Openvpn Tunnel neustarten bei falscher exit IP
-
Hallo,
mein VPN Anbieter erlaubt 4oder 5 gleichzeitige Verbindungen. D.h. du kannst mehrere VPN clients gleichzeitig konfigurieren. Hierzu kannst du Ip Adressen benutzen (anstelle von host oder domain Namen)
Beispiel:
https://mullvad.net/en/servers/Danach kannst du eine Gateway Group konfigurieren und allen Gateways die gleiche Priorität geben (Tier1) . per round-robin werden dann die externen Verbindungen aufgebaut.
Outbound NAT nicht vergessen.
-
@gucu_greyarea
ok also direkt per IP komm ich nicht auf den Server, bzw nur mit einer (Haupt IP) trotzdem ist dann die exit IP ne andere.ggf. muss ich an der Config aber nochwas anpassen, habe einfach die domain durch die Server IP ersetzt.
Mit Gateway Groups hab ich auch schon mal was gemacht auf tier 1 aber mit dem Nachteil das ich bei jedem Browser reload ne neue IP hatte bzw. Halt eine von dieser gateway group.
Round robin sagte mir bis aben noch nix, aber wenn jch des richtig gelesen habe wird round-robin ja achon automatisch genutzt.
-
@Chrysen
"nur mit einer (Haupt IP) trotzdem ist dann die exit IP ne andere."Es scheint als ob dein VPN Anbieter Verbindungen per IP nicht zulässt...
"aber mit dem Nachteil das ich bei jedem Browser reload ne neue IP hatte"
Ich dachte das wäre erwünscht für privacy usw... In meinem falle bleibt die IP per Browser session die gleiche, aber andere Nutzer bekommen per "round-robin" ein anderes Gateway zugewiesen...
Ich bin nicht unbedingt davon überzeugt dass verschiedene gateways mehr "privacy" mit sich bringen. Es handelt sich ja um den gleichen VPN Anbieter... (oder hast du ggf. mehrere Anbieter?)Mullvad VPB bietet einen Socks5 Proxy an der Captchas angeblich reduzieren kann.
Ich persönlich nutze mehrere VPN Verbindungen, aber nicht per round-robin, jedoch für failover. Bevorzugt netzte ich den Server (Tier1) mit der geringsten "latency" und wenn der nicht verfügbar ist einen andern server (Tier2)....
-
ich kann schon einstellen das ich eine feste IP bekomme, aber wenn ich das mache komme ich trotzdem nur über die Haupt IP oder halt Domain drauf.
ne möchte schon das die einzelne Session bleibt, nur wie bei dir das andere Geräte dann jeweils wieder ne eigene Exit IP bekommen.
Hast du irgendwas spezielles eingestellt, das beim Browser reload die IP gleich bleibt. Hab mal was von Sticky Verbindung gelesen, das die quasi kleben bleibt.
-
Hallo,
Habe gerade nochmals getestet. round robin mit mehreren gateways als Tier1.
In Safari (ipad) einfach “whats my IP” eingeben.
Google zeigt meine aktuelle externe IP (vom VPN anbieter). Die IP bleibt solange die gleiche bis ich die safari App komplett Schliesse.
Das gleiche resultat bekomme ich mit der speedtest.net app.Beim erneuten oeffnen der app bekomme ich eine neue externe ip angezeigt.
In pfsense habe ich nichts einstellen muessen.In sytem - advanced - misc
Use sticky connection (kein haken)
State killing on gateway failure (haken gesetzt) -
@gcu_greyarea
ok also Safari habe ich noch nie getestet meist Firefox.Wenn du die konstellation grade schon hast kannst ja mal Firefox probieren eventuell reagiert der allgemein anders
Aber Round-Robin wird direkt von pfsense genutzt und muss man nicht noch irgendwo aktivieren?
Habe kein Menü gefunden um des auszuwählen.Muss des Morgen nochmal nachstellen auch mal mit Safari, muss Arbeiten heute noch
-
Ja, du musst bei pfsense nix einstellen. Einfach alle gateways in der Gruppe auf Tier1 setzen...
Firefox habe ich derzeit nicht installiert, habe jedoch mit Win10 getestet.
Chrome und IE behalten die gleiche IP adresse wenn man mehrere Tabs oeffnet.
