[gelöst] Wie Roadwarrior-Verbindung bei genereller Verbindung über VPN-Anbieter?
-
Der VPN Client zu NordVPN hat mit dem VPN-Server nichts zu tun.
Der Client macht eine ausgehende Verbindung:
pfSense >–-----Internet-------> NordVPN Server
Dass diese über die Easybox als Gateway geht, tut nichts zur Sache.Der Roadwarrior Server ist darauf angewiesen, dass die Verbindungen sein WAN Interface erreichen. Und das geht nicht ohne den Willen der Easybox:
Client >-------Internet-------> Easybox >-------Transfer-Netz-------> pfSenseNun, die Einstellungen der Easybox kenne ich auch nur aus der Theorie. Aber wie Jens im anderen Thread schreibt, ist für die Weiterleitung aller Verbindungen meist so etwas wie exposed Host oder DMZ in den Einstellungen zu finden und da wird die WAN-IP der pfSense angegeben. Für ausgehende Verbindungen wie die zu NordVPN ist dies gar nicht erforderlich, hier reicht das NAT richtig einzurichten.
Demnach sollte die Einstellung so in Ordnung sein.Aber, beantworte die entscheidende Frage: Kommen nun die Paket am WAN an?
-
Im Zweifel verwende Packet Capture (Diagnostic) und prüfe mal am WAN Port 1195 während eines Verbindungsversuchs, ob da überhaupt was ankommt.
Wie vorher geschrieben sehe ich mit "Packet Capture" am WAN/udp/1195 beim Verbindungsversuch absolut nichts.
?? ;)
Gruß!
-
Ah ja, die Edit hat mich wohl nicht mehr rechtzeitig erreicht.
Das bedeutet, wir sind nun wieder beim Problem des anderen Threads. Du musst erst dafür sorgen, dass die ankommenden Pakete von der Easybox weitergereicht werden.
Gibt es da vielleicht noch Regeln zu definieren? -
Oh Gott…..dazu muß ich hier einige Dinge umbauen um an die EB zu kommen.
Das wird heute sicher nichts mehr. Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz.....falls ich richtig liege (anderes Netz usw.).Schönen Dank erstmal für Deine Bemühungen!
Vielleicht schaffen wir ja morgen einen fetten Durchbruch ;)Gruß!
-
Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz…..falls ich richtig liege (anderes Netz usw.).
Nicht erreichbar? Anderes Netz?
Die sollte ja in dem Netz sein, in dem auch die pfSense ist.Ich habe eben einen Blick in die Bedienungsanleitung der EB geworfen. Sollte eigentlich mit der Angabe der pfSense WAN-IP und der Aktivierung der Funktion auf der Seite "Exposed Host" klappen.
Testen kannst du die Weiterleitung einfach auch über einen die Eingabe deines DynDNS Namens in einen Webbrowser. Dann müssten die Pakete eben mit Zielport 80 TCP am WAN ankommen.Du kannst die Weiterleitung aber auch über "Port-Mapping" versuchen. Hier für deine OpenVPN die pfSense WAN IP, für Protokoll UDP und für öffentlicher und lokaler Port 1195 eingeben.
-
Interessant! Ich dachte ich komme aus meinem 10.0.10.x-LAN nicht auf die 10.0.11.1 der EB - aber es funzt.
Habe mal noch Bilder der aktuellen Lage angehängt.Jetzt wird es für mich aber etwas unklar und ich bräuchte möglichst genaue Angaben was ich wie und wo machen soll.
Der berühmte Wald hinter all den vielen Bäumen ::)Die letzten beiden Bilder zeigen die Optionen zum Port Mapping und DNS & DDNS-Optionen auf der EB.
Ich hab gerade keine Peilung mehr was nun zu tun ist.
Gruß!
-
Das ist ja wahrhaftig ein dichter Wald. ;D
In Exposed Host muss die WAN IP der pfSense drinnen stehen.
Die hast du aber offenbar irgendwann mal geändert. Wie gesagt, tut für ausgehende Verbindungen nichts zur Sache, wirkt sich aber verheerend auf eingehende aus.
