OpenVPN von extern nicht erreichbar.

nodau

Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.

orcape

@bahsig said in OpenVPN von extern nicht erreichbar.:

Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.

Das sollte mit Automatic outbound NAT eigentlich erledigt sein....

nodau

Ich habe auch nicht von Outbound NAT gesprochen ;-)

orcape

@bahsig said in OpenVPN von extern nicht erreichbar.:

Ich habe auch nicht von Outbound NAT gesprochen ;-)

...und von was dann?

Hier braucht 's keine NAT-Regel ausser "Outbound NAT", damit ich von einem Tunnel auf die Web-Oberfläche oder ins LAN komme und auch auf den vorgeschalteten "Fritten-Kasten" reicht die Firewall-Rule aus und das funktioniert nicht nur bei einer Firewall so. Habe ich wohl was verkehrt gemacht.
Gruß orcape

nodau

@orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt oder man aus mehreren Netzwerken einen Tunnel aufbauen möchte, muss man sich beim lauschenden Interface zwischen "localhost" oder "any" entscheiden. Bei "any" kann dann aus jedem Netzwerk ein Tunnel aufgebaut werden. Die, die das nicht wollen, müssen dann Blockierregeln erstellen oder auf "localhost " als Interface zurückgreifen. Bei letzterem funktioniert der Tunnel nur mit entsprechendem Port Forwarding.

orcape

@bahsig said in OpenVPN von extern nicht erreichbar.:

@orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt....

Kommt es aber in diesem Fall nicht.
Leider ist der Input des TE nicht gerade zielführend, denn ein "anscheinend" ordentlich aufgebauter Tunnel, muss nicht zwingend wirklich eine Verbindung gewährleisten.
Hier wären Logs, Routing-Tabellen, Server-, Client-Einstellungen und noch ein paar mehr Infos zum Aufbau des Netzwerkes angebracht, um wirklich zielführend helfen zu können.
Hier kann man Bilder hochladen, um das ganze für Aussenstehende besser zu veranschaulichen. Wenn man Hilfe benötigt, warum nutzt man diese Möglichkeiten nicht.
Gruß orcape

mike69

Ist der Speedport auf Exposed Host gesetzt? Wenn nein, kümmern sich beide um die Portweiterleitung, das ist kontraproduktiv.

Eigendlich funktioniert alles nach dem Wizard und nach der Wiki oofb, bei einem WAN. Die einzigen Rules liegen unter WAN und LAN, wie es der Wizard vorschlägt. Wenn alles so geschmeidig laufen würde wäre ich froh.:)

orcape

@mike69 said in OpenVPN von extern nicht erreichbar.:

... Wenn alles so geschmeidig laufen würde wäre ich froh.:)

Warum sollte das nicht funktionieren? ...ich bin froh.

mike69

@orcape said in OpenVPN von extern nicht erreichbar.:

@mike69 said in OpenVPN von extern nicht erreichbar.:

... Wenn alles so geschmeidig laufen würde wäre ich froh.:)

Warum sollte das nicht funktionieren? ...ich bin froh.

Dann sind das schon zwei.

Aber mal zum Topic, der TE könnte mal ein Feedback geben über die aktuelle Lage hier.

01minki

Nachdem ich nun den Speedport durch die Fritzbox testweise ausgetauscht hatte und das Fehlerbild gleich geblieben ist glaube ich nicht mehr an Speedport als Ursache.
Die Sense habe ich komplett neu aufgesetzt mit dem Ergebnis das das Fehlerbild gleich geblieben ist.
Dann habe ich einen Kollegen dazugezogen der selbst schon länger eine Sense für sein privates und Firmennetzwerk betreibt.
Er hat OpenVPN und die von mir eingerichteten Regeln gelöscht und OpenVPN über den Wizzard neu eingerichet.
Auch er konnte bisher die Ursache noch nicht finden.
Um auszuschließen das ich einen Fehler bei der Erstellung der Zertifikate gemacht habe wird er es nun in den nächsten Tagen mit einer bei mir frisch installierten Version probieren und auch die Zertifikate selbst darauf erstellen.

nodau

Ohne logs können wir nicht weiterhelfen. Wenns an den Zertifikaten liegt, ändere den Server mode auf Remote Access (user auth). Dann kannst du das schonmal ausschließen. Hast du auf der FB mal die Sense als Exposed Host konfiguriert?

viragomann

@01minki
Noch einmal:
Wenn du auf deinem Router alles auf die pfSense weitergeleitet hast, bzw. auf der FritzBox diese als Exposed Host eingetragen hast, und ein Packet Capture am WAN Port der pfSense mit Filter nach Port 1194 (wenn dieser bislang nicht verändert wurde) keine Pakete zeigt, dann liegt es nicht an der pfSense!
Dann suchst du an der falschen Stelle.

