Openvpn Tunnel neustarten bei falscher exit IP

gcu_greyarea

@Chrysen
"nur mit einer (Haupt IP) trotzdem ist dann die exit IP ne andere."

Es scheint als ob dein VPN Anbieter Verbindungen per IP nicht zulässt...

"aber mit dem Nachteil das ich bei jedem Browser reload ne neue IP hatte"

Ich dachte das wäre erwünscht für privacy usw... In meinem falle bleibt die IP per Browser session die gleiche, aber andere Nutzer bekommen per "round-robin" ein anderes Gateway zugewiesen...
Ich bin nicht unbedingt davon überzeugt dass verschiedene gateways mehr "privacy" mit sich bringen. Es handelt sich ja um den gleichen VPN Anbieter... (oder hast du ggf. mehrere Anbieter?)

Mullvad VPB bietet einen Socks5 Proxy an der Captchas angeblich reduzieren kann.

Ich persönlich nutze mehrere VPN Verbindungen, aber nicht per round-robin, jedoch für failover. Bevorzugt netzte ich den Server (Tier1) mit der geringsten "latency" und wenn der nicht verfügbar ist einen andern server (Tier2)....

Chrysen

@gcu_greyarea

ich kann schon einstellen das ich eine feste IP bekomme, aber wenn ich das mache komme ich trotzdem nur über die Haupt IP oder halt Domain drauf.

ne möchte schon das die einzelne Session bleibt, nur wie bei dir das andere Geräte dann jeweils wieder ne eigene Exit IP bekommen.

Hast du irgendwas spezielles eingestellt, das beim Browser reload die IP gleich bleibt. Hab mal was von Sticky Verbindung gelesen, das die quasi kleben bleibt.

gcu_greyarea

Hallo,

Habe gerade nochmals getestet. round robin mit mehreren gateways als Tier1.
In Safari (ipad) einfach “whats my IP” eingeben.
Google zeigt meine aktuelle externe IP (vom VPN anbieter). Die IP bleibt solange die gleiche bis ich die safari App komplett Schliesse.
Das gleiche resultat bekomme ich mit der speedtest.net app.

Beim erneuten oeffnen der app bekomme ich eine neue externe ip angezeigt.
In pfsense habe ich nichts einstellen muessen.

In sytem - advanced - misc

Use sticky connection (kein haken)
State killing on gateway failure (haken gesetzt)

Chrysen

@gcu_greyarea
ok also Safari habe ich noch nie getestet meist Firefox.

Wenn du die konstellation grade schon hast kannst ja mal Firefox probieren eventuell reagiert der allgemein anders

Aber Round-Robin wird direkt von pfsense genutzt und muss man nicht noch irgendwo aktivieren?
Habe kein Menü gefunden um des auszuwählen.

Muss des Morgen nochmal nachstellen auch mal mit Safari, muss Arbeiten heute noch

gcu_greyarea

Ja, du musst bei pfsense nix einstellen. Einfach alle gateways in der Gruppe auf Tier1 setzen...
Firefox habe ich derzeit nicht installiert, habe jedoch mit Win10 getestet.
Chrome und IE behalten die gleiche IP adresse wenn man mehrere Tabs oeffnet.
Die Adresse aendert sich erst wenn man die Browser schliesst und danach wieder oeffnet. Manchmal muss man mehrere mal probieren bis sich die Adresse aendert.

Chrysen

@gcu_greyarea

State killing on gateway failure hab ich auch mal aktiviert, und unter der Gateway Group verschiedene trigger level getestet aber trotzdem ändert sich die exit IP sehr Oft wenn man den Tab neu lädt, getestet mit Handy und Tablet, Chrome Firefox und Opera.

Habe einfach als Regel den IP Adressbereich vom Heimnetz auf die Gateway Group gestellt.
Kann es sein das man da nochwas einstellen muss. An sich hat man ja mal alle Teilnehmer dieser Gruppe aber halt jedes mal beim Tab reload random neu.

gcu_greyarea

Ich würde dann mal beim VPN anbieter anfragen. Ggf. Verlässt der verkehr den VPN anbieter über verschiedene public IP’s ? Also im prinzip das gleiche was du zu hause machst, geschieht auch beim VPN anbieter.