Die Adresse aendert sich erst wenn man die Browser schliesst und danach wieder oeffnet. Manchmal muss man mehrere mal probieren bis sich die Adresse aendert. -
State killing on gateway failure hab ich auch mal aktiviert, und unter der Gateway Group verschiedene trigger level getestet aber trotzdem ändert sich die exit IP sehr Oft wenn man den Tab neu lädt, getestet mit Handy und Tablet, Chrome Firefox und Opera.
Habe einfach als Regel den IP Adressbereich vom Heimnetz auf die Gateway Group gestellt.
Kann es sein das man da nochwas einstellen muss. An sich hat man ja mal alle Teilnehmer dieser Gruppe aber halt jedes mal beim Tab reload random neu. -
Ich würde dann mal beim VPN anbieter anfragen. Ggf. Verlässt der verkehr den VPN anbieter über verschiedene public IP’s ? Also im prinzip das gleiche was du zu hause machst, geschieht auch beim VPN anbieter.
-
Dürfte eig nicht, weil wenn ich nur einen Tunnel nehme bekomme ich nur einmal ne random IP solange der Tunnel steht.
Da kann ich so oft tab neuladen wie ich möchte. Mit immer derselben exit IP. -
Hi, da bin ich momentan echt überfordert. Du möchtest dass jeder client eine eigene exit IP bekommt und diese IP soll besthen bleiben.
Wieviele tunnel erlaubt dein Anbieter gleichzeitig ?
Ich kann nur 4 oder 5 open VPN verbindungen gleichzeitig aufbauen. Unser haushalt hat jedoch mehr clients...Angenommen du hast 20 clients (computer, handys etc) und 4 tunnel...
du koenntest 4 Aliasse mit je 5 clients erzeugen.
Dann 4 firewall regeln erzeugen:
Alias1 -> gw1
.
.
Alias4 -> gw4Somit wäre sichergestellt dass zumindest die exit ip für ein Alias die gleiche bleibt.
-
Hallo dein problem ist hier beschrieben:
https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html
https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html#problems-with-load-balancing
Problems with Load Balancing
Some websites store session information including the client IP address, and if a subsequent connection to that site is routed out a different WAN interface using a different public IP address, the website will not function properly. This is becoming more common with banks and other security-minded sites. The suggested means of working around this is to create a failover group and direct traffic destined to these sites to the failover group rather than a load balancing group. Alternately, perform failover for all HTTPS traffic.
The sticky connections feature of pf is intended to resolve this problem, but it has historically been problematic. It is safe to use, and should alleviate this, but there is also a downside to using the sticky option. When using sticky connections, an association is held between the client IP address and a given gateway, it is not based off of the destination. When the sticky connections option is enabled, any given client would not load balance its connections between multiple WANs, but it would be associated with whichever gateway it happened to use for its first connection. Once all of the client states have expired, the client may exit a different WAN for its next connection, resulting in a new gateway pairing.
Ich würde folgende Optionen erwägen:
-
wie oben beschrieben eine Failover Group benutzen, aber dann haben alle seine clients die gleiche exit ip.
-
mehrere aliasse anlegen und dann per Firewall Regel auf verschidene gateways aufteilen
-
Sticky Session feature nutzen und den source tracking timeout
-
wie hier beschrieben eine firewall regel erzeugen und problematische seiten per IP aufrufen und geziehlt ein gateway nutzen
https://community.spiceworks.com/topic/2143338-dual-wan-pfsense-load-balancing-sticky-session
Probleme mit4)
a) website laesst sich ggf nich per IP
b) website nutzt load balancer usw und IP aendern sich
c) domain und website sind aus meiner erfahrung in pfsense FW regeln problematisch, weil diese erst in IP adressen aufgeloest werden muessenIch persoenlich nutze failover group, dar keinen grossen vorteil darin sehe verschiedene exit IP zu nutzen, es sei denn du har verschiedene VPN anbieter...
-
-
Ok danke schon mal für die Ausführliche Beschreibung der Möglichkeiten.
- Das muss ich mal testen mit einer Failover Group (noch nie was mit gemacht) , kann man denn nur eine machen?
2 .Das kann man natürlich machen dann kann man halt einer gewissen Gruppe eine feste IP zuweißen, und wenn sich der Tunnel neu aufbaut gibt's halt ne neue Exit IP für alle innerhalb des Alias.
-
Das ließt sich so das man für eine vorgegebene Zeit einem Gateway zugeornet ist und der dann ein Zwangs Wechsel durchführt.
-
Das werde ich mal testen was der daraus macht bei ein paar IP check Seiten.