• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Public IPv4/IPv6 via VPN Tunnel

Scheduled Pinned Locked Moved Allgemeine Themen
69 Posts 5 Posters 14.9k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • J
    JeGr LAYER 8 Moderator @mike69
    last edited by JeGr Jan 20, 2021, 2:08 PM Jan 20, 2021, 1:35 PM

    @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

    Server/Client Konfig ist Blödsinn, Peer to Peer ist der richtige Weg oder? :)

    Poste doch mal deine Konfigs auf beiden Seiten. Ich such gern meine raus, aber für nen Tunnel bei dem Geschwindigkeit jetzt nicht der primäre Aspekt ist (wegen CBC vs GCM was bei SharedKey nicht geht), ist Shared Key eben so viel einfacher.

    Lasse gerade den VPS nochmal updaten.

    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

    M 1 Reply Last reply Jan 20, 2021, 7:50 PM Reply Quote 0
    • M
      mike69 Rebel Alliance @JeGr
      last edited by mike69 Jan 20, 2021, 8:06 PM Jan 20, 2021, 7:50 PM

      @jegr said in Public IPv4/IPv6 via VPN Tunnel:

      Poste doch mal deine Konfigs auf beiden Seiten.

      Hier sie Sense als Server:

      dev ovpns2
      verb 1
      dev-type tun
      dev-node /dev/tun2
      writepid /var/run/openvpn_server2.pid
      #user nobody
      #group nobody
      script-security 3
      daemon
      keepalive 10 60
      ping-timer-rem
      persist-tun
      persist-key
      proto udp4
      cipher AES-128-CBC
      auth SHA256
      up /usr/local/sbin/ovpn-linkup
      down /usr/local/sbin/ovpn-linkdown
      local 87.168.50.208
      ifconfig 10.1.2.1 10.1.2.2
      lport 1195
      management /var/etc/openvpn/server2.sock unix
      secret /var/etc/openvpn/server2.secret 
      compress 
      

      Der VPS als Client, quasi der Shared Key Export:

      dev tun
      persist-tun
      persist-key
      cipher AES-128-CBC
      auth SHA256
      #pull
      resolv-retry infinite
      proto udp
      remote home.example.com 1195 udp4
      ifconfig 10.1.2.2 10.1.2.1
      keepalive 10 60
      ping-timer-rem
      compress
      
      <secret>
      #
      # 2048 bit OpenVPN static key
      #
      -----BEGIN OpenVPN Static key V1-----
      x
      x
      -----END OpenVPN Static key V1-----
      </secret>
      

      Verbindung wird aufgebaut. ein Teil von "ip a"

      8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
          link/none 
          inet 10.1.2.2 peer 10.1.2.1/32 scope global tun0
             valid_lft forever preferred_lft forever
          inet6 fe80::49ea:1dc6:176:6f28/64 scope link stable-privacy 
             valid_lft forever preferred_lft forever
      

      DG FTTH 400/200
      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

      J 1 Reply Last reply Jan 20, 2021, 9:18 PM Reply Quote 0
      • M
        mike69 Rebel Alliance @Pippin
        last edited by Jan 20, 2021, 7:54 PM

        @pippin

        Danke für den Link. Leider nicht. :)

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • J
          JeGr LAYER 8 Moderator @mike69
          last edited by Jan 20, 2021, 9:18 PM

          @mike69 Ich würde mal beide Seiten auf "verb 3" setzen und schauen was das Log spricht beim Verbindungsaufbau :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          M 1 Reply Last reply Jan 20, 2021, 10:55 PM Reply Quote 0
          • M
            mike69 Rebel Alliance @JeGr
            last edited by Jan 20, 2021, 10:55 PM

            @jegr said in Public IPv4/IPv6 via VPN Tunnel:

            @mike69 Ich würde mal beide Seiten auf "verb 3" setzen und schauen was das Log spricht beim Verbindungsaufbau :)

            Kann ich gerne uppen, dies ist aber die Konfig die looft. :)
            Anders herum, VPS als OVPN Server und pfSense als Client, da hakt es ungemein.

            Wenn ich es schaffe, werde ich das morgen Abend umbauen und die Konfigs, bzw. Logs rein stellen.

            DG FTTH 400/200
            Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

            J 1 Reply Last reply Jan 21, 2021, 8:40 PM Reply Quote 0
            • J
              JeGr LAYER 8 Moderator @mike69
              last edited by Jan 21, 2021, 8:40 PM

              @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

              Wenn ich es schaffe, werde ich das morgen Abend umbauen und die Konfigs, bzw. Logs rein stellen.