Also bei Exposed Host 10.0.11.100 eintragen. -
Hhmmm….ok, da hab ich mir ja schon vor Wochen bei meinen Versuchen ne'n Ei gelegt >:(
Aber jetzt kommt's.......hab's in der EB auf 10.0.11.100 gestellt (sogar Reboot der EB gemacht) aber es ändert sich nirgends Etwas.
Weder zeigt das Log der OpenVPN-App am Telefon was anderes, noch kann ich mit "Packet Capture" irgendwas auf UDP/1195 einfangen.
Wenn ich da mal auf "alles einfangen" stelle funktioniert das natürlich schon und zeigt diverses Zeuchs an, nur eben Nix auf UDP/1195 wenn ich per Handy verbinden will. :'(Und ich dachte echt jetzt haben wir's......... :-[ :-[
Vielleicht noch ne letzte Idee???
Nochmals DANKE für deine Hilfe!!
-
Jetzt versteh ich Nix mehr!!
Nachdem ich in der EB den Exposed Host von vorher 10.0.11.254 auf die korrekte 10.0.11.100 (wie feste IP des WAN der pfSense) geändert habe, komm ich jetzt nicht mehr per Browser auf die EB (also die 10.0.11.1) :o :o :o
Warum ist das denn jetzt passiert? Leuchtet mir gerade überhaupt nicht ein - ist doch nur ne andere IP aus dem gleichen Pool….
Gruß!
edit: warum konnte ich vorher aus dem LAN (10.0.10.x) auf die EB (10.0.11.1) zugreifen?? Und jetzt nicht mehr......
-
Das kann absolut nichts miteinander zu tun haben. Verstehe ich jetzt nicht.
Kommst du vom LAN ins Internet?Andere Sache ist mir aufgefallen: Auf der EB ist DDNS deaktiviert. (??) Du verwendest doch DDNS und welche IP du hast, weiß am besten die EB.
-
So, letzter Post für heute ;)
Ich komme aus dem LAN ins Internet - so schreibe ich ja die Beiträge.
Vorher kam ich aber erstaunlicherweise (schrieb ja vorher was vom "umbauen" weil ich dachte es kann nicht gehen) auf die EB unter 10.0.11.1.DDNS mache ich über die pfSense - und dort ist mein Eintrag auch als grün angezeigt, Update und ping auf meinen DDNS-Namen klappen. Ein Aufruf im Browser klappt allerdings nicht und ergibt ein "ERROR - The requested URL could not be retrieved".
Ping, Update über no-ip.com sind aber ok. Bei Aufruf meines no-ip-Accounts wird mir unter "last login-ip" auch die NordVPN-IP angezeigt.Bisher hat sonst auch alles funktioniert….nur eben jetzt das RW-Szenarion mit OpenVPN nicht.
Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.
Wo liegt mein Denkfehler?
Gruß und Nacht! ;)
-
Was steht nun im DNS als deine Public IP? Die NordVPN-IP? Verstehe ich das richtig?
Mach das bitte mal klar, sonst kommen wir nicht weiter.Wenn deine Routen auf der pfSense in dem Post oben bei aufgebauter NordVPN so stimmen, müsste die pfSense alle Verbindungen nach außen über die EB machen, denn die ist das Default Gateway.
Wenn sie über die EB mit no-ip verbindet, müsst deine Public IP von Vodafone bei no-ip eingetragen werden.Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.
Das ist auch richtig so, allerdings um ein Missverständnis zu vermeiden, das betrifft nur eingehende Anfragen und ändert aber absolut nichts am DDNS. Das ist nicht dasselbe als wenn die EB gebrückt wäre. Im aktuellen Fall ist sie (zum Bedauern) noch immer ein vollwertiger Router.
Generell halte ich es für sinnvoll, wenn der erste Router, der am WAN hängt auch das DDNS erledigt. Denn dahinter könnten die Routen bspw. durch eine aktive VPN schon wieder ganz anders aussehen, sollte aber bei dir nicht der Fall sein.
Grüße
-
Guten Morgen!
Ja, in meinem No-IP-Account sehe ich die von NordVPN als "Secured" angegebene IP (Siehe Bilder).