Chrysen

@gcu_greyarea

Dürfte eig nicht, weil wenn ich nur einen Tunnel nehme bekomme ich nur einmal ne random IP solange der Tunnel steht.
Da kann ich so oft tab neuladen wie ich möchte. Mit immer derselben exit IP.

gcu_greyarea

Hi, da bin ich momentan echt überfordert. Du möchtest dass jeder client eine eigene exit IP bekommt und diese IP soll besthen bleiben.
Wieviele tunnel erlaubt dein Anbieter gleichzeitig ?
Ich kann nur 4 oder 5 open VPN verbindungen gleichzeitig aufbauen. Unser haushalt hat jedoch mehr clients...

Angenommen du hast 20 clients (computer, handys etc) und 4 tunnel...
du koenntest 4 Aliasse mit je 5 clients erzeugen.
Dann 4 firewall regeln erzeugen:
Alias1 -> gw1
.
.
Alias4 -> gw4

Somit wäre sichergestellt dass zumindest die exit ip für ein Alias die gleiche bleibt.

gcu_greyarea

Hallo dein problem ist hier beschrieben:

https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html

https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html#problems-with-load-balancing

Problems with Load Balancing

Some websites store session information including the client IP address, and if a subsequent connection to that site is routed out a different WAN interface using a different public IP address, the website will not function properly. This is becoming more common with banks and other security-minded sites. The suggested means of working around this is to create a failover group and direct traffic destined to these sites to the failover group rather than a load balancing group. Alternately, perform failover for all HTTPS traffic.

The sticky connections feature of pf is intended to resolve this problem, but it has historically been problematic. It is safe to use, and should alleviate this, but there is also a downside to using the sticky option. When using sticky connections, an association is held between the client IP address and a given gateway, it is not based off of the destination. When the sticky connections option is enabled, any given client would not load balance its connections between multiple WANs, but it would be associated with whichever gateway it happened to use for its first connection. Once all of the client states have expired, the client may exit a different WAN for its next connection, resulting in a new gateway pairing.

Ich würde folgende Optionen erwägen:

1. wie oben beschrieben eine Failover Group benutzen, aber dann haben alle seine clients die gleiche exit ip.

2. mehrere aliasse anlegen und dann per Firewall Regel auf verschidene gateways aufteilen

3. Sticky Session feature nutzen und den source tracking timeout

4. wie hier beschrieben eine firewall regel erzeugen und problematische seiten per IP aufrufen und geziehlt ein gateway nutzen

https://community.spiceworks.com/topic/2143338-dual-wan-pfsense-load-balancing-sticky-session

Probleme mit4)
a) website laesst sich ggf nich per IP
b) website nutzt load balancer usw und IP aendern sich
c) domain und website sind aus meiner erfahrung in pfsense FW regeln problematisch, weil diese erst in IP adressen aufgeloest werden muessen

Ich persoenlich nutze failover group, dar keinen grossen vorteil darin sehe verschiedene exit IP zu nutzen, es sei denn du har verschiedene VPN anbieter...

Chrysen

@gcu_greyarea

Ok danke schon mal für die Ausführliche Beschreibung der Möglichkeiten.

1. Das muss ich mal testen mit einer Failover Group (noch nie was mit gemacht) , kann man denn nur eine machen?

2 .Das kann man natürlich machen dann kann man halt einer gewissen Gruppe eine feste IP zuweißen, und wenn sich der Tunnel neu aufbaut gibt's halt ne neue Exit IP für alle innerhalb des Alias.

3. Das ließt sich so das man für eine vorgegebene Zeit einem Gateway zugeornet ist und der dann ein Zwangs Wechsel durchführt.

4. Das werde ich mal testen was der daraus macht bei ein paar IP check Seiten.