Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN TLS Error bei weitergeleiteter IP-Adresse

    Scheduled Pinned Locked Moved
    Deutsch
    3
    16
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann @Knausepeter
      last edited by

      @knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

      Das klingt für mich recht sinnvoll, da der getunnelte Tunnel ohnehin verschlüsselt ist und ansonsten nichts anderes durch den Tunnel muss. Allerdings muss ich auch zugeben, dass ich noch nie einen GRE Tunnel aufgebaut habe, ich versuche mich mal daran.

      Auf pfSense und sonst in den letzten 14 Jahren auch nicht gemacht.

      Ich habe bereits versucht, nach dem selben Schema den Port durch den Tunnel zu leiten

      OpenVPN?
      Bei VPN Tunnel durch VPN Tunnel könnten gewisse Anpassungen wie MTU nötig sein, habe aber ich keine Erfahrung.

      Ja das wäre die NAT Lösung, die ich eingangs versucht habe, aber den Tunnelport durch den Tunnel leiten ist doch im Endeffekt auch "nur" NAT oder nicht?

      Ja, aber intern, hinter dem NAT-Router. Damit fällt das asymmetrische Routing-Problem weg.

      Ich bin mir gar nicht ganz sicher, ob ich korrekt auf diese Frage antworte, aber wir haben keinen eigenen DNS. Das läuft bisher alles über normale "Haushaltsrouter" die auch nur Google DNS oder einen anderen Anbieter abfragen.

      Ich hatte ein öffentliches Namensservice gemeit. Bin davon ausgegangen, dass ihr eigene Domains habt, ist wohl nicht so.

      Ich würde das Problem einfach mit DynDNS lösen oder alternativ den VPN-Access-Server gleich auf dem Server zu betreiben und die eingehenden Client-Verbindungen durch einen zusätzlichen Tunnel (intern) ans Office routen.

      K 1 Reply Last reply Reply Quote 0
      • K
        Knausepeter @viragomann
        last edited by Knausepeter

        @viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

        OpenVPN?
        Bei VPN Tunnel durch VPN Tunnel könnten gewisse Anpassungen wie MTU nötig sein, habe aber ich keine Erfahrung.

        Ja, Zwischen meiner lokalen pfSense und dem entfernten Server besteht wie gesagt ein OpenVPN P2P Tunnel (der funktioniert grundsätzlich auch vollständig) zusätzlich eine NAT Regel, die alle IPv4 UDP Pakete mit dem Zielport meines lokalen OpenVPN Servers (unterscheidet sich natürlich von dem Port des P2P Tunnels) an die Tunnel IP meiner lokalen pfSense leitet.

        Nun versuche ich testweise mit meinem Smartphone und OpenVPN connect mit meiner lokalen pfSense zu verbinden, hierzu nutze ich 2 identische .ovpn Dateien, die sich ausschliesslich in der Ziel IP unterscheiden.

        nutze ich direkt meine hiesige WAN IP klappt es, nutze ich die IP meines entfernten Servers bekomme ich die Meldungen aus meinem ersten Post.

        Von der MTU Anpassung habe ich auch schon gelesen, vielleicht probiere ich das noch einmal aus.

        Wenn du das so betreiben möchtest, müsstest du entweder die Zustandprüfung der Pakete abschalten (würde ich für OpenVPN nicht empfehlen)

        Ich würde das gerne einmal testen, nur für mich um zu wissen, ob es dann geht. Kannst du mir sagen, wie das geht?

        Ich würde das Problem einfach mit DynDNS lösen

        ICH AUCH! und so langsam bin ich dieses ewige rumgebastel auch echt leid, zumal unsere sekundäre Internetverbindung über Starlink läuft, was m.M.n ohnehin eine deutlich größere Ausfallwahrscheinlichkeit hat als jeder DynDNS Dienst. Außerdem stehen feste IPs schon in der Roadmap von Starlink, d.h. es ist eh nur eine Frage der Zeit, bis das verfügbar ist...
        Aber irgendwie will mein eigener Ehrgeiz auch, dass es so funktioniert.

        Edit Wenn ich mich recht entsinne, bringt mir bei Starlink selbst DynDNS nichts, wegen dem CGNAT, d.h. mir bleibt jetzt tatsächlich nur noch der Weg durch den VPN Tunnel, wenn ich das richtig sehe...

        V 1 Reply Last reply Reply Quote 0
        • V
          viragomann @Knausepeter
          last edited by

          @knausepeter
          Welche pfSense Version?

          K 1 Reply Last reply Reply Quote 0
          • K
            Knausepeter @viragomann
            last edited by

            @viragomann

            Welche pfSense Version?
            Die aktuelle 2.5.3

            V 1 Reply Last reply Reply Quote 0
            • V
              viragomann @Knausepeter
              last edited by

              @knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

              Welche pfSense Version?
              Die aktuelle 2.5.3

              Die ist aber noch nicht stable, oder?

              Edit Wenn ich mich recht entsinne, bringt mir bei Starlink selbst DynDNS nichts, wegen dem CGNAT, d.h. mir bleibt jetzt tatsächlich nur noch der Weg durch den VPN Tunnel, wenn ich das richtig sehe...

              Wenn das ein Problem wäre, könntest du dich ja auch nicht vom Internet auf deine WAN IP verbinden. Das geht mit CDN nicht, außer der Provider leitet es weiter.
              ?

              Ja, Zwischen meiner lokalen pfSense und dem entfernten Server besteht wie gesagt ein OpenVPN P2P Tunnel (der funktioniert grundsätzlich auch vollständig) zusätzlich eine NAT Regel, die alle IPv4 UDP Pakete mit dem Zielport meines lokalen OpenVPN Servers (unterscheidet sich natürlich von dem Port des P2P Tunnels) an die Tunnel IP meiner lokalen pfSense leitet.

              Die weitergeleiteten Pakete müssen auch wieder richtig zum Server zurück geroutet werden.
              Damit das funktioniert, muss der lokalen OpenVPN Instanz ein Interface zugewiesen werden. Folglich bekommst du in den Regeln einen eigenen Tab für dieses Interface. Auf diesem muss eine Regel definiert sein, die die reinkommenden Pakete zulässt.
              Am OpenVPN Tab darf keine Regel auf diese Pakete zutreffen, ebenso nicht eine Floating Regel!

              K 1 Reply Last reply Reply Quote 0
              • K
                Knausepeter @viragomann
                last edited by

                @viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

                Die ist aber noch nicht stable, oder?

                Das war natürlich völliger quatsch, da war ich schon eine Nummer zu weit, ich habe die 2.5.2.

                Damit das funktioniert, muss der lokalen OpenVPN Instanz ein Interface zugewiesen werden.

                das ist bereits geschehen.

                Folglich bekommst du in den Regeln einen eigenen Tab für dieses Interface.

                habe ich

                Auf diesem muss eine Regel definiert sein, die die reinkommenden Pakete zulässt.

                gibt es.

                Am OpenVPN Tab darf keine Regel auf diese Pakete zutreffen, ebenso nicht eine Floating Regel!

                AHA! hier gibt es noch Regeln, das werde ich morgen nochmal prüfen, jetzt bin ich schon Zuhause. Wenn ich jetzt wieder anfange, beiße ich mich wieder bis in die Nacht fest.

                Wenn das ein Problem wäre, könntest du dich ja auch nicht vom Internet auf deine WAN IP verbinden. Das geht mit CDN nicht, außer der Provider leitet es weiter.?

                Da verliere ich leider den Anschluss, ich kenne es nur so, dass man eine eigene IPv4 hat und darüber Zugriff auf alle Ports, bis auf jetzt die neuen Anschlüsse, die v6 haben

                V K 2 Replies Last reply Reply Quote 0
                • V
                  viragomann @Knausepeter
                  last edited by

                  @knausepeter
                  Private IP-Adressen: https://de.wikipedia.org/wiki/Private_IP-Adresse

                  Wenn deine WAN-IP nicht in einen dieser Bereich fällt, ist es eine öffentliche und sollte damit auch aus dem Internet erreichbar sein. 😃

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Knausepeter @viragomann
                    last edited by

                    @viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

                    Private IP-Adressen: https://de.wikipedia.org/wiki/Private_IP-Adresse
                    Wenn deine WAN-IP nicht in einen dieser Bereich fällt, ist es eine öffentliche und sollte damit auch aus dem Internet erreichbar sein.

                    Ja klar, normalerweise schon aber so wie ich das jetzt gelesen habe, teilen sich bei Starlink mehrere Teilnehmer eine IPv4 Adresse, weshalb es angeblich auch nicht möglich ist, selbst einen Server zu betreiben. Das entspricht aber nur dem, wie ich es jetzt verstanden habe und muss nicht zwangsläufig der Wahrheit entsprechen, aber selbst der Versuch den Server auf dem Starlink Interface laufen zu lassen und direkt auf diese IP-Adresse zu verbinden hat nicht funktioniert. Hierbei kamen allerdings gar keine Pakete am Server an.

                    V 1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @Knausepeter
                      last edited by

                      @knausepeter
                      Die IP kannst du ja am WAN-Interface ablesen. Die privaten Adressbereiche bzw. der CGN-Bereich sind im Wikipedia Artikel klar dargestellt, da braucht es keine Spekulationen.

                      Eine öffentliche IP zu "teilen" erscheint mir als relativ sinnfrei. Das wäre dann wohl eher eine private und mit "Teilen" könnte das S-NAT gemeint sein, das der ISP zwangsläufig einrichten muss, wenn er private IPs zuweist, damit Pakete der Clients eine öffentliche Quell-IP bekommen, wenn sie ins Internet gehen. Ansonsten wäre keine Kommunikation mit dem Internet möglich. Diese IP bekommen dann mehrere seiner Anschlüsse.
                      Das ermöglicht von Haus aus aber nur Upstreamtraffic.

                      Für den Betrieb eines Servers gilt allgemein:

                      • Öffentliche IP: Funktioniert normalerweise, der ISP könnte allerdings auch Zugriffe blockieren, eine "Firewall" einsetzen oder ein Security-Bla-Bla.
                      • Private IP: Normalerweise nicht möglich. Der ISP könnte aber auf Anfrage bestimmte Ports an deine IP weiterleiten (NAT).
                      1 Reply Last reply Reply Quote 0
                      • K
                        Knausepeter @Knausepeter
                        last edited by

                        @knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:

                        AHA! hier gibt es noch Regeln, das werde ich morgen nochmal prüfen, jetzt bin ich schon Zuhause. Wenn ich jetzt wieder anfange, beiße ich mich wieder bis in die Nacht fest.

                        Ich drehe durch, das ist es gewesen!
                        Habe alle Regeln vom OpenVPN und floating Tab deaktiviert, auf den jeweiligen OpenVPN Interface Tabs waren die Regeln zwar auch definiert aber scheinen vom allgemein Tab beeinflusst worden zu sein.
                        Vielen Dank für den Hinweis!

                        JeGrJ 1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator @Knausepeter
                          last edited by

                          @knausepeter Der OpenVPN Tab gilt als Gruppe, zugewiesene Interfaces sind wie andere Interfaces behandelt. Da die Reihenfolge ist: Floating > Gruppen > Interfaces greift die OpenVPN Gruppe (bzw. Floatings) vor den Regeln des Interfaces. Daher aufpassen, wo man die Regeln erstellt und ob die sich ggf. beißen könnten :)

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 1
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.