[gelöst] Wie Roadwarrior-Verbindung bei genereller Verbindung über VPN-Anbieter?

bax2000

Danke für Deine Antwort!

Mir geht es aktuell erstmal nur darum überhaupt vom Internet aus (sagen wir mal vom Handy) in mein LAN zu gelangen.
Da mein LAN ja über die pfSense mittels der NordVPN-Verbindung ans Internet angebunden ist, dacht ich - unwissend wie ich bin ;) - das man ja auch über diese schon bestehende vpn-Verbindung ins LAN kommt.

Soweit richtig?

Wenn das mit dem OpenVPN-Wizzard geht werde ich das mal versuchen.
Die ganzen Dinge wie NAT und Routing usw. sausen hier gerade kreuz und quer durch meine Birne  :o

Gruß!

viragomann

@bax2000:

Da mein LAN ja über die pfSense mittels der NordVPN-Verbindung ans Internet angebunden ist, dacht ich - unwissend wie ich bin ;) - das man ja auch über diese schon bestehende vpn-Verbindung ins LAN kommt.

Ich glaube nicht, dass dies das ist, was du möchtest. Da könnte ja jeder rein. Dass das nicht so ist, hast du einfach am NordVPN-Interface keine Regel, die irgendetwas erlaubt.
Um über einen eigenen VPN-Server in dein Netz zu kommen, muss sich einer erst mal authentifizieren, standardmäßig mit Passwort und Zertifikat (SSL + User Auth). Beides sollten nur autorisierte Leute bekommen.

Wichtig ist für einen eigenen Server am WAN, dass du eine fixe öffentliche IP hast oder einen DynDNS-Dienst verwendest.

Der Wizard funktioniert nahezu perfekt. Achte darauf, dass währenddessen die Verbindung zu NordVPN steht. Dann einfach mal den Wizard durchlaufen, danach sollte ein Verbindungsaufbau möglich sein.
Sollte irgendetwas nicht wie gewünscht erreichbar sein, kann man dann noch weiterhelfen.

Grüße

bax2000

Hallo!

Ich habe jetzt mal Schritt für Schritt folgende Anleitung umgesetzt. Um mal eine klare Ausgangslage zu schaffen.
https://www.youtube.com/watch?v=ekl8rwHomRs&list=PLurtz4iuXNeZUZ23l8vZXLL4bBmyGm34J

Bei bestehender Verbindung über NordVPN habe ich also

1. CA und User-Certificate erstellt
2. vpn-User angelegt
3. mit dem Wizzard einen OpenVPN-Server erstellt am WAN (richtig oder falsch?), upd Port 443
    Hierbei habe ich AES-128-CBC genommen wegen dem Alix mit Hardware-Crypto.
    Tunnelnetz 10.0.1.0/24, LAN ist 10.0.10.0/24
4. Client Export mit neuem OpenVPN-Server und meinem funktionierenden DDNS (in pfSense eingetragen und funzt)
5. ovpn-Datei für iOS auf Handy kopiert und in OpenVPN-App importiert - mit User/Passwort angemeldet und es
    kommt laut App scheinbar nicht ein Byte zurück.

Log der App im Anhang.

Meine Fragen:

1. Sollte ich den OpenVPN-Server bei bestehender NordVPN-Verbindung auf das NordVPN-Interface oderauf das
    WAN konfigurieren?
2. Müssen nach dem Wizzard noch irgendwelche Regeln erstellt oder verschoben werden?

Gruß!

