Konfiguration von einem Netzwerk - Erbitte Hilfe
-
Hmm, die letzten 3 Einträge im Log sehen so aus, als wäre OpenVPN beendet worden. Läuft OpenVPN (Status -> Services)?
Da Du Exposed Host angestellt hast, solltest Du im Log jetzt ab und zu geblockte Verbindungen zu Deiner pfSense WAN IP sehen, ist das so? Ansonsten funktioniert etwas mit der Fritzbox nicht oder Du hast das Logging abgestellt.
-
Moment, das kommt drauf an: liest sich dein Log top down oder bottom up? ALso neuestes oben oder unten? Meine sind neustes oben, dann wäre die Aussage von OpenVPN nämlich: Verbindung hergestellt, alles OK. Die letzten Zeilen unten sind auch eine andere PID, da ist wohl ein alter VPN Prozess beendet worden und dann fängt der neue an.
-
Von unten nach oben, ich hab mal n bisschen mehr ausgeschnitten.
-
Dann steht da wie gesagt "Init Sequence complete" was im Normalfall heißt, dass der Verbindungsaufbau abgeschlossen ist. Also steht die Verbindung.
-
Dann steht da wie gesagt "Init Sequence complete" was im Normalfall heißt, dass der Verbindungsaufbau abgeschlossen ist. Also steht die Verbindung.
Nein, das heisst bloss, dass der Server ordentlich hochgefahren ist. Wenn man sich dann mit nem Client verbindet, sieht das ungefähr so aus. Ich hab den Server extra mal neugestartet, meine Logs gehen von oben nach unten:
Jan 31 12:18:11 openvpn 78674 OpenVPN 2.4.0 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Dec 30 2016 Jan 31 12:18:11 openvpn 78674 library versions: OpenSSL 1.0.2j-freebsd 26 Sep 2016, LZO 2.09 Jan 31 12:18:11 openvpn 78942 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Jan 31 12:18:11 openvpn 78942 TUN/TAP device ovpns4 exists previously, keep at program end Jan 31 12:18:11 openvpn 78942 TUN/TAP device /dev/tun4 opened Jan 31 12:18:11 openvpn 78942 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jan 31 12:18:11 openvpn 78942 /sbin/ifconfig ovpns4 192.168.xxx.193 192.168.xxx.194 mtu 1500 netmask 255.255.255.192 up Jan 31 12:18:11 openvpn 78942 /usr/local/sbin/ovpn-linkup ovpns4 1500 1621 192.168.xxx.193 255.255.255.192 init Jan 31 12:18:11 openvpn 78942 UDPv4 link local (bound): [AF_INET]127.0.0.1:1194 Jan 31 12:18:11 openvpn 78942 UDPv4 link remote: [AF_UNSPEC] Jan 31 12:18:11 openvpn 78942 Initialization Sequence Completed Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_GUI_VER=net.openvpn.connect.ios_1.0.7-199 Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_VER=3.0.11 Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_PLAT=ios Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_NCP=2 Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_TCPNL=1 Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 peer info: IV_PROTO=2 Jan 31 12:19:20 openvpn 78942 2.206.xxx.136:62218 [username] Peer Connection Initiated with [AF_INET]2.206.xxx.136:62218 Jan 31 12:19:20 openvpn 78942 username/2.206.xxx.136:62218 MULTI_sva: pool returned IPv4=192.168.xxx.194, IPv6=(Not enabled)
-
Ah stimmt, ich hatte P2P Tunnel im Kopf, ganz richtig. Server ist also da. Müsste aber ankommend auch nen connect bekommen, der da aber nirgends zu sehen ist.
-
Bin grad unterwegs… Geht natürlich nicht.
Hier die Logs:
Der VPN Client auf dem Book:
2017-01-31 13:08:38 State changed to: Contacting (before: Disconnected) 2017-01-31 13:08:38 OpenVPN management socket connected 2017-01-31 13:08:38 >INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info 2017-01-31 13:08:38 >HOLD:Waiting for hold release:0 2017-01-31 13:08:46 >PASSWORD:Need 'Auth' username/password 2017-01-31 13:08:46 >STATE:1485864526,RESOLVE,,,,,, 2017-01-31 13:08:46 State changed to: Contacting (before: Contacting) 2017-01-31 13:08:46 >STATE:1485864526,WAIT,,,,,, 2017-01-31 13:09:46 State changed to: Reconnecting (before: Contacting) 2017-01-31 13:09:46 >STATE:1485864586,RECONNECTING,tls-error,,,,, 2017-01-31 13:09:46 >HOLD:Waiting for hold release:5 2017-01-31 13:09:46 >STATE:1485864586,RESOLVE,,,,,, 2017-01-31 13:09:46 State changed to: Contacting (before: Reconnecting) 2017-01-31 13:09:46 >STATE:1485864586,WAIT,,,,,, 2017-01-31 13:10:13 State changed to: Disconnecting (before: Contacting) 2017-01-31 13:10:13 >STATE:1485864613,EXITING,SIGTERM,,,,, 2017-01-31 13:10:13 OpenVPN management socket disconnected 2017-01-31 13:10:13 State changed to: Disconnected (before: Disconnecting)
Und in der pfSense steht… Nichts... (Im Log unter Status-SystemLogs-OpenVPN)
Die momentane Config ist Laptop mit Hotspot Handy
-
Ich hatte oben mal die Frage gestellt, ob Du geblockten Internet Traffic im pfSense Log siehst. Wenn da nie was steht und das Logging aktiviert ist, stimmt was mit Deiner Fritzbox und den Exposed Host Settings nicht. Dein OpenVPn Log deutet daraufhin, es kommt nichst bei Deiner pfSense an.
