine Portweiterleitung angelegt, die automatisch diese Regel erzeugt hat). Ich weiß nicht mehr aus welchem Grund ich darauf gekommen bin… wahrscheinlich bin ich davon ausgegangen, dass mein Mac ja die öffentliche IP des VPN Servers hat, nicht mehr die WAN IP und deswegen die Portweiterleitung auch entsprechend auf das VPN-Interface erfolgen soll, statt auf WAN.
Jedenfalls habe ich am WE einige allgemeine Änderungen vorgenommen und nun funktioniert alles ohne irgendwelche Portweiterleitungen, so wie es soll. Keine Ahnung was die Ursache für das Scheitern war, aber zum Glück habe ich das erreicht, was ich wollte. Danke für die Beteiligung!
-
Würde mal gerne meinen alten Thread rauskramen und noch eine Frage zur VPN Geschichte stellen.
Ich habe einen OpenVPN Server auf der pfSense laufen, womit sich die mobilen Geräte verbinden und es läuft auch nahezu alles, so wie ich es mir vorstelle.
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz. Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Also es sieht so aus, als würden alle Geräte denken, es wird nicht aus dem Heimnetz auf sie zugegriffen, sondern aus dem Internet (vermutlich wegen dem anderen Subnetz?).Hat jemand eine Idee, wie ich das lösen kann?
-
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz.
Was auch kein Wunder ist, denn sie sind es auch nicht.
Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Bei der FritzFon App bin ich nicht wirklich sicher, aber die AirPrint Geschichte bzw. der meiste AutoMagisch-Käse von Apple und Co. ist Bonjour/Avahi/Zeroconf. Und das basiert auf Broadcast etc. und wird IMHO nicht über OpenVPN geroutet. Deshalb haben die meisten solcher Geräte auch die Möglichkeit via IP o.ä. zu kommunizieren, weil man nicht weiß ob man direkt im gleichen Netz steht wie das Gerät. Wenn das Gerät mit der internen IP konfiguriert wird, sollte auch auch via VPN sauber funktionieren.
Gruß
-
Nur verhalten sich die verbundenen Geräte trotzdem nicht so, als wären sie im Heimnetz.
Was auch kein Wunder ist, denn sie sind es auch nicht.
Ja, das stimmt schon. Aber der Sinn des VPN Tunnels ist ja u.a. den Heimnetzgeräten vorzutäuschen als wäre das per VPN angebundene Gerät eben bei mir zu Hause. Ist es nicht nur eine Sache der konkreten Einstellungen?
Also bspw. wird der AirPrint Drucker nicht gefunden oder ich kann nicht per FritzFon App auf die FritzBox Telefone zugreifen (ich muss dafür in der FritzBox den Zugriff aus dem Internet erlauben, damit es letztendlich funktioniert).
Bei der FritzFon App bin ich nicht wirklich sicher, aber die AirPrint Geschichte bzw. der meiste AutoMagisch-Käse von Apple und Co. ist Bonjour/Avahi/Zeroconf. Und das basiert auf Broadcast etc. und wird IMHO nicht über OpenVPN geroutet. Deshalb haben die meisten solcher Geräte auch die Möglichkeit via IP o.ä. zu kommunizieren, weil man nicht weiß ob man direkt im gleichen Netz steht wie das Gerät. Wenn das Gerät mit der internen IP konfiguriert wird, sollte auch auch via VPN sauber funktionieren.
Gruß
Zu Apple:
Stimmt, ich erinnere mich jetzt auch irgendwo gelesen zu haben, dass deren hauseigene Dienste nicht über den VPN Tunnel laufen - wenn also AirPrint dazugehört (wird ja wohl nicht anders sein), dann kann man das wohl komplett vergessen… schade eigentlich.Ok, habe den Drucker auf dem MacBook als IP Gerät eingerichtet und konnte einen Druckvorgang per VPN starten - das geht schon mal gut. Für iOS bräuchte ich ja wohl eine App, die das umsetzen kann (Druckvorgang an einen IP Drucker weiterleiten)? Nicht zufällig jemand einen Tipp für mich?
Ich habe Printer Pro seit längerer Zeit drauf, aber leider klappt das Drucken per VPN und IP Drucker nicht (obwohl die Testseite erfolgreich ausgedruckt werden konnte), müsste ich wohl noch ein bisschen experimentieren oder eben eine andere App suchen.Zur FritzBox:
Kenne es von früher, wo die FritzBox selbst noch als Router lief und eben einen VPN Server bereitgestellt hat. Dort klappte es ja auch irgendwie, dass man von außerhalb per FritzFon App zugreifen konnte, ohne dass der Zugriff aus dem Internet erlaubt werden musste. Also müsste man das gleiche auch bei pfSense irgendwie einrichten können?
Auch sieht man es anhand des Anmeldevorgangs im WebUI deutlich, dass die FritzBox per VPN angebundene Geräte als "Zugriff aus dem Internet" wertet. Im Heimnetz kann man den Benutzer aus der Liste auswählen, ansonsten muss der Nutzername manuell eingetippt werden.