Konfiguration von einem Netzwerk - Erbitte Hilfe

athurdent

Hi,

englisch habe ich gefunden.

https://doc.pfsense.org/index.php/OpenVPN_on_iOS

Ist aber eigentlich echt simpel. OpenVPN Wizard benutzen um den Server zu konfigurieren, Export Wizard benutzen für die ovpn Konfig Datei. Und die Datei mit der OpenVPN Connect APP unter iOS öffnen.

Probiers aus und wenns nicht klappt meld Dich nochmal, würde ich sagen.

Edit: Nur kurz überflogen, aber das müsste so klappen:
https://got-tty.org/pfsense-und-openvpn-fuer-android-smartphones

Morpher

So, nach dem letzteren Link konfiguriert. Ich hänge, wenn ich es in OpenVPN hinzugefügt habe (1xAndroid, 1xiOS) bei beiden auf connection timeout. Waiting for Server

JeGr

Das allein hilft nicht weiter. Was sagt der VPN Server auf der pfSense? Bekommt der Überhaupt ne Verbindung? Firewall Regel erstellt, dass der Traffic überhaupt rein darf? Etc. etc.

Morpher

Firewall Regeln wurden automatisch erstellt. Hoffe ich :-)

Weiter zeigt der Status -> OpenVPN -> gar nichts.

Das Handy zeigt der angehängte.

JeGr

Die erste Regel auf dem WAN ist eigentlich fatal - eine allow any auf dem WAN? Böse!
Kein Wunder dann dass auf der OpenVPN Regel nix ankommt, die obere frisst ja alles schon weg.

• Zeigt die DynDNS Adresse überhaupt auf die richtige IP?
• Wie sind Port Forwards oder 1:1 NAT definiert?
• Wie ist der OpenVPN Server konfiguriert?

Ohne die Infos sehe ich leider nur, dass dein Mobile eine Verbindung versucht und deinen Server / pfSense nicht mal pingen/erreichen kann. (Connecting, Timeout, next entry).
Also antwortet der OpenVPN Server gar nicht. Da ist also was falsch konfiguriert oder du frisst die Verbindung wie mit der WAN Regel obendrüber schon vorher weg.

athurdent

@Morpher:

Fritzbox, die als Modem fungiert

Ist die Fritzbox wirklich Modem und Du hast die PPPoE Daten auf der pfSense eingetragen? Oder brauchst Du vielleicht noch Port-Forwards von der FB auf die pfSense?

Morpher

@JeGr:

Die erste Regel auf dem WAN ist eigentlich fatal - eine allow any auf dem WAN? Böse!
Kein Wunder dann dass auf der OpenVPN Regel nix ankommt, die obere frisst ja alles schon weg.

…

Da ist also was falsch konfiguriert oder du frisst die Verbindung wie mit der WAN Regel obendrüber schon vorher weg.

Hab ich entfernt bzw. deaktiviert. Verbindung klappt immer noch nicht, selber Fehler.

@JeGr:

…

• Zeigt die DynDNS Adresse überhaupt auf die richtige IP?

...

Ja, geht sowohl zum pingen, wie auch unter Services grün hinterlegt.

@JeGr:

…

• Wie sind Port Forwards oder 1:1 NAT definiert?

...

Port Forwards hab ich in der Fritzbox definiert; hatte auch schon versucht es als Exposed Host freizugeben, funktionierte auch nicht
NAT habe ich selbst keines eingerichtet

@JeGr:

…

• Wie ist der OpenVPN Server konfiguriert?

...

Nach dem Link oben?

@athurdent:

@Morpher:

Fritzbox, die als Modem fungiert

Ist die Fritzbox wirklich Modem und Du hast die PPPoE Daten auf der pfSense eingetragen? Oder brauchst Du vielleicht noch Port-Forwards von der FB auf die pfSense?

Nein, es ist Internet-> Fritzbox -> pfSense -> Netz1,Netz2,Netz3

Wie genau muss ich was auf der pfSense eintragen (und dann natürlich auf der Fritze umstellen), damit diese nur noch als Modem Fungiert? Ich hatte die frage in einem anderem Thread schon mal gestellt, leider konnte mir keiner helfen.

Ich habe VDSL 100/40 direkt bei der Telekom.

athurdent

Ich sehe, was Du mit den Port Forwards versucht hast. :) Für IPSec müsste es Protocol 50 (IPSec), nicht Port 50 sein. Und 500 UDP statt TCP, UDP 4500 passt. Ob man hinter der Fritzbox aber vernünftig einen IPSec Server betreiben kann, weiss ich nicht. Ich hab bisher nie viel Spass mit sowas gehabt

Für OpenVPN sollte das mit Port 1194 aber so passen.

Wenn Du Deinen DynDNS Host pingen kannst, heisst das aber erstmal nur, dass Du die Fritzbox pingen kannst. ICMP Ping wird nicht durchgereicht, soweit ich weiss.

Als Modem kannst Du die Fritzbox nicht benutzen, aber PPPoE Passthrough sollte gehen.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/
Vorsicht damit, bei der Telekom sind für sowas früher extra Kosten angefallen. Und falls Du IP Telefonie auf der Fritzbox benutzt, wird das dann ggf nicht mehr funtkionieren.

Aber eigentlich sollte der OpenVPN Port Forward passen. Für den Anfang vielleicht aber erstmal mit Exposed Host probieren und hinterher verfeinern. So bist Du sicher, dass die Fritzbox alles durchleitet und kannst erstmal die pfSense Konfig passend einrichten.

Morpher

IPSec hab ich mittlerweile aufgegeben :-)

Habe eben den Exposed Host eingetragen.

Geht immer noch nicht.

athurdent

Hmm, die letzten 3 Einträge im Log sehen so aus, als wäre OpenVPN beendet worden. Läuft OpenVPN (Status -> Services)?

Da Du Exposed Host angestellt hast, solltest Du im Log jetzt ab und zu geblockte Verbindungen zu Deiner pfSense WAN IP sehen, ist das so? Ansonsten funktioniert etwas mit der Fritzbox nicht oder Du hast das Logging abgestellt.

JeGr

Moment, das kommt drauf an: liest sich dein Log top down oder bottom up? ALso neuestes oben oder unten? Meine sind neustes oben, dann wäre die Aussage von OpenVPN nämlich: Verbindung hergestellt, alles OK. Die letzten Zeilen unten sind auch eine andere PID, da ist wohl ein alter VPN Prozess beendet worden und dann fängt der neue an.

Morpher

Von unten nach oben, ich hab mal n bisschen mehr ausgeschnitten.

JeGr

Dann steht da wie gesagt "Init Sequence complete" was im Normalfall heißt, dass der Verbindungsaufbau abgeschlossen ist. Also steht die Verbindung.

athurdent

@JeGr:

Dann steht da wie gesagt "Init Sequence complete" was im Normalfall heißt, dass der Verbindungsaufbau abgeschlossen ist. Also steht die Verbindung.

Nein, das heisst bloss, dass der Server ordentlich hochgefahren ist. Wenn man sich dann mit nem Client verbindet, sieht das ungefähr so aus. Ich hab den Server extra mal neugestartet, meine Logs gehen von oben nach unten:

Jan 31 12:18:11	openvpn	78674	OpenVPN 2.4.0 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Dec 30 2016
Jan 31 12:18:11	openvpn	78674	library versions: OpenSSL 1.0.2j-freebsd 26 Sep 2016, LZO 2.09
Jan 31 12:18:11	openvpn	78942	NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 31 12:18:11	openvpn	78942	TUN/TAP device ovpns4 exists previously, keep at program end
Jan 31 12:18:11	openvpn	78942	TUN/TAP device /dev/tun4 opened
Jan 31 12:18:11	openvpn	78942	do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Jan 31 12:18:11	openvpn	78942	/sbin/ifconfig ovpns4 192.168.xxx.193 192.168.xxx.194 mtu 1500 netmask 255.255.255.192 up
Jan 31 12:18:11	openvpn	78942	/usr/local/sbin/ovpn-linkup ovpns4 1500 1621 192.168.xxx.193 255.255.255.192 init
Jan 31 12:18:11	openvpn	78942	UDPv4 link local (bound): [AF_INET]127.0.0.1:1194
Jan 31 12:18:11	openvpn	78942	UDPv4 link remote: [AF_UNSPEC]
Jan 31 12:18:11	openvpn	78942	Initialization Sequence Completed

Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_GUI_VER=net.openvpn.connect.ios_1.0.7-199
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_VER=3.0.11
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_PLAT=ios
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_NCP=2
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_TCPNL=1
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 peer info: IV_PROTO=2
Jan 31 12:19:20	openvpn	78942	2.206.xxx.136:62218 [username] Peer Connection Initiated with [AF_INET]2.206.xxx.136:62218
Jan 31 12:19:20	openvpn	78942	username/2.206.xxx.136:62218 MULTI_sva: pool returned IPv4=192.168.xxx.194, IPv6=(Not enabled)

JeGr

Ah stimmt, ich hatte P2P Tunnel im Kopf, ganz richtig. Server ist also da. Müsste aber ankommend auch nen connect bekommen, der da aber nirgends zu sehen ist.