Wenn Du eh gerade von extern unterwegs bist, kannst Du das auch provozieren und mal ne SSH Verbindung zu Deiner pfSense aufbauen. Da solltest Du dann im Log eine geblockt Verbindung zu Port 22 sehen. Logging muss natürlich an sein.
Siehst Du da was? -
Also auf die pfSense komm ich nicht mit der DynDns der VPN Verbindung; Im Log hab ich aber auch nichts gesehen.
Wo genau ist denn der Knopf für das Logging versteckt? Und welches Log meinst du genau? Status-System Logs-Firewall und dann mit dem Filter den Haken bei "Block"? Dort sehe ich nichts auf dem Interface WAN.Wenn du Firewall - Rules - WAN meinst, dort auf der Rule-Definiton selbst das Logging aktiviert, ja, da ist es aktiviert. ( 3 Querbalken neben dem grünen Haken)
-
Moin,
ich habe mir das firewall log auf das Dashboard gelegt. FB auf exposed Host und über die Konsole ein ping auf mein dyndns.
Schwubs wird neben meinem ping auch die ganzen anderen portscanns aus dem Netz als geblockt angezeigt. -
Also auf die pfSense komm ich nicht mit der DynDns der VPN Verbindung; Im Log hab ich aber auch nichts gesehen.
Wo genau ist denn der Knopf für das Logging versteckt? Und welches Log meinst du genau? Status-System Logs-Firewall und dann mit dem Filter den Haken bei "Block"? Dort sehe ich nichts auf dem Interface WAN.Häkchen bei: Log packets matched from the default block rules in the ruleset
Wenn Du da aber nichts siehst, dann kommt bei der pfSense auch nichts an. Heisst, der Fehler liegt aller Wahrscheinlichkeit nach bei der Fritzbox. Zeigt die Portfreischaltung auf die korrekte pfSense WAN IP? Ansonsten mal alle Portforwards / exposed Host Einstellungen löschen, die FB neustarten und neu anlegen würde ich vorschlagen. -
Moin,
ich habe mir das firewall log auf das Dashboard gelegt. FB auf exposed Host und über die Konsole ein ping auf mein dyndns.
Schwubs wird neben meinem ping auch die ganzen anderen portscanns aus dem Netz als geblockt angezeigt.Das habe ich auch auf dem Dashboard. Da ich aber im Moment noch so einiges offen habe, weil ich sonst zu viel aussperre, blicke ich da noch nicht ganz durch.
Der Ping von Zuhause auf die Dyndns geht aber durch bei mir?!Häkchen bei: Log packets matched from the default block rules in the ruleset
Wenn Du da aber nichts siehst, dann kommt bei der pfSense auch nichts an. Heisst, der Fehler liegt aller Wahrscheinlichkeit nach bei der Fritzbox. Zeigt die Portfreischaltung auf die korrekte pfSense WAN IP? Ansonsten mal alle Portforwards / exposed Host Einstellungen löschen, die FB neustarten und neu anlegen würde ich vorschlagen.Das Häkchen ist an.
Die Portfreischaltung, respektive der Exposed Host liegt direkt auf den Namen der pfSense. Diese bekommt die IP per DHCP fest zugewiesen von der Fritzbox. Ich hatte es nicht geschafft, den DHCP Server der pfSense für diese Aufgabe erfolgreich zu gewinnen.
FB habe ich durch ein Update neu neu starten müssen. Es ist im Moment nur der Exposed Host eingetragen, was ja mehr als ausreichen sollte?!
-
Der Ping von Zuhause auf die Dyndns geht aber durch bei mir?!
ICMP wird von der Fritzbox meines Wissens nicht weitergereicht, die antwortet selbst.
FB habe ich durch ein Update neu neu starten müssen. Es ist im Moment nur der Exposed Host eingetragen, was ja mehr als ausreichen sollte?!
Lösch mal den exposed Host, reboote die Box und trag ihn neu ein. Da scheint was nicht zu stimmen. Du müsstest im Log auch immer Geblocktes von Ausserhalb finden, da kommt alle paar Minuten was, z.B.:
Feb 2 08:34:58 DSL Default deny rule IPv4 (1000000103) 185.35.xxx.18:60637 192.168.xx0.250:1911 TCP:S Feb 2 08:35:43 CBL Default deny rule IPv4 (1000000103) 114.32.xxx.39:4064 192.168.xx8.250:23 TCP:S
-
….
Das habe ich auch auf dem Dashboard. Da ich aber im Moment noch so einiges offen habe, weil ich sonst zu viel aussperre, blicke ich da noch nicht ganz durch.
Der Ping von Zuhause auf die Dyndns geht aber durch bei mir?!Es geht hierbei nicht darum was du alles offen hast, vielmehr darum ob die FB den auch alles brav durchreicht was so alles aus dem www anfragt. Ich wollte damit sagen das du im Firewall log auf dem WAN Interface anfragen aus dem Internet sehen kannst die von der pfsense geblockt werden.
Wenn das nicht der Fall ist, hat die Fritzbox ein Problem. -
OK….
Nach langem Hin und Her pfSense neu aufgespielt aus einem Backup, VPN nach anleitung, COnnect, passt....
Ach, die Jungspunde, wenn se irgendwo irgendwelche Knöpfe drücken und dann nimmer wissen wo es war.
Als nächstes möchte ich das Netzwerk eingrenzen.
Momentan ist auf der Fritzbox der Exposed Host zur pfSense. Wie soll das gelöst werden?
Momentan ist auf dem 01_WAN alles auf durch gesetzt, wie soll das gemacht werden?
Momentan ist auf dem 02_Gast alles auf durch gesetzt, wie soll das gemacht werden? Was brauchen die Gäste?
Momentan ist auf dem 03_Privat alles auf durch gesetzt, wie soll das gemacht werden? Hier möchte ich alles laufen lassen was per WLAN drin ist bei mir.
Momentan ist auf dem 04_LAN alles auf durch gesetzt, wie soll das gemacht werden? Hier soll alles drauf laufen was per LAN angesteckt ist am Switch.
Auf dem Switch sind momentan 4 VLAN's konfiguriert.
1000 für 01_WAN -> DHCP via Fritzbox 7490
2000 für 02_Gast -> DHCP via pfSense
3000 für 03_Privat -> DHCP via pfSense
4000 für 04_LAN -> DHCP via pfSense -
Momentan ist auf der Fritzbox der Exposed Host zur pfSense. Wie soll das gelöst werden?
Warum gelöst werden? Ist doch gelöst.Momentan ist auf dem 01_WAN alles auf durch gesetzt, wie soll das gemacht werden?
Hö? auf WAN ist ALLES erlaubt?! Warum das denn!? Und Warum DHCP? Die pfSense macht doch kein DHCP bei der Fritzbox - wenn sich da die IP wechseln würde, wäre doch der ganze Exposed Host im Eimer?Wie 2,3,4 konfiguriert wird - keine Ahnung, da musst du entscheiden was du wo durchlassen willst und was die können sollen. Das kann dir hier kaum einer beantworten, was du möchtest, dass Gäste oder WiFi Geräte bspw. können.
-
Hi, also ich dachte es ist nicht gut den exposed host auf der fritte zu betreiben, sondern nur die Ports, bei mir im Moment wohl Udp 1094?
Es ging bis dato nur darum, es einfach mal zum laufen zu bekommen. Habe mittlerweile auf dem wan nur noch die Regel für OpenVPN. Gehört da sonst noch was hin?
Es lief bei mir nur, also der Internet Zugriff, wenn ich die fritte als dhcp Server laufen lasse und die pfSense die ip von der fritte per dhcp bekommt. Es soll also schon so sein, das auch auf der wan der dhcp Server läuft?Naja, es gibt ja Ports die offen sein sollen. Surfen z.b. 80 und 443 aber nur tcp.
Gibt's da keine Liste wo das genau drin ist? Welche Ports man mit tcp und welche udp freigeben sollte, etwa sowas:https://support.apple.com/de-de/HT202944
-
Z.B. hier ist ne prima Firewall Grundlagen Anleitung:
https://forum.pfsense.org/index.php?topic=78062.0 -
Top, Danke!
-
Gehört zwar nicht zum Netzwerk, aber trotzdem:
Ich habe es hinbekommen, das nun LCDproc "da" ist. Es ist allerdings nicht unter Services. Auch zeigt das LCD nichts brauchbares an.
Was muss ich da jetzt noch tun, damit das funktioniert?