VPN mit pfSense hinter FritzBox
-
Ich habe gerade festgestellt, dass (wieso auch immer) eine Gatewaygruppe auf B erstellt war und dort WAN als Tier 2 und OpenVPN ohne Zuordnung hinterlegt war. Habe es nun gelöscht und starte frisch durch. Da ich nicht vor Ort bin und dort keinen Client zum spielen habe, bin ich auf die SSH und WebGUI Diagnosemöglichkeiten beschränkt. Mittelst SSH ist die Source IP die, des OpenVPN Gateways auf B.
Hier sieht man den Versuch das Netz hinter A zu erreichen:
EDIT: auch nach Reboot und ohne Gatewaygruppe gleiches Verhalten.
-
@mrsunfire said in VPN mit pfSense hinter FritzBox:
Mittelst SSH ist die Source IP die, des OpenVPN Gateways auf B.
Heißt, dass du auf dem VPN-Interface eine Outbound NAT Regel hast.
Aber die kann keine Erklärung dafür sein, dass nichts zurück kommt, im Gegenteil, das sollte es vereinfachen.192.168.1.1 ist die pfSense auf A? Ist diese auch das Standardgateway?
-
Die 192.168.1.1 ist die LAN IP der pfSense bei A, korrekt. Das OpenVPN Gateway auf A hat die 10.100.1.2. Auf A (Client) sieht es dann so aus:
Unbound NAT auf B so:
-
Wenn 192.168.1.1 die pfSense selbst ist und da am VPN Interface nichts zurückkommt, könnte nur eine Firewall-Regel auf A den Zugriff blockieren, am spezifischen VPN-Interface, auf OpenVPN oder eine Floating-Regel.
Ansonsten würde ich, wie oben erwähnt, den Tunnel auf ein /30er Netz reduzieren.
-
Du meinst so?
Die VPN bzw. OpenVPN Interfaces stehen aktuell komplett offen auf beiden Seiten, um genau das auszuschließen.
Das Problem scheint auch, dass meine ICMP irgendwo "gefressen" werden. Ich vermute da stark die Fritzbox. Ein Gerät das eben noch antwortete, bringt nun nichts mehr zurück. Ich erreiche es aber via HTTP und FTP. Ich werde morgen dort einen Client mittels Teamviewer laufen lassen um etwas besser zu diagnostizieren.
Vielleicht hat aber sonst noch jemand eine Idee.
-
Ja, auf beiden Seiten, natürlich.
Voraussetzung ist, dass es nur einen Client gibt. -
Edit noch lesen bitte. Der Tunnel ist nun auf beiden Seiten ein /30 und funktioniert auch von A nach B.
EDIT: gerade wo ich es schreibe, versuche ich noch ein letztes Mal von B nach A zu kommen und das erste Mal geht ein ICMP tatsächlich sauber durch!
-
Wenn das auch für TCP funktionieren sollte, müsste die FB ein "Masquerading" machen, d.h. die Quell-IP in Ihre eigene umsetzen.
Ich kenne das Gerät nicht und fühle mich nicht mal schlecht dabei.
Vielleicht tut sie es, vielleicht lässt es sich einrichten.Edit:
Bezüglich des /30er Tunnels haben hier tatsächlich Leute behauptet, es wäre irrelevant. Hatte mich ohnehin nicht darauf verlassen wollen. -
Ich bin froh noch nie eine Fritzbox gehabt zu haben und ich weiß wieder warum. Aber Laien ist sie teilweise nicht schlecht und ausreichend. Aber die 7490 ist im Site-to-Site derart lahm, dass man besser USB Sticks per Brieftaube verschickt. Darum wollte ich eine ausrangierte pfSense dort platzieren, was nun auch funktioniert dank Deines Tipps und nun rutschen die 50 MBit/s was der Leitung im Upstream her gibt sauber durch.
Danke! Eine Erklärung warum das passiert, hast Du aber sicher auch nicht? Ich dachte echt ich steh im Wald.
-
Das kann aber nur ein Käfer sein, denn ob jetzt /24 oder /27 oder /30 sollte auf das Routing keine derartigen Auswirkungen zeigen.
Ja Fritz und VPN, geiler Witz, bei 4-8Mbit Gurken die Dinger auf CPU Anschlag rum, habe daher bei meinen Eltern auch ein SG-1100 aufgestellt. Seit dem ist für das NAS Backup Line Speed angesagt.
Als TK und DECT Stationen sind die super, dafür habe ich mir auch eine in der Bucht geschossen, aber als gescheites VPN GW, Firewall usw. kannst die nicht verwenden.Hast du die 2.4.5 drauf, dann könntest du auf die p1 anheben, vorhin gemacht, da wurde richtig viel gefixed.
-
@mrsunfire said in VPN mit pfSense hinter FritzBox:
Eine Erklärung warum das passiert, hast Du aber sicher auch nicht?
Nein.
Mit einem CSO funktioniert es angeblich. Aber wer möchte das für eine Site2Site einrichten?
-
@NOCling said in VPN mit pfSense hinter FritzBox:
Das kann aber nur ein Käfer sein, denn ob jetzt /24 oder /27 oder /30 sollte auf das Routing keine derartigen Auswirkungen zeigen.
Ja Fritz und VPN, geiler Witz, bei 4-8Mbit Gurken die Dinger auf CPU Anschlag rum, habe daher bei meinen Eltern auch ein SG-1100 aufgestellt. Seit dem ist für das NAS Backup Line Speed angesagt.
Als TK und DECT Stationen sind die super, dafür habe ich mir auch eine in der Bucht geschossen, aber als gescheites VPN GW, Firewall usw. kannst die nicht verwenden.Hast du die 2.4.5 drauf, dann könntest du auf die p1 anheben, vorhin gemacht, da wurde richtig viel gefixed.
Die P1 läuft schon bei mir, Remote bin ich immer vorsichtig wenn ich nicht kurzfristig physikalisch an die Kiste ran kann.
-
Verständlich, aber da muss man sich bei Appliances direkt vom Hersteller zum Glück wenig Sorgen machen.
-
Na, vielleicht weniger. Hatte noch nie eine von Netgate und bisher auch keine Probleme. Aber safty first und so. Man muss sich ja nicht noch mehr Sorgen machen als man mit einer Fritzbox als Router davor schon hat
-
Leider ist heute Abend grundlos der VPN Tunnel zusammengebrochen und lässt sich auch nicht mehr aufbauen. (Ich nutze nun die Gelegenheit für das Update auf P1).
Das sind die Logs von B:
Und das von A:
EDIT: es stellte sich heraus, dass bei der Fritzbox (VDSL Leitung) eine Zwangstrennung stattfand :(. Wie bekomme ich es denn nun hin, dass sich OpenVPN wieder automatisch verbindet?
-
Baut der nicht auf, sobald ein Client Daten an ein Ziel sendet?
-
@mrsunfire said in VPN mit pfSense hinter FritzBox:
Ich nutze nun die Gelegenheit für das Update auf P1
Vor dem Update??
Es gibt da ein Problem mit der p1 mit einer bestehenden TCP-Konfiguration:
https://forum.netgate.com/topic/154365/openvpn-tcp-in-2-4-5-p1-not-working/2
Im Detail habe ich es mir auch noch nicht angesehen, habe mir nur den Link gesichert, weil ich zuhause auch eine TCP-OpenVPN habe. -
Ja, das war vor dem Update. Das Update ist nun drauf und die Verbindung steht. Ich bin gespannt und berichte.