probleme beim gleichzeitigen aktivieren von 2 openvpn servern
-
Site to Site? Static Key? PKI? Konfiguration? Logs?
-Rico
-
@rico
ich möchte gerne beide verbindungen aktiv machen. einzeln funktionieren beide super. zusammen leider keine. -
Außer dass du mit 173.16.2.0/30 kein gültiges RFC1918 Netz verwendest sagt der Screenshot leider nicht viel aus.
Aber vielleicht liegt es ja schon daran, ändere einfach mal auf 172.16.2.0/30 ;-)-Rico
-
Site to Site? Static Key? PKI? Konfiguration? Logs?
site to site -> laut anleitung ja
static key -> ich habe das textfeld auf beiden seiten gefüllt( denke ja)
pki? public key? -> ich denke nicht.
konfiguration? -> welche?
logs? -> hab ich viele, die von der openvpn zeigt ja nur an das die verbindung klappt.warum können die ip adressen von standort a nicht mehr erreichbar sein wenn der vpn eintrag von standort b aktiviert wird. die lan's ist unterschiedlich. servernetz 192.168.10.x server(standort c) 192.168.25.x standort a 192.168.40.x standort b
-
@rico soweit ich das beurteilen kann spielt bei meinem problem diese tunnel network adresse keine rolle. egal was ich dort eintrage. solange diese verbindung auf deaktiviert steht kann ich die andere verbindung nutzen.
sobald diese verbindung angeschaltet wird geht kein signal mehr zur bestehenden anderen verbindung durch. -
-
@bahsig und ich habe die frage nach den logs und der einstellungen schon mit fragen beantwortet. welche konfiguration möchten sie lesen? welche logs? es gibt bei pf-sense mehr als eine einstellungsseite.
-
Hallo,
die OpenVPN Logs wären hierzu wohl interessant, und zwar aus dem Zeitbereich, zu dem die 2. Verbindung fehlschlägt, nicht während sie deaktiviert ist, und von allen beteiligten Geräten.
Status > System Logs > OpenVPN -
@viragomann
hier ist nur eine verbindung auf deaktiviert gestellt und das verbundene ziel erreichbar.
hier sind beide verbindungen erlaubt und auf der stehenden verbindung ist nichts mehr erreichbar -
Also die IP der 2. Instanz löst sich revers so auf: 173-16-2-1.client.mchsi.com
Am einfachsten wäre es, wenn du erstmal das Subnet in ein privates abänderst. Dann schauen wir weiter.
-
@bahsig habe es auf 192.168.90.0/30 geändert. ich hoffe das ist privat genug.
leider ist das problem genau gleich geblieben. -
Wie sehen die NAT Regeln auf dem WAN Interface aus?
-
Leider ist in den Logs das Problem nicht erkennbar. Es ist lediglich zu sehen, dass der 1195er Server startet, aber sich kein Client damit verbindet, wenn beide aktiv sind. Hier wäre interessant zum Vergleich, den 1194er zu deaktivieren.
Vielleicht ist auch mehr zu sehen, wenn man den Log-Level höher setzt (Verbosity level), ev. mal mit 7 probieren.Auch das Log des Clients, der sich nicht verbinden kann könnte hilfreich sein.
-
@bahsig unter NAT-Outbound ist der button "Manual Outbound NAT" aktiv.
in der liste gibt es Interface -> WAN : Source -> 192.168.10.0/24 : Source Port -> tcp/udp/* : Destination -> * : Destination Port -> tcp/udp/* : NAT adress -> WAN adress : NAT Port -> * : Static Port -> NO -
@viragomann der 3. standort war noch nie zur gleichen zeit aktiv. deshalb kann ich auch hiervon kein bild schicken. wo kann man diese loglevel auf 7 stellen?
-
Warum postest du hier nicht einfach Screenshots deiner Einstellungen.
Beim Outbound NAT sollte sich zumindest auch eine Regel wie diese finden:
WAN 127.0.0.0/8 * * * WAN address * *Wenn du den 1194er Server deaktivierst, verbindet sich doch der andere, so zeigt es jedenfalls obiges Foto. Das Log dieser Verbindung wäre zu Vergleichszwecken interessant.
Der Log-Level ist in der Server Konfig ganz unten zu finden: "Verbosity level" .
-
@viragomann bei outbound-nat gibt es keine 127.0.0.0/8 regel. eine inbetiebnahmen des 3.standorts ist erst möglich wenn der 2. standort weiterhin erreichbar ist! auch zu testzwecken ist dieses testszenario wegen kilometerweiter entfernung nicht umsetzbar,
-
Das wird ja immer konfuser. Also die Verbindung von Standort 1 zu Standort 2 funktioniert ja anscheinend über Port 1194, von Standort 1 zu Standort 3 über Port 1195 nicht.
Meinte zum NAT eigentlich die eingehenden Regeln auf dem WAN Interface, nicht das Outbound NAT. Zusätzlich wäre die Konfiguration der OpenVPN Server Instanzen hilfreich.
Wir wissen übrigens immer noch nicht, welche pfSense Version du verwendest.
Zum Test ändere mal das Protokoll der 2. Instanz auf TCP und wechsle den Port auf einen hohen ungenutzten. -
@bahsig said in probleme beim gleichzeitigen aktivieren von 2 openvpn servern:
Das wird ja immer konfuser. Also die Verbindung von Standort 1 zu Standort 2 funktioniert ja anscheinend über Port 1194, von Standort 1 zu Standort 3 über Port 1195 nicht.
falsch. beide verbindungen funktioniern! allerdings nur solange wie nur ein der beiden auf aktiv geschalten ist.
unter firewall -> nat sind alle anderen seiten leer.
-
@bahsig
leider ohne verbesserung )-: . der ping auf der ersten verbindung, ist direkt nach dem aktivieren der 2.verbindung nicht mehr möglich.
