OpenVPN Clients verbinden zu pfsense erreichen aber das interne netz nicht.
-
Hallo Leute ich brauch mal eure Hilfe, ich habe schon mittels lesen eine menge als Neuling hinbekommen, jedoch verzweifel ich gerade.
Ich hatte die pfsense mit Wan Failover und VPN installiert und nach dem mir klar geworden ist das es nicht 2 identische Netze geben kann, habe ich das Interne netz geändert und nun geht vpn nicht mehr.Das Internet netz war genau wie mein Homenetz ein 192.168.1.X
Nachdem ich das Interne Netz hinter der PfSense auf 192.168.25.0/24 geändert habe, funktioniert nun VPN nicht mehr.
Erst habe ich gedacht ich habe etwas vergessen beim umstellen und habe das komplette VPN nochmal neu angelegt und auch den DHCP überprüft.
Alles scheint richtig zu sein aber sobald ich mit VPN verbunden bin, komme ich auf kein System hinter der Firewall und kann auch keines anpingen.NACHTRAG : pfsense ist als mit WAN Failover konfiguriert.
Anbei die Logfiles, ev. kann mir jemand weiterhelfen.
Noch ein Hinweiß, die System hinter der Firewall funktionieren einwandfrei, web usw. ist gegeben.
Von der Firewall aus kann ich die Systeme auch pingen !!!!!!!!!!!!Nur nicht aus dem VPN :
Jun 11 16:04:45 openvpn[9595]: MANAGEMENT: Client disconnected
Jun 11 16:05:47 openvpn[9595]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jun 11 16:05:47 openvpn[9595]: MANAGEMENT: CMD 'status 2'
Jun 11 16:05:47 openvpn[9595]: MANAGEMENT: CMD 'quit'
Jun 11 16:05:47 openvpn[9595]: MANAGEMENT: Client disconnected
Jun 11 16:06:48 openvpn[9595]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jun 11 16:06:49 openvpn[9595]: MANAGEMENT: CMD 'status 2'
Jun 11 16:06:49 openvpn[9595]: MANAGEMENT: CMD 'quit'
Jun 11 16:06:49 openvpn[9595]: MANAGEMENT: Client disconnected
Jun 11 16:07:47 openvpn[9595]: event_wait : Interrupted system call (code=4)
Jun 11 16:07:47 openvpn[9595]: /sbin/route delete -net 10.0.8.0 10.0.8.2 255.255.255.0
Jun 11 16:07:47 openvpn[9595]: Closing TUN/TAP interface
Jun 11 16:07:47 openvpn[9595]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1570 10.0.8.1 10.0.8.2 init
Jun 11 16:07:47 openvpn[9595]: SIGTERM[hard,] received, process exiting
Jun 11 16:12:02 openvpn[2873]: OpenVPN 2.3.6 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Apr 8 2015
Jun 11 16:12:02 openvpn[2873]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jun 11 16:12:02 openvpn[3016]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jun 11 16:12:02 openvpn[3016]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
Jun 11 16:12:02 openvpn[3016]: TUN/TAP device ovpns1 exists previously, keep at program end
Jun 11 16:12:02 openvpn[3016]: TUN/TAP device /dev/tun1 opened
Jun 11 16:12:02 openvpn[3016]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
Jun 11 16:12:02 openvpn[3016]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jun 11 16:12:02 openvpn[3016]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Jun 11 16:12:02 openvpn[3016]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1570 10.0.8.1 10.0.8.2 init
Jun 11 16:12:02 openvpn[3016]: UDPv4 link local (bound): [AF_INET]189.205.xx.xxx:1194
Jun 11 16:12:02 openvpn[3016]: UDPv4 link remote: [undef]
Jun 11 16:12:02 openvpn[3016]: Initialization Sequence Completed
Jun 11 16:15:19 openvpn[3016]: event_wait : Interrupted system call (code=4)
Jun 11 16:15:19 openvpn[3016]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1570 10.0.8.1 10.0.8.2 init
Jun 11 16:15:19 openvpn[3016]: SIGTERM[hard,] received, process exiting
Jun 11 16:15:19 openvpn[90579]: OpenVPN 2.3.6 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Apr 8 2015
Jun 11 16:15:19 openvpn[90579]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jun 11 16:15:19 openvpn[90920]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jun 11 16:15:19 openvpn[90920]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
Jun 11 16:15:19 openvpn[90920]: TUN/TAP device ovpns1 exists previously, keep at program end
Jun 11 16:15:19 openvpn[90920]: TUN/TAP device /dev/tun1 opened
Jun 11 16:15:19 openvpn[90920]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jun 11 16:15:19 openvpn[90920]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Jun 11 16:15:19 openvpn[90920]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1570 10.0.8.1 10.0.8.2 init
Jun 11 16:15:19 openvpn[90920]: UDPv4 link local (bound): [AF_INET]189.205.xx.xxx:1194
Jun 11 16:15:19 openvpn[90920]: UDPv4 link remote: [undef]
Jun 11 16:15:19 openvpn[90920]: Initialization Sequence Completed
Jun 11 16:20:54 openvpn: user 'VPNTEST' authenticated
