[gelöst] Wie Roadwarrior-Verbindung bei genereller Verbindung über VPN-Anbieter?


  • Hallo!

    Ich habe mal kurz eine Verständnisfrage an Euch:

    Ich habe hier eine pfSense 2.3.2 die so eingerichtet ist das der komplette Internetverkehr über eine Verbindung mit NordVPN läuft.

    Wie sollte ich vorgehen wenn ich nun eine Roadwarrior-Anbindung umsetzen will?
    Sollte das mit jedem normalen Tutorial zu RW und pfSense funktionieren wenn ich lediglich anstatt des normalen WAN mein NordVPN-Interface angebe?

    Bin hier gerade etwas verwirrt…..;)

    Gruß!


  • Hallo,

    ich weiß nicht, ob ich dich richtig verstehe. Du willst, dass die Roadwarrior-Verbindungen über NordVPN reinkommen, oder dass sie da raus ins Internet gehen?

    Funktionieren tut von pfSense-Seite her beides, ersteres aber natürlich nur, wenn du den Port von NordVPN auf deine Client-IP weitergeleitet bekommst.
    Für ein funktionierendes Routing empfiehlt es sich, dem VPN-Server ebenso ein Interface zuzweisen. Danach kannst du auf diesem die Regeln für die Clients definieren.

    Den OpenVPN Server kannst du auch mit dem Wizard einrichten.
    Zu beachten ist lediglich, wenn die Clients über NordVPN ins Internet sollen, dass für das Tunnel-Subnetz eine Outbound NAT-Regel am NordVPN-Interface angelegt wird. Das macht pfSense im Automatik- oder Hybrid-Modus normalerweise von selbst. Falls nicht, musst du die Regel von Hand erstellen.

    Grüße


  • Danke für Deine Antwort!

    Mir geht es aktuell erstmal nur darum überhaupt vom Internet aus (sagen wir mal vom Handy) in mein LAN zu gelangen.
    Da mein LAN ja über die pfSense mittels der NordVPN-Verbindung ans Internet angebunden ist, dacht ich - unwissend wie ich bin ;) - das man ja auch über diese schon bestehende vpn-Verbindung ins LAN kommt.

    Soweit richtig?

    Wenn das mit dem OpenVPN-Wizzard geht werde ich das mal versuchen.
    Die ganzen Dinge wie NAT und Routing usw. sausen hier gerade kreuz und quer durch meine Birne  :o

    Gruß!


  • @bax2000:

    Da mein LAN ja über die pfSense mittels der NordVPN-Verbindung ans Internet angebunden ist, dacht ich - unwissend wie ich bin ;) - das man ja auch über diese schon bestehende vpn-Verbindung ins LAN kommt.

    Ich glaube nicht, dass dies das ist, was du möchtest. Da könnte ja jeder rein. Dass das nicht so ist, hast du einfach am NordVPN-Interface keine Regel, die irgendetwas erlaubt.
    Um über einen eigenen VPN-Server in dein Netz zu kommen, muss sich einer erst mal authentifizieren, standardmäßig mit Passwort und Zertifikat (SSL + User Auth). Beides sollten nur autorisierte Leute bekommen.

    Wichtig ist für einen eigenen Server am WAN, dass du eine fixe öffentliche IP hast oder einen DynDNS-Dienst verwendest.

    Der Wizard funktioniert nahezu perfekt. Achte darauf, dass währenddessen die Verbindung zu NordVPN steht. Dann einfach mal den Wizard durchlaufen, danach sollte ein Verbindungsaufbau möglich sein.
    Sollte irgendetwas nicht wie gewünscht erreichbar sein, kann man dann noch weiterhelfen.

    Grüße


  • Hallo!