Morpher

Bin grad unterwegs… Geht natürlich nicht.

Hier die Logs:

Der VPN Client auf dem Book:

2017-01-31 13:08:38 State changed to: Contacting (before: Disconnected)
2017-01-31 13:08:38 OpenVPN management socket connected
2017-01-31 13:08:38 >INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
2017-01-31 13:08:38 >HOLD:Waiting for hold release:0
2017-01-31 13:08:46 >PASSWORD:Need 'Auth' username/password
2017-01-31 13:08:46 >STATE:1485864526,RESOLVE,,,,,,
2017-01-31 13:08:46 State changed to: Contacting (before: Contacting)
2017-01-31 13:08:46 >STATE:1485864526,WAIT,,,,,,
2017-01-31 13:09:46 State changed to: Reconnecting (before: Contacting)
2017-01-31 13:09:46 >STATE:1485864586,RECONNECTING,tls-error,,,,,
2017-01-31 13:09:46 >HOLD:Waiting for hold release:5
2017-01-31 13:09:46 >STATE:1485864586,RESOLVE,,,,,,
2017-01-31 13:09:46 State changed to: Contacting (before: Reconnecting)
2017-01-31 13:09:46 >STATE:1485864586,WAIT,,,,,,
2017-01-31 13:10:13 State changed to: Disconnecting (before: Contacting)
2017-01-31 13:10:13 >STATE:1485864613,EXITING,SIGTERM,,,,,
2017-01-31 13:10:13 OpenVPN management socket disconnected
2017-01-31 13:10:13 State changed to: Disconnected (before: Disconnecting)

Und in der pfSense steht… Nichts...  (Im Log unter Status-SystemLogs-OpenVPN)

Die momentane Config ist Laptop mit Hotspot Handy

athurdent

Ich hatte oben mal die Frage gestellt, ob Du geblockten Internet Traffic im pfSense Log siehst. Wenn da nie was steht und das Logging aktiviert ist, stimmt was mit Deiner Fritzbox und den Exposed Host Settings nicht. Dein OpenVPn Log deutet daraufhin, es kommt nichst bei Deiner pfSense an.

Wenn Du eh gerade von extern unterwegs bist, kannst Du das auch provozieren und mal ne SSH Verbindung zu Deiner pfSense aufbauen. Da solltest Du dann im Log eine geblockt Verbindung zu Port 22 sehen. Logging muss natürlich an sein.
Siehst Du da was?

Morpher

Also auf die pfSense komm ich nicht mit der DynDns der VPN Verbindung; Im Log hab ich aber auch nichts gesehen.
Wo genau ist denn der Knopf für das Logging versteckt? Und welches Log meinst du genau? Status-System Logs-Firewall und dann mit dem Filter den Haken bei "Block"? Dort sehe ich nichts auf dem Interface WAN.

Wenn du Firewall - Rules - WAN meinst, dort auf der Rule-Definiton selbst das Logging aktiviert, ja, da ist es aktiviert. ( 3 Querbalken neben dem grünen Haken)

xidendt

Moin,

ich habe mir das firewall log auf das Dashboard gelegt. FB auf exposed Host und über die Konsole ein ping auf mein dyndns.
Schwubs wird neben meinem ping auch die ganzen anderen portscanns aus dem Netz als geblockt angezeigt.

athurdent

@Morpher:

Also auf die pfSense komm ich nicht mit der DynDns der VPN Verbindung; Im Log hab ich aber auch nichts gesehen.
Wo genau ist denn der Knopf für das Logging versteckt? Und welches Log meinst du genau? Status-System Logs-Firewall und dann mit dem Filter den Haken bei "Block"? Dort sehe ich nichts auf dem Interface WAN.

Häkchen bei: Log packets matched from the default block rules in the ruleset
Wenn Du da aber nichts siehst, dann kommt bei der pfSense auch nichts an. Heisst, der Fehler liegt aller Wahrscheinlichkeit nach bei der Fritzbox. Zeigt die Portfreischaltung auf die korrekte pfSense WAN IP? Ansonsten mal alle Portforwards / exposed Host Einstellungen löschen, die FB neustarten und neu anlegen würde ich vorschlagen.