Sowohl bei NO-IP, NordVPN als auch unter DDNS auf der pfSense steht diese 185…....-IP.Auf der EB sehe ich wechselnde WAN-IP's. Dort sind IP-Adresse und Gateway aber immer aus verschiedenen Bereichen - Siehe letztes Bild.
Was nun tun? DDNS auf der EB eintragen und auf pfSense rausnehmen?
Gruß!
ps: mich irritiert noch immer warum ich gestern vor der Änderung der Exposed Host-IP an der EB per Browser aus meinem 10.0.10-x-LAN auf die WebGUI der EB unter 10.0.11.1 gekommen bis. Dies funktioniert jetzt nicht mehr und ich habe den PC zum checken direkt an die EB gehängt.
pps: die Firewall der EB besser deaktivieren?
-
OK. Dass die NordVPN Adresse bei No-IP auftaucht ist kein Wunder, schließlich macht die pfSense ja ihren ganzen Traffic wie gewünscht via NordVPN damit alles verschlüsselt nach außen geht. Das heißt aber auch der DDNS Client auf der Sense löst logischerweise checkip.dyndns.org via NordVPN auf und deshalb wird auch deren IP dann bei NoIP eingetragen.
Einfach.Dumm allerdings, da du die IP ja brauchst, denn sonst kommst du per ClientVPN nicht zu dir nach Hause. Also einfach einen zweiten DynDNS Namen anlegen ODER den vorhandenen raus aus der pfSense und rein in die EasyBox, damit in deinen DynDNS Namen auch die IP steht, die du zum VPN aufbauen brauchst.
Grüße
-
Hi!
OK. Dass die NordVPN Adresse bei No-IP auftaucht ist kein Wunder, schließlich macht die pfSense ja ihren ganzen Traffic wie gewünscht via NordVPN damit alles verschlüsselt nach außen geht.
Ist das so gewünscht? Gewünscht ist, nach allem was ich hier bisher gesehen habe, dass der Traffic am LAN ankommende Traffic beim NordVPN Interface rausgeht.
Die pfSense sollte ihren Upstream Traffic Richtung Default Gateway schicken. Warum da irgend etwas zu NordVPN geht, ist mir nicht klar.@bax2000
Übrigens, diese LAN-Regel, die Sämtliches zu NordVPN zwingt, dürfte auch der Grund sein, weswegen du die EB nicht erreichst. Du benötigst also eine Regel ohne Interface-Angabe oberhalb dieser, die den Traffic zur EB zulässt. -
So….mir qualmt der Kopp ;D
Ich habe gerade mal einfach die FW-LAN-Regel für NordVPN ganz nach unten geschoben und dann zur Sicherheit noch das ganze NordVPN-Interface deaktiviert.
Und schon konnte ich mich mit der bisherigen OpenVPN-Config mit dem Telefon einwählen.
Klar, nun steht bei NO-IP die öffentliche IP-Adresse der EB.Komisch ist nur das jetzt beim DDNS auf der pfSense nur "N/A" steht - auch nach einem manuellen Update.
Ping auf den DDNS-Namen geht aber :oIch blicke langsam nicht mehr durch! Was ist denn nun der einfachste Weg jetzt doch irgendwie das NordVPN zu integrieren?
Auf der EB einen weiteren DDNS-Namen angeben und diesen dann irgendwie in die Roadwarrior-Config einbinden?Ich glaub ich brauch jetzt detaillierte Hilfe...BITTE :-[
Gruß!
ps: EB ist auch wieder erreichbar
-
Es läuft wie es soll !! :D :D
Ich habe wirklich nur den DDNS aus der pfSense auf die EB gepackt und konnte danach auch NordVPN wieder wie vorher aktivieren.
OpenVPN kann sich verbinden und auch Zugriff auf mein LAN klappt super.
Euch beiden nochmals meinen allerbesten FETTEN DANK!!!
Gruß!
-
Das geb ich direkt an virago weiter, ich hab nur einen Gedanken eingeworfen :)
-
Danke. :)
Klar ist mir die Sache aber immer noch nicht ganz, aber sei's drum, wenn's läuft. ;)