              Okay, oder je nach Teilnahme morgen beim Usergroup Meet können wirs ggf. auch einfach mal durchspielen.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              M 1 Reply Last reply Jan 22, 2021, 11:18 AM Reply Quote 0
              • M
                mike69 Rebel Alliance @JeGr
                last edited by Jan 22, 2021, 11:18 AM

                @jegr said in Public IPv4/IPv6 via VPN Tunnel:

                @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                Wenn ich es schaffe, werde ich das morgen Abend umbauen und die Konfigs, bzw. Logs rein stellen.

                Okay, oder je nach Teilnahme morgen beim Usergroup Meet können wirs ggf. auch einfach mal durchspielen.

                Ja, hört sich gut an.

                Anderes Scenario, VPS als OVPN Server, pfSense als Client looft jetzt. Habe die konfiguration neu erstellt und die Cipher von AES-256-GCM auf AES-256-CBC geändert.

                Server Config:

                local 212.227.xxx.yyy
                port 1195
                proto udp
                dev tun
                ca ca.crt
                cert server.crt
                key server.key
                dh dh.pem
                auth SHA512
                tls-crypt tc.key
                topology subnet
                server 10.8.0.0 255.255.255.0
                server-ipv6 fddd:1194:1194:1194::/64
                push "redirect-gateway def1 ipv6 bypass-dhcp"
                ifconfig-pool-persist ipp.txt
                push "dhcp-option DNS 9.9.9.9"
                push "dhcp-option DNS 149.112.112.112"
                keepalive 10 120
                cipher AES-256-CBC
                user nobody
                group nogroup
                persist-key
                persist-tun
                status openvpn-status.log
                verb 5
                crl-verify crl.pem
                explicit-exit-notify
                compress
                
                

                .
                pfsense als Client:

                dev ovpnc4
                verb 3
                dev-type tun
                dev-node /dev/tun4
                writepid /var/run/openvpn_client4.pid
                #user nobody
                #group nobody
                script-security 3
                daemon
                keepalive 10 60
                ping-timer-rem
                persist-tun
                persist-key
                proto udp4
                cipher AES-256-CBC
                auth SHA512
                up /usr/local/sbin/ovpn-linkup
                down /usr/local/sbin/ovpn-linkdown
                local 87.168.xxx.yyy
                tls-client
                client
                lport 0
                management /var/etc/openvpn/client4.sock unix
                remote 212.227.xxx.yyy 1195 udp4
                ca /var/etc/openvpn/client4.ca 
                cert /var/etc/openvpn/client4.cert 
                key /var/etc/openvpn/client4.key 
                tls-crypt /var/etc/openvpn/client4.tls-crypt 
                ncp-disable
                compress 
                resolv-retry infinite
                
                

                Logs zu dieser Verbindung kann bei Bedarf nachgereicht werden.

                DG FTTH 400/200
                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                J 1 Reply Last reply Jan 22, 2021, 12:31 PM Reply Quote 0
                • J
                  JeGr LAYER 8 Moderator @mike69
                  last edited by Jan 22, 2021, 12:31 PM

                  @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                  Anderes Scenario, VPS als OVPN Server, pfSense als Client looft jetzt. Habe die konfiguration neu erstellt und die Cipher von AES-256-GCM auf AES-256-CBC geändert.

                  Und das ist alles gewesen? Seltsam. Da du CA-based machst, müsste GCM problemlos laufen. Naja vielleicht ham wir heut Abend ja ne ruhige Kugel und können das mal testweise nachbauen :)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  M 1 Reply Last reply Jan 22, 2021, 12:52 PM Reply Quote 0
                  • M
                    mike69 Rebel Alliance @JeGr
                    last edited by Jan 22, 2021, 12:52 PM

                    @jegr

                    Jetzt, wo Du es erwähnst. :)
                    Funzt auch mit AES-256-GCM, wer weiss, wo es damals geklemmt hat.

                    Ok, Tunnel steht, jetzt den v4 Traffic durchleiten... :)

                    Bei den ganzen HowTos der VPN Anbieter wird einen VPN Interface erstellt, wird das hier auch benötigt? Gehe mal von einem "Ja" aus, brauchtst ja ein Gateway, oder?
                    Werde auf alle Fälle ein Testnetz erstellen, welches komplett durch das VPN geleitet werden soll.
                    Boah, das ganze Routingkram ist für mich Hexenwerk. :) Da sitze ich wie ein Schwein vorm Uhrwerk. 😂

                    DG FTTH 400/200
                    Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                    J V 2 Replies Last reply Jan 22, 2021, 12:53 PM Reply Quote 1
                    • J
                      JeGr LAYER 8 Moderator @mike69
                      last edited by JeGr Jan 22, 2021, 12:54 PM Jan 22, 2021, 12:53 PM

                      @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                      Bei den ganzen HowTos der VPN Anbieter wird einen VPN Interface erstellt, wird das hier auch benötigt? Gehe mal von einem "Ja" aus, brauchtst ja ein Gateway, oder?

                      Jap genau deshalb :) Und weil @viragomann es eigentlich schön zusammengefasst hat "man brauchts eigentlich nicht immer, es schadet aber nicht, darum mach ich es einfach jedes Mal". :) Denn dann muss man in der laufenden Konfig nicht mehr rumschrauben und Tunnel neu starten etc. (Nach der Zuweisung des ovpnX IFs muss man den Tunnel neu starten, damit das IF sauber läuft).

                      @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                      Boah, das ganze Routingkram ist für mich Hexenwerk. :) Da sitze ich wie ein Schwein vorm Uhrwerk.

                      Ganz ehrlich? So sitz ich grad vor dem WireGuard Kram. Super einfach und so... Mhmm...

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • V
                        viragomann @mike69
                        last edited by Jan 22, 2021, 1:18 PM

                        @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                        Bei den ganzen HowTos der VPN Anbieter wird einen VPN Interface erstellt, wird das hier auch benötigt? Gehe mal von einem "Ja" aus, brauchtst ja ein Gateway, oder?
                        Werde auf alle Fälle ein Testnetz erstellen, welches komplett durch das VPN geleitet werden soll.

                        Das heißt, du musst mit Policy Routing Regeln arbeiten. Ja, in diesem Fall ist das Interface Voraussetzung, ansonsten hättest du kein Gateway zum Routen.

                        Eine Falle, in die viele bei erstmaligem Einrichten hineintappen, ist dabei, dass die Leute einfach eine Regel ganz oben am Interface setzen, die allen Trafft auf das VPN -Gateway routet. Damit haben die Geräte allerdings keinen Zugriff mehr auf interne Resourcen, auch nicht auf die pfSnese selbst, falls diese bspw. zur DNS-Auflösung verwendet wird. Das hat dann zur Folge, dass gar nichts mehr geht, intern wie extern.

                        M 1 Reply Last reply Jan 22, 2021, 1:29 PM Reply Quote 0
                        • M
                          mike69 Rebel Alliance @viragomann
                          last edited by Jan 22, 2021, 1:29 PM

                          @viragomann said in Public IPv4/IPv6 via VPN Tunnel:

                          Jo, soweit im Schädel angekommen. :)
                          Reicht aber aus, dem Testsubnet nur das VPN Gateway einzustellen? Oder brauch ich noch ne Rule unter"NAT/Outbound"?

                          Was jetzt schon zu tätigen ist, die WAN Gateways in den Rules einzutragen, damit nicht alles über VPN läuft. Kann man das anders lösen irgendwie?

                          DG FTTH 400/200
                          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                          V 1 Reply Last reply Jan 22, 2021, 1:37 PM Reply Quote 0
                          • V
                            viragomann @mike69
                            last edited by Jan 22, 2021, 1:37 PM

                            @mike69
                            Die Outbound NAT Regel am OpenVPN Interface wird immer benötigt, wenn da ein Traffic ins Internet soll. Dann ist es ja quasi ein WAN-Gateway. Ohne NAT kämen die Pakete nicht zurück.

                            Es sollte reichen, den Traffic fürs VPN zu routen, WAN sollte das Default Gateway bleiben, dann musst du es nicht in den Regeln angeben.
                            Damit das so ist, muss im Client "Don't pull routes" angehakt sein, denn die Provider pushen üb(lich)erweise die Default-Route.

                            Solltes du das WAN-GW in den Regel angeben, gilt wieder oben gesagtes: Die Regel erlaubt dann nur noch Traffic über das WAN-GW und damit keinen internen.

                            M 1 Reply Last reply Jan 22, 2021, 2:50 PM Reply Quote 0
                            • M
                              mike69 Rebel Alliance @viragomann
                              last edited by Jan 22, 2021, 2:50 PM

                              @viragomann said in Public IPv4/IPv6 via VPN Tunnel:

                              Solltes du das WAN-GW in den Regel angeben, gilt wieder oben gesagtes: Die Regel erlaubt dann nur noch Traffic über das WAN-GW und damit keinen internen.

                              Ja, stimmt.

                              Der "Provider" ist eigentlich ein gemieteter VPS, OVPN ist somit komplett konfigurierbar.

                              Oke, "Don't pull routes" gesetzt, das Testsubnet den VPN Gateway vorgesetzt und die Rule unter Outbound erstellt so wie hier:
                              1.png

                              Soweit in Ordnung?