Log der OpenVPN-App:

2017-01-22 10:08:02 –--- OpenVPN Start -----
OpenVPN core 3.0 ios arm64 64-bit
2017-01-22 10:08:02 UNUSED OPTIONS
0 [persist-tun]
1 [persist-key]
4 [tls-client]
7 [lport] [0]
8 [verify-x509-name] [user] [name]

2017-01-22 10:08:02 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:02 EVENT: RESOLVE
2017-01-22 10:08:03 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:03 EVENT: WAIT
2017-01-22 10:08:03 SetTunnelSocket returned 1
2017-01-22 10:08:03 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:08:12 Server poll timeout, trying next remote entry…
2017-01-22 10:08:12 EVENT: RECONNECTING
2017-01-22 10:08:12 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:12 EVENT: RESOLVE
2017-01-22 10:08:12 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:12 EVENT: WAIT
2017-01-22 10:08:12 SetTunnelSocket returned 1
2017-01-22 10:08:12 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:08:22 Server poll timeout, trying next remote entry...
2017-01-22 10:08:22 EVENT: RECONNECTING
2017-01-22 10:08:22 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:22 EVENT: RESOLVE
2017-01-22 10:08:22 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:22 EVENT: WAIT
2017-01-22 10:08:22 SetTunnelSocket returned 1
2017-01-22 10:08:22 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:08:32 Server poll timeout, trying next remote entry...
2017-01-22 10:08:32 EVENT: RECONNECTING
2017-01-22 10:08:32 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:32 EVENT: RESOLVE
2017-01-22 10:08:32 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:32 EVENT: WAIT
2017-01-22 10:08:32 SetTunnelSocket returned 1
2017-01-22 10:08:32 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:08:42 Server poll timeout, trying next remote entry...
2017-01-22 10:08:42 EVENT: RECONNECTING
2017-01-22 10:08:42 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:42 EVENT: RESOLVE
2017-01-22 10:08:42 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:42 EVENT: WAIT
2017-01-22 10:08:42 SetTunnelSocket returned 1
2017-01-22 10:08:42 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:08:52 Server poll timeout, trying next remote entry...
2017-01-22 10:08:52 EVENT: RECONNECTING
2017-01-22 10:08:52 LZO-ASYM init swap=0 asym=0
2017-01-22 10:08:52 EVENT: RESOLVE
2017-01-22 10:08:52 Contacting xxx.xxx.xxx.xxx:443 via UDP
2017-01-22 10:08:52 EVENT: WAIT
2017-01-22 10:08:52 SetTunnelSocket returned 1
2017-01-22 10:08:52 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
2017-01-22 10:09:02 EVENT: CONNECTION_TIMEOUT [ERR]
2017-01-22 10:09:02 EVENT: DISCONNECTED
2017-01-22 10:09:02 Raw stats on disconnect:
  BYTES_OUT : 1260
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 5
2017-01-22 10:09:02 Performance stats on disconnect:
  CPU usage (microseconds): 30929
  Network bytes per CPU second: 40738
  Tunnel bytes per CPU second: 0
2017-01-22 10:09:02 EVENT: DISCONNECT_PENDING
2017-01-22 10:09:02 –--- OpenVPN Stop -----

viragomann

@bax2000:

1. Sollte ich den OpenVPN-Server bei bestehender NordVPN-Verbindung auf das NordVPN-Interface oderauf das
    WAN konfigurieren?

Auf das WAN interface ist okay, deshalb wählst du im Export Tool dann deinen DNS Namen des WAN aus.
Die NordVPN-Verbindung sollte nur aktiv sein, damit pfSense die Outbound NAT Regel dafür setzt. Nur relevant, wenn die VPN Clients über die VPN und NordVPN auch ins Internet sollen.

@bax2000:

2. Müssen nach dem Wizzard noch irgendwelche Regeln erstellt oder verschoben werden?

Normalerweise macht der Wizard alles, was nötig ist.

Dem Client-Log folgend, erreicht er nicht den VPN Server.

Warum hast du Port 443 genommen? Das ist der für HTTPS, den nimmt man nur, wenn man sich durch eine Firewall verbinden muss, die ausgehend keine anderen Ports zulässt. Eine solche Firewall lässt aber meistens auch UDP auf 443 nicht zu, dann bringt das nix, müsstest auch auf TCP umstellen, das bitte aber nur, wenn es wirklich nicht anders geht.
Wie auch immer, Port 443 UDP funktioniert auch, solange nicht auch ein Webserver (auch die pfSense GUI selbst) auf diesem lauscht und du auf der pfSense eine entsprechende Weiterleitung eingerichtet hast.