Versuche mal die Verbindung aus einem anderen Netz als aus deinem Mobilen. Ggf. wird da die VPN blockiert. Kann aber auch sein, dass dein Provider jeglichen Zugriff auf deine öffentliche IP blockiert.
Du kannst auch ein Port-Prüftool im Internet verwenden, während du ein Packet Capture machst, um zu sehen, ob was durchkommt. Auf die Aussage des Prüftools würde ich nichts geben, weil die meist nur TCP testen und dann ein offener UDP Port als geschlossen angezeigt wird.
Auch die pfSense hat ein Port Test Werkzeug im Diagnostic Menu mit an Board. So kannst du auch deinen Kollegen bitte, dass er gewisse Ports bei dir testet, während du das Capture laufen lässt.
Auf diese Weise kann auch ein offener Port gesucht werden, wenn auch etwas mühsam.
Der Port 1194 ist ja nicht zwingend für OpenVPN, du kannst jeden beliebigen verwenden, der nicht anderweitig auf der Empfängerseite verwendet wird. Ich habe bspw. für privat zusätzlich einen Server laufen, der auf 587 TCP lauscht. Nachdem dieser Port für Mailversand standardisiert ist, wird er eher nicht blockiert.
Erst wenn da was von außen rein kommt, macht es Sinn bei der pfSense zu suchen.

orcape

@viragomann said in OpenVPN von extern nicht erreichbar.:

@01minki
Erst wenn da was von außen rein kommt, macht es Sinn bei der pfSense zu suchen.

Zudem noch nicht einmal sicher ist, ob der Tunnel überhaupt richtig funktioniert.

mike69

@orcape said in OpenVPN von extern nicht erreichbar.:

@viragomann said in OpenVPN von extern nicht erreichbar.:

@01minki
Erst wenn da was von außen rein kommt, macht es Sinn bei der pfSense zu suchen.

Zudem noch nicht einmal sicher ist, ob der Tunnel überhaupt richtig funktioniert.

Laut TE ja:

@01minki said in OpenVPN von extern nicht erreichbar.:

Hallo zusammen,

ich (Einsteiger) habe auf einer pfSense OpenVPN installiert um von extern auf Sie für z.B. Wartungs- ud Administrationsarbeiten darauf zugreifen zu können.
Mittlerweile kann ich aus dem LAN und aus dem WAN der pfSense (also noch hinter dem Speedport Smart) die VPN-Verbindung herstellen.

IMHO liegt das Problem vor pfSense. Das Auflösen der IP des ISP funktioniert, oder hast Du eine feste IP? Nicht, das an dem Dyn. DNS liegt.

01minki

Es ist gelöst.
Ursache war offensichtlich ein Gerät in meinem Netzwerk (Telekom Speed Home WiFi).
Nachdem ich durch Zufall das Gerät ausgeschaltet hatte funktionierte der Zugang sofort.
Da die VPN-Verbindung garnicht durch das Gerät geht verstehe ich den Zusammen hang zwar nicht aber das ist mir egal.
Hab nun das Gerät einmal zurückgesetzt und jetzt klappt die Verbindung sogar wenn das Telekom Speed Home WiFi im Netzwerk hängt.

Vielen Dank für Eure Hilfe.!

mike69

@01minki said in OpenVPN von extern nicht erreichbar.:

Es ist gelöst.
Ursache war offensichtlich ein Gerät in meinem Netzwerk (Telekom Speed Home WiFi).
Nachdem ich durch Zufall das Gerät ausgeschaltet hatte funktionierte der Zugang sofort.
Da die VPN-Verbindung garnicht durch das Gerät geht verstehe ich den Zusammen hang zwar nicht aber das ist mir egal.
Hab nun das Gerät einmal zurückgesetzt und jetzt klappt die Verbindung sogar wenn das Telekom Speed Home WiFi im Netzwerk hängt.

Vielen Dank für Eure Hilfe.!

Ist schon verrückt, oder?