Client hinter pfSense versucht sich mit einer falschen IP via OpenVPN anzumelden
-
Hallo zusammmen!
Habe ein eher kurioses Problem und komme nicht dahinter.
Auf meiner pfSense habe ich ein Netz 10.0.103.0/24 (OPT3_EXT) als DMZ angelegt. Clients in diesem Netz haben folgende Zugriffsregeln:
| Protokoll | Quelle | Port | Ziel | Port allow | IPv4 TCP/UDP | OPT_3_EXT net | * | OPT_EXT adress | 53 (DNS) allow | IPv4 ICMP any | OPT_3_EXT net | * | OPT_EXT adress | * reject | IPv4 * | OPT_3_EXT net | * | RFC1918 | * allow | IPv4 * | OPT_3_EXT net | * | | *Ein Raspberry als Client mit der IP 10.0.103.102 baut eine OpenVPN Verbindung zu einer entfernten pfSense (10.8.0.0/24) auf und bekommt von dort planmäßig die die IP 10.8.0.102. Der Client ist auf der entfernten pfSense mit der öffentlichen IP der lokalen pfSense sichtbar. Das klappt aber nicht immer!!!
Manchmal - ich kann nicht sagen unter welchen besonderen Bedingungen - funktioniert die Verbindung nicht. Der Client ist auf der entfernten pfSense dann als UNDEF zu sehen - mit einer falschen IP. Restart der OpenVPN-Verbindung am Client oder Reboot des Clients hilft dann nicht. Einziges Mittel ist ein Reboot der lokalen pfSense. Das kann ja wohl keine Lösung sein.
Ich muss dazu sagen, dass ich bedingt durch meinen Provider eine Zwangstrennung nach 24h habe, die ich für 05:10 Uhr festgelet habe. Daran kann es aber auch nicht liegen, da das Problem nicht täglich auftritt.
Ich weiß nicht mehr wo ich suchen soll! Lokale oder entfernte pfSense oder am Client.
Bin für alle Tipps dankbar.
Gruß
Thomas -
Hallo,
vorweg, ich kenne dieses Problem nicht.
Allerdings ist mir bei deiner Beschreibung die Option im OpenVPN Server "Allow connected clients to retain their connections if their IP address changes" in den Sinn gekommen. Weil ich kürzlich meinen ersten neu auf 2.4 konfiguriert habe, bin ich die Optionen etwas genauer durchgegangen. Die gab es allerdings auch schon in früheren Versionen, soweit ich mich erinnere.
Klingt als würde es den Server tolerant gegen sich ändernde Client-IPs machen.Könntest du ja mal versuchen.
Grüße
-
Danke für den Tipp! Hab die Funktion deaktiviert, hat leider nicht geholfen.
-
Ich denke eher nicht, dass du sie deaktivieren solltest, sondern aktivieren ;) Damit die entfernte pfSense eine sich ändernde IP deiner lokalen pfSense erlaubt und damit der Client "OK" bleibt. Deaktivieren heißt ja, dass ein Client seine IP NICHT ändern darf/soll. Allerdings stimme ich da zu, das Phänomen kenne ich so gar nicht. Ist OpenVPN eingewählt bekommt man auch normalerweise eine IP zugewiesen und gut.
Wenn der Client auf der entfernten Seite UNDEF ist, würde ich in dem Zustand dringend die Logs sowohl der Einwahl als auch des Clients checken, da MUSS drinstehen, was zugewiesen wurde oder warum nicht. Und daraus wirst du dann denke ich schlauer, warum das so ist. Clientseitig mit verb 3 oder verb 4 die Logmeldungen hochsetzen und schauen, was beim Login passiert.
Gruß Jens
-
Ich hab mal in die Client Config "NOBIND" eingefügt. Dannach hat sich die Verbindung wieder aufgebaut. Mal sehen ob das hilft. Ich werde in jedem Fall die Logs mal prüfen.