Okay, das Problem ist nun jedenfalls mal auf der Server-Seite anzugehen.
Ist NordVPN dein Standard-Gateway? Das wäre hier am naheliegendsten, denn wenn ja, werden alle Antworten (eben auch die des VPN-Verbindungsaufbaus) aus deinem Netz dahin geleitet und es würde dieses Problem erklären. Wenn du das selbst nicht klären kannst, poste die IPv4 Routen der pfSense. Diagnostic > Routes.

Wenn das nicht zutrifft, würden sich weitere Fragen stellen:
Der VPN Server startet normal? Wie sieht das VPN-Log aus? Status > System Logs > OpenVPN.
Wie sieht die Server-Konfig aus?
Welche WAN-Regeln hast du.

bax2000

Ok, habe nochmal alle früheren Experimente gelöscht und mit UDP auf Port 1195 am WAN wiederholt.
Eins vorweg: Das Log der OpenVPN-App sieht exakt wie vorher aus - erreicht also nicht den OpenVPN-Server.

Anbei mal einige Bilder zum vergleichen.

Fallen Dir Probleme oder Unstimmigkeiten auf?

viragomann

Das Setup zu kübeln wäre für die Port-Umstellung nicht nötig gewesen. Der lässt sich einfach in der Server-Konfig ändern. Danach muss die Konfig für den Client nochmals exportiert werden, um die Änderung auch da zu haben, oder man editiert sie einfach am Client.

Dass der Port 443 nicht Auslöser dieses Problems ist, habe ich erwähnt. Es könnte lediglich im Zusammenspiel mit anderen Diensten Probleme bereiten. Wenn das bei dir nicht zutrifft, kann er auch bleiben.

In deinem Setup fällt mir kein Fehler auf, scheint alles bestens.
Einzig, die WAN-IP ist eine private. Die erreichst du über das Internet natürlich nicht. Du musst also irgendwo einen NAT-Router in der Strecke haben, der die Adresse umsetzt und die Pakete weiterleitet. Tut er das wirklich?

Im Zweifel verwende Packet Capture (Diagnostic) und prüfe mal am WAN Port 1195 während eines Verbindungsversuchs, ob da überhaupt was ankommt.

bax2000

Ok, dann noch schnell eine Info die jetzt evtl. wichtig erscheint.  :-[ sorry, falls das jetzt wirklich wichtig ist….

Die pfSense hängt hinter einer Vodafone EasyBox 804 in dem die pfSense als "Exposed Host" konfiguriert ist.
Siehe meine Frage dazu hier: https://forum.pfsense.org/index.php?topic=121302.0

Aber eigentlich kann es doch daran nicht liegen - die Verbindung zu NordVPN ist doch letztlich auch nichts anderes als das was ich jetzt mit einem Roadwarrior machen will, oder?

Gruß!

edit: Packet Capture gibt genau NIX!  :'(

viragomann

Der VPN Client zu NordVPN hat mit dem VPN-Server nichts zu tun.

Der Client macht eine ausgehende Verbindung:
pfSense >–-----Internet-------> NordVPN Server
Dass diese über die Easybox als Gateway geht, tut nichts zur Sache.

Der Roadwarrior Server ist darauf angewiesen, dass die Verbindungen sein WAN Interface erreichen. Und das geht nicht ohne den Willen der Easybox:
Client >-------Internet-------> Easybox >-------Transfer-Netz-------> pfSense

Nun, die Einstellungen der Easybox kenne ich auch nur aus der Theorie. Aber wie Jens im anderen Thread schreibt, ist für die Weiterleitung aller Verbindungen meist so etwas wie exposed Host oder DMZ in den Einstellungen zu finden und da wird die WAN-IP der pfSense angegeben. Für ausgehende Verbindungen wie die zu NordVPN ist dies gar nicht erforderlich, hier reicht das NAT richtig einzurichten.
Demnach sollte die Einstellung so in Ordnung sein.