                              DG FTTH 400/200
                              Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                              V 1 Reply Last reply Jan 22, 2021, 3:04 PM Reply Quote 0
                              • V
                                viragomann @mike69
                                last edited by Jan 22, 2021, 3:04 PM

                                @mike69
                                Ja, für eine Test-Interface in Ordnung. Ansonsten möchtest du vielleicht nicht any als Quelle haben.

                                Okay, wenn du den Server selbst kontrollierst, musst du ja keine Routen oder Redirect Gateway pushen.

                                M 1 Reply Last reply Jan 22, 2021, 3:37 PM Reply Quote 0
                                • M
                                  mike69 Rebel Alliance @viragomann
                                  last edited by Jan 22, 2021, 3:37 PM

                                  @viragomann said in Public IPv4/IPv6 via VPN Tunnel:

                                  Ansonsten möchtest du vielleicht nicht any als Quelle haben.

                                  Neee. :)

                                  Eine Handvoll Hosts und Spielkonsolen, die eine öffentliche IPv4 brauchen. Wenn Glasfaser Deutschland hier fertig ist, bleibt nur eine public IPv6 über.
                                  Das ist der/mein Hintergrund für diese Aktionen.

                                  Ok, Geräte im Testnetz gehen jetzt über den VPS ins INet. Es geht voran, jetzt müssen nur noch die Hosts von aussen mit der IP vom VPS erreichbar sein. Ganz einfach... :)

                                  DG FTTH 400/200
                                  Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                  V 1 Reply Last reply Jan 22, 2021, 3:45 PM Reply Quote 0
                                  • V
                                    viragomann @mike69
                                    last edited by Jan 22, 2021, 3:45 PM

                                    @mike69 said in Public IPv4/IPv6 via VPN Tunnel:

                                    jetzt müssen nur noch die Hosts von aussen mit der IP vom VPS erreichbar sein.

                                    Auch dafür ist das VPN-Interface nötig.

                                    Und das birgt eine weitere Falle:
                                    Achte darauf, dass nur Regeln auf dem speziell hinzugefügten VPN-Interface auf die eingehenden Verbindungen zutreffen, also keine auf dem OpenVPN Tab und keine Floating!

                                    J 1 Reply Last reply Jan 22, 2021, 3:46 PM Reply Quote 0
                                    • J
                                      JeGr LAYER 8 Moderator @viragomann
                                      last edited by Jan 22, 2021, 3:46 PM

                                      @viragomann said in Public IPv4/IPv6 via VPN Tunnel:

                                      Achte darauf, dass nur Regeln auf dem speziell hinzugefügten VPN-Interface auf die eingehenden Verbindungen zutreffen, also keine auf dem OpenVPN Tab und keine Floating!

                                      Da sagt er was Wichtiges, daher aufgepasst! :) Hatte schon einige Kunden die sich über Blinkerverhalten beim OVPN Tunnel gewundert haben - geht - geht nicht - bis dann rauskam: zweites VPN konfiguriert und beide ohne Interfaces. Also flappte das Gateway ständig zwischen ovpns1 und ovpns2 ;)

                                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                      V 1 Reply Last reply Jan 22, 2021, 3:51 PM Reply Quote 0
                                      • V
                                        viragomann @JeGr
                                        last edited by Jan 22, 2021, 3:51 PM

                                        @jegr
                                        Eingehende Verbindungen funktionieren auch mit einer einzigen VPN-Instanz nicht, wenn eine Regel am VPN-Tab sie zulässt.

                                        J 1 Reply Last reply Jan 22, 2021, 3:54 PM Reply Quote 0
                                        • J
                                          JeGr LAYER 8 Moderator @viragomann
                                          last edited by Jan 22, 2021, 3:54 PM

                                          @viragomann said in Public IPv4/IPv6 via VPN Tunnel:

                                          Eingehende Verbindungen funktionieren auch mit einer einzigen VPN-Instanz nicht, wenn eine Regel am VPN-Tab sie zulässt.

                                          Wenns nur Tunnelverbindungen sind - doch. Hab einen Kunden mit Tunnel only (alles Außenstellen mit S2S Shared Key config). Keine Interfaces definiert, alles nur über den OVPN Regeltab. Aber da die Routen via Konfiguration der einzelnen Tunnel klar sind, ist da auch nichts PolicyBased notwendig und alles läuft brav über das normale Systemrouting. Egal in welche Richtung.

                                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                          V 1 Reply Last reply Jan 22, 2021, 3:59 PM Reply Quote 0
                                          29 out of 69
                                          • First post
                                            29/69
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received