Jun 11 16:20:55 openvpn[90920]: 80.110.19.204:57479 [VPNTEST] Peer Connection Initiated with [AF_INET]80.110.19.204:57479
Jun 11 16:20:55 openvpn[90920]: VPNTEST/80.110.19.204:57479 MULTI_sva: pool returned IPv4=10.0.8.6, IPv6=(Not enabled)
Jun 11 16:20:57 openvpn[90920]: VPNTEST/80.110.19.204:57479 send_push_reply(): safe_cap=940
Jun 11 16:40:06 openvpn: user 'VPNTEST' authenticated
Jun 11 16:40:06 openvpn[90920]: 80.110.19.204:54550 [VPNTEST] Peer Connection Initiated with [AF_INET]80.110.19.204:54550
Jun 11 16:40:06 openvpn[90920]: MULTI_sva: pool returned IPv4=10.0.8.6, IPv6=(Not enabled)
Jun 11 16:40:08 openvpn[90920]: VPNTEST/80.110.19.204:54550 send_push_reply(): safe_cap=940 -
Hi,
erst einmal sei mir nicht böse, aber Satzzeichen sind keine Rudeltiere. Eines tuts auch. ;)
Dann - nochmal nicht böse sein - ist es wahnsinnig hilfreich, nicht nur den Server mit Logs zu bewerfen, sondern sich die gleichen vielleicht auf dem Client anzusehen. Siehe Kollege Bluebull heute: https://forum.pfsense.org/index.php?topic=95080.0 :)In den Logfiles da oben steht nichts wirklich interessantes drin, was einerseits am Loglevel liegt, andererseits wahrscheinlich daran, dass das Problem sehr wahrscheinlich auf VPN Client Seite liegt. Also ggf. auf beiden Seiten mal das Loglevel hochdrehen und lesen, was ausgegeben wird. Hört sich im ersten Moment nämlich so an, als würde das falsche/gar kein Subnetz gepusht werden, dann kann dein Client logischerweise auch kein Ziel erreichen.
Und zuletzt - was nicht an dir liegt - würde ich mir manches Mal wünschen, ich bekäme einen Euro für jedes Kommentar in der Richtung " <netzwerkgerät pfsense="">funktioniert nicht", nur um dann einen Fehlerbericht zu sehen, bei dem so ziemlich alles Interessante fehlt und nur VPN behandelt wird. Wie oft ich schon gelesen habe, dass pfSense / Produkt X so ein Mist ist und am Ende gings nur um falsches oder fehlerhaftes VPN, da wird man echt müde. Fällt mir in letzter Zeit auch hier im Forum auf, dass viele angebliche pfSense Probleme dann doch nichts anderes als falsch konfiguriertes VPN ist (oder auch mal Routing oder Netzwerkarchitektur). Aber in deren Foren oder Support wird komischerweise seltenst geschaut. seufz :'(</netzwerkgerät>
-
Hi,
Kollege Bluebull hat das gleiche Problem - nur dass ich sobald ich eingewählt bin alles Pingen kann, ich komm sogar auf die Webgui vom Server sowie der pfsense, aber kann auf keinen Rechner im angewählten Netz zugreifen - Pingen ja aber nicht darauf zugreifen ( Dateifreigaben ect)
und bevor ich jetzt irgendwas hier reinstell an logs, ist meine erste Frage - welche logs soll ich posten - wo soll ich nachschauen - was soll ich quoten damit ihr mir helfen könnt ;D
-
Pingen ja aber nicht darauf zugreifen ( Dateifreigaben ect)
Das ist aber ein anderes Problem. Wie wärs mit DNS? Just sayin…
Wenn du per IP überall hin kommst (pingen), kannst du auch Dateifreigaben via IP testen (bspw. \<ip>\ <freigabe>anstatt \server\freigabe)
Sollte das funktionieren, hast du lediglich ein DNS Problem.</freigabe></ip> -
aber kann auf keinen Rechner im angewählten Netz zugreifen
Windows Rechner ?
Firewall mal abgeschaltet ?
Irgendwelche Ports geblockt ?
Aber da hätten wir wieder mal das Problem mit dem Informationsüberschuss in Deinen Posts und der daraus resultierenden Kristallkugel von Madame X.
Aber bevor Du zu viel schreibst, besser Du behältst es für Dich.;)
Gruß orcape -
Mir klingt das Ganze danach, dass NAT und/oder die Firewallregeln nicht korrekt eingestellt sind.
Wenn man sich per OpenVPN einwählen kann, dann scheint die OpenVPN-Regel am WAN-Interface korrekt konfiguriert zu sein. Damit kommt man an den OpenVPN Server und eine Verbindung wird implementiert.
Zusätzlich dazu benötigt man aber noch eine Outbound NAT Regel für das virtuelle Netzwerk plus je eine Firewallregel beim OpenVPN-Interface als auch beim LAN-Interface (wohin man ja möchte).
Das WAN- und das LAN-Interface in ein und dasselbe Subnetz zu legen ist nicht wirklich sinnvoll (was ja erkannt wurde). Trennt man das sauber (was es nun ja offenbar ist) müssen dann natürlich NAT und Firewallregeln passen.
**Tipp:**lösche den OpenVPN-Server wieder. Stelle pfSense so ein, dass es die NAT-Regeln automatisch erstellt, Outbound NAT auch auf automatisch und dann lege den OpenVPN-Server mit dem Wizard an. Wenn er fragt, ob er die NAT- und Firewallregeln automatisch erstellen soll, auf ja klicken. Dann nochmal versuchen…
-
wenn ich da nochmal drüber schaue…
Wurde denn bei der OpenVPN Server Konfiguration das Remote Network angegeben? Wenn nicht, dann für den Client die Option push "route x.x.x.x y.y.y.y"?