Aber, beantworte die entscheidende Frage: Kommen nun die Paket am WAN an?

bax2000

Im Zweifel verwende Packet Capture (Diagnostic) und prüfe mal am WAN Port 1195 während eines Verbindungsversuchs, ob da überhaupt was ankommt.

Wie vorher geschrieben sehe ich mit "Packet Capture" am WAN/udp/1195 beim Verbindungsversuch absolut nichts.

?? ;)

Gruß!

viragomann

Ah ja, die Edit hat mich wohl nicht mehr rechtzeitig erreicht.

Das bedeutet, wir sind nun wieder beim Problem des anderen Threads. Du musst erst dafür sorgen, dass die ankommenden Pakete von der Easybox weitergereicht werden.
Gibt es da vielleicht noch Regeln zu definieren?

bax2000

Oh Gott…..dazu muß ich hier einige Dinge umbauen um an die EB zu kommen.
Das wird heute sicher nichts mehr. Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz.....falls ich richtig liege (anderes Netz usw.).

Schönen Dank erstmal für Deine Bemühungen!
Vielleicht schaffen wir ja morgen einen fetten Durchbruch ;)

Gruß!

viragomann

@bax2000:

Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz…..falls ich richtig liege (anderes Netz usw.).

Nicht erreichbar? Anderes Netz?
Die sollte ja in dem Netz sein, in dem auch die pfSense ist.

Ich habe eben einen Blick in die Bedienungsanleitung der EB geworfen. Sollte eigentlich mit der Angabe der pfSense WAN-IP und der Aktivierung der Funktion auf der Seite "Exposed Host" klappen.
Testen kannst du die Weiterleitung einfach auch über einen die Eingabe deines DynDNS Namens in einen Webbrowser. Dann müssten die Pakete eben mit Zielport 80 TCP am WAN ankommen.

Du kannst die Weiterleitung aber auch über "Port-Mapping" versuchen. Hier für deine OpenVPN die pfSense WAN IP, für Protokoll UDP und für öffentlicher und lokaler Port 1195 eingeben.

bax2000

Interessant! Ich dachte ich komme aus meinem 10.0.10.x-LAN nicht auf die 10.0.11.1 der EB - aber es funzt.
Habe mal noch Bilder der aktuellen Lage angehängt.

Jetzt wird es für mich aber etwas unklar und ich bräuchte möglichst genaue Angaben was ich wie und wo machen soll.
Der berühmte Wald hinter all den vielen Bäumen  ::)

Die letzten beiden Bilder zeigen die Optionen zum Port Mapping und DNS & DDNS-Optionen auf der EB.

Ich hab gerade keine Peilung mehr was nun zu tun ist.

Gruß!

viragomann

Das ist ja wahrhaftig ein dichter Wald.  ;D

In Exposed Host muss die WAN IP der pfSense drinnen stehen.
Die hast du aber offenbar irgendwann mal geändert. Wie gesagt, tut für ausgehende Verbindungen nichts zur Sache, wirkt sich aber verheerend auf eingehende aus.
Also bei Exposed Host 10.0.11.100 eintragen.

bax2000

Hhmmm….ok, da hab ich mir ja schon vor Wochen bei meinen Versuchen ne'n Ei gelegt  >:(

Aber jetzt kommt's.......hab's in der EB auf 10.0.11.100 gestellt (sogar Reboot der EB gemacht) aber es ändert sich nirgends Etwas.
Weder zeigt das Log der OpenVPN-App am Telefon was anderes, noch kann ich mit "Packet Capture" irgendwas auf UDP/1195 einfangen.
Wenn ich da mal auf "alles einfangen" stelle funktioniert das natürlich schon und zeigt diverses Zeuchs an, nur eben Nix auf UDP/1195 wenn ich per Handy verbinden will.  :'(

Und ich dachte echt jetzt haben wir's......... :-[ :-[

Vielleicht noch ne letzte Idee???

Nochmals DANKE für deine Hilfe!!

bax2000

Jetzt versteh ich Nix mehr!!

Nachdem ich in der EB den Exposed Host von vorher 10.0.11.254 auf die korrekte 10.0.11.100 (wie feste IP des WAN der pfSense) geändert habe, komm ich jetzt nicht mehr per Browser auf die EB (also die 10.0.11.1)  :o :o :o

Warum ist das denn jetzt passiert? Leuchtet mir gerade überhaupt nicht ein - ist doch nur ne andere IP aus dem gleichen Pool….

Gruß!

edit: warum konnte ich vorher aus dem LAN (10.0.10.x) auf die EB (10.0.11.1) zugreifen?? Und jetzt nicht mehr......

viragomann

Das kann absolut nichts miteinander zu tun haben. Verstehe ich jetzt nicht.
Kommst du vom LAN ins Internet?

Andere Sache ist mir aufgefallen: Auf der EB ist DDNS deaktiviert. (??) Du verwendest doch DDNS und welche IP du hast, weiß am besten die EB.

bax2000

So, letzter Post für heute ;)

Ich komme aus dem LAN ins Internet - so schreibe ich ja die Beiträge.
Vorher kam ich aber erstaunlicherweise (schrieb ja vorher was vom "umbauen" weil ich dachte es kann nicht gehen) auf die EB unter 10.0.11.1.

DDNS mache ich über die pfSense - und dort ist mein Eintrag auch als grün angezeigt, Update und ping auf meinen DDNS-Namen klappen. Ein Aufruf im Browser klappt allerdings nicht und ergibt ein "ERROR - The requested URL could not be retrieved".
Ping, Update über no-ip.com sind aber ok. Bei Aufruf meines no-ip-Accounts wird mir unter "last login-ip" auch die NordVPN-IP angezeigt.

Bisher hat sonst auch alles funktioniert….nur eben jetzt das RW-Szenarion mit OpenVPN nicht.

Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.

Wo liegt mein Denkfehler?

Gruß und Nacht! ;)

viragomann

Was steht nun im DNS als deine Public IP? Die NordVPN-IP? Verstehe ich das richtig?
Mach das bitte mal klar, sonst kommen wir nicht weiter.

Wenn deine Routen auf der pfSense in dem Post oben bei aufgebauter NordVPN so stimmen, müsste die pfSense alle Verbindungen nach außen über die EB machen, denn die ist das Default Gateway.
Wenn sie über die EB mit no-ip verbindet, müsst deine Public IP von Vodafone bei no-ip eingetragen werden.

@bax2000:

Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.

Das ist auch richtig so, allerdings um ein Missverständnis zu vermeiden, das betrifft nur eingehende Anfragen und ändert aber absolut nichts am DDNS. Das ist nicht dasselbe als wenn die EB gebrückt wäre. Im aktuellen Fall ist sie (zum Bedauern) noch immer ein vollwertiger Router.

Generell halte ich es für sinnvoll, wenn der erste Router, der am WAN hängt auch das DDNS erledigt. Denn dahinter könnten die Routen bspw. durch eine aktive VPN schon wieder ganz anders aussehen, sollte aber bei dir nicht der Fall sein.

Grüße

bax2000

Guten Morgen!

Ja, in meinem No-IP-Account sehe ich die von NordVPN als "Secured" angegebene IP (Siehe Bilder).
Sowohl bei NO-IP, NordVPN als auch unter DDNS auf der pfSense steht diese 185…....-IP.

Auf der EB sehe ich wechselnde WAN-IP's. Dort sind IP-Adresse und Gateway aber immer aus verschiedenen Bereichen - Siehe letztes Bild.

Was nun tun? DDNS auf der EB eintragen und auf pfSense rausnehmen?

Gruß!

ps: mich irritiert noch immer warum ich gestern vor der Änderung der Exposed Host-IP an der EB per Browser aus meinem 10.0.10-x-LAN auf die WebGUI der EB unter 10.0.11.1 gekommen bis. Dies funktioniert jetzt nicht mehr und ich habe den PC zum checken direkt an die EB gehängt.

pps: die Firewall der EB besser deaktivieren?