    Ich habe jetzt mal Schritt für Schritt folgende Anleitung umgesetzt. Um mal eine klare Ausgangslage zu schaffen.
    Youtube Video

    Bei bestehender Verbindung über NordVPN habe ich also

    1. CA und User-Certificate erstellt
    2. vpn-User angelegt
    3. mit dem Wizzard einen OpenVPN-Server erstellt am WAN (richtig oder falsch?), upd Port 443
        Hierbei habe ich AES-128-CBC genommen wegen dem Alix mit Hardware-Crypto.
        Tunnelnetz 10.0.1.0/24, LAN ist 10.0.10.0/24
    4. Client Export mit neuem OpenVPN-Server und meinem funktionierenden DDNS (in pfSense eingetragen und funzt)
    5. ovpn-Datei für iOS auf Handy kopiert und in OpenVPN-App importiert - mit User/Passwort angemeldet und es
        kommt laut App scheinbar nicht ein Byte zurück.

    Log der App im Anhang.

    Meine Fragen:

    1. Sollte ich den OpenVPN-Server bei bestehender NordVPN-Verbindung auf das NordVPN-Interface oderauf das
        WAN konfigurieren?
    2. Müssen nach dem Wizzard noch irgendwelche Regeln erstellt oder verschoben werden?

    Gruß!

    Log der OpenVPN-App:

    2017-01-22 10:08:02 –--- OpenVPN Start -----
    OpenVPN core 3.0 ios arm64 64-bit
    2017-01-22 10:08:02 UNUSED OPTIONS
    0 [persist-tun]
    1 [persist-key]
    4 [tls-client]
    7 [lport] [0]
    8 [verify-x509-name] [user] [name]

    2017-01-22 10:08:02 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:02 EVENT: RESOLVE
    2017-01-22 10:08:03 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:03 EVENT: WAIT
    2017-01-22 10:08:03 SetTunnelSocket returned 1
    2017-01-22 10:08:03 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:08:12 Server poll timeout, trying next remote entry…
    2017-01-22 10:08:12 EVENT: RECONNECTING
    2017-01-22 10:08:12 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:12 EVENT: RESOLVE
    2017-01-22 10:08:12 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:12 EVENT: WAIT
    2017-01-22 10:08:12 SetTunnelSocket returned 1
    2017-01-22 10:08:12 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:08:22 Server poll timeout, trying next remote entry...
    2017-01-22 10:08:22 EVENT: RECONNECTING
    2017-01-22 10:08:22 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:22 EVENT: RESOLVE
    2017-01-22 10:08:22 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:22 EVENT: WAIT
    2017-01-22 10:08:22 SetTunnelSocket returned 1
    2017-01-22 10:08:22 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:08:32 Server poll timeout, trying next remote entry...
    2017-01-22 10:08:32 EVENT: RECONNECTING
    2017-01-22 10:08:32 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:32 EVENT: RESOLVE
    2017-01-22 10:08:32 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:32 EVENT: WAIT
    2017-01-22 10:08:32 SetTunnelSocket returned 1
    2017-01-22 10:08:32 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:08:42 Server poll timeout, trying next remote entry...
    2017-01-22 10:08:42 EVENT: RECONNECTING
    2017-01-22 10:08:42 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:42 EVENT: RESOLVE
    2017-01-22 10:08:42 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:42 EVENT: WAIT
    2017-01-22 10:08:42 SetTunnelSocket returned 1
    2017-01-22 10:08:42 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:08:52 Server poll timeout, trying next remote entry...
    2017-01-22 10:08:52 EVENT: RECONNECTING
    2017-01-22 10:08:52 LZO-ASYM init swap=0 asym=0
    2017-01-22 10:08:52 EVENT: RESOLVE
    2017-01-22 10:08:52 Contacting xxx.xxx.xxx.xxx:443 via UDP
    2017-01-22 10:08:52 EVENT: WAIT
    2017-01-22 10:08:52 SetTunnelSocket returned 1
    2017-01-22 10:08:52 Connecting to yyyyyyyyy.ddns.net:443 (xxx.xxx.xxx.xxx) via UDPv4
    2017-01-22 10:09:02 EVENT: CONNECTION_TIMEOUT [ERR]
    2017-01-22 10:09:02 EVENT: DISCONNECTED
    2017-01-22 10:09:02 Raw stats on disconnect:
      BYTES_OUT : 1260
      PACKETS_OUT : 30
      CONNECTION_TIMEOUT : 1
      N_RECONNECT : 5
    2017-01-22 10:09:02 Performance stats on disconnect:
      CPU usage (microseconds): 30929
      Network bytes per CPU second: 40738
      Tunnel bytes per CPU second: 0
    2017-01-22 10:09:02 EVENT: DISCONNECT_PENDING
    2017-01-22 10:09:02 –--- OpenVPN Stop -----


  • @bax2000:

    1. Sollte ich den OpenVPN-Server bei bestehender NordVPN-Verbindung auf das NordVPN-Interface oderauf das
        WAN konfigurieren?

    Auf das WAN interface ist okay, deshalb wählst du im Export Tool dann deinen DNS Namen des WAN aus.
    Die NordVPN-Verbindung sollte nur aktiv sein, damit pfSense die Outbound NAT Regel dafür setzt. Nur relevant, wenn die VPN Clients über die VPN und NordVPN auch ins Internet sollen.

    @bax2000:

    2. Müssen nach dem Wizzard noch irgendwelche Regeln erstellt oder verschoben werden?

    Normalerweise macht der Wizard alles, was nötig ist.

    Dem Client-Log folgend, erreicht er nicht den VPN Server.

    Warum hast du Port 443 genommen? Das ist der für HTTPS, den nimmt man nur, wenn man sich durch eine Firewall verbinden muss, die ausgehend keine anderen Ports zulässt. Eine solche Firewall lässt aber meistens auch UDP auf 443 nicht zu, dann bringt das nix, müsstest auch auf TCP umstellen, das bitte aber nur, wenn es wirklich nicht anders geht.
    Wie auch immer, Port 443 UDP funktioniert auch, solange nicht auch ein Webserver (auch die pfSense GUI selbst) auf diesem lauscht und du auf der pfSense eine entsprechende Weiterleitung eingerichtet hast.

    Okay, das Problem ist nun jedenfalls mal auf der Server-Seite anzugehen.
    Ist NordVPN dein Standard-Gateway? Das wäre hier am naheliegendsten, denn wenn ja, werden alle Antworten (eben auch die des VPN-Verbindungsaufbaus) aus deinem Netz dahin geleitet und es würde dieses Problem erklären. Wenn du das selbst nicht klären kannst, poste die IPv4 Routen der pfSense. Diagnostic > Routes.

    Wenn das nicht zutrifft, würden sich weitere Fragen stellen:
    Der VPN Server startet normal? Wie sieht das VPN-Log aus? Status > System Logs > OpenVPN.
    Wie sieht die Server-Konfig aus?
    Welche WAN-Regeln hast du.


  • Ok, habe nochmal alle früheren Experimente gelöscht und mit UDP auf Port 1195 am WAN wiederholt.
    Eins vorweg: Das Log der OpenVPN-App sieht exakt wie vorher aus - erreicht also nicht den OpenVPN-Server.

    Anbei mal einige Bilder zum vergleichen.

    Fallen Dir Probleme oder Unstimmigkeiten auf?























  • Das Setup zu kübeln wäre für die Port-Umstellung nicht nötig gewesen. Der lässt sich einfach in der Server-Konfig ändern. Danach muss die Konfig für den Client nochmals exportiert werden, um die Änderung auch da zu haben, oder man editiert sie einfach am Client.

    Dass der Port 443 nicht Auslöser dieses Problems ist, habe ich erwähnt. Es könnte lediglich im Zusammenspiel mit anderen Diensten Probleme bereiten. Wenn das bei dir nicht zutrifft, kann er auch bleiben.

    In deinem Setup fällt mir kein Fehler auf, scheint alles bestens.
    Einzig, die WAN-IP ist eine private. Die erreichst du über das Internet natürlich nicht. Du musst also irgendwo einen NAT-Router in der Strecke haben, der die Adresse umsetzt und die Pakete weiterleitet. Tut er das wirklich?

    Im Zweifel verwende Packet Capture (Diagnostic) und prüfe mal am WAN Port 1195 während eines Verbindungsversuchs, ob da überhaupt was ankommt.


  • Ok, dann noch schnell eine Info die jetzt evtl. wichtig erscheint.  :-[ sorry, falls das jetzt wirklich wichtig ist….

    Die pfSense hängt hinter einer Vodafone EasyBox 804 in dem die pfSense als "Exposed Host" konfiguriert ist.
    Siehe meine Frage dazu hier: https://forum.pfsense.org/index.php?topic=121302.0

    Aber eigentlich kann es doch daran nicht liegen - die Verbindung zu NordVPN ist doch letztlich auch nichts anderes als das was ich jetzt mit einem Roadwarrior machen will, oder?

    Gruß!

    edit: Packet Capture gibt genau NIX!  :'(



  • Der VPN Client zu NordVPN hat mit dem VPN-Server nichts zu tun.

    Der Client macht eine ausgehende Verbindung:
    pfSense >–-----Internet-------> NordVPN Server
    Dass diese über die Easybox als Gateway geht, tut nichts zur Sache.

    Der Roadwarrior Server ist darauf angewiesen, dass die Verbindungen sein WAN Interface erreichen. Und das geht nicht ohne den Willen der Easybox:
    Client >-------Internet-------> Easybox >-------Transfer-Netz-------> pfSense

    Nun, die Einstellungen der Easybox kenne ich auch nur aus der Theorie. Aber wie Jens im anderen Thread schreibt, ist für die Weiterleitung aller Verbindungen meist so etwas wie exposed Host oder DMZ in den Einstellungen zu finden und da wird die WAN-IP der pfSense angegeben. Für ausgehende Verbindungen wie die zu NordVPN ist dies gar nicht erforderlich, hier reicht das NAT richtig einzurichten.
    Demnach sollte die Einstellung so in Ordnung sein.

    Aber, beantworte die entscheidende Frage: Kommen nun die Paket am WAN an?


  • Im Zweifel verwende Packet Capture (Diagnostic) und prüfe mal am WAN Port 1195 während eines Verbindungsversuchs, ob da überhaupt was ankommt.

    Wie vorher geschrieben sehe ich mit "Packet Capture" am WAN/udp/1195 beim Verbindungsversuch absolut nichts.

    ?? ;)

    Gruß!


  • Ah ja, die Edit hat mich wohl nicht mehr rechtzeitig erreicht.

    Das bedeutet, wir sind nun wieder beim Problem des anderen Threads. Du musst erst dafür sorgen, dass die ankommenden Pakete von der Easybox weitergereicht werden.
    Gibt es da vielleicht noch Regeln zu definieren?


  • Oh Gott…..dazu muß ich hier einige Dinge umbauen um an die EB zu kommen.
    Das wird heute sicher nichts mehr. Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz.....falls ich richtig liege (anderes Netz usw.).

    Schönen Dank erstmal für Deine Bemühungen!
    Vielleicht schaffen wir ja morgen einen fetten Durchbruch ;)

    Gruß!


  • @bax2000:

    Ich werde morgen mal gucken wie ich wieder auf die EB komme - die ist ja momentan für mich nicht direkt erreichbar per Netz…..falls ich richtig liege (anderes Netz usw.).

    Nicht erreichbar? Anderes Netz?
    Die sollte ja in dem Netz sein, in dem auch die pfSense ist.

    Ich habe eben einen Blick in die Bedienungsanleitung der EB geworfen. Sollte eigentlich mit der Angabe der pfSense WAN-IP und der Aktivierung der Funktion auf der Seite "Exposed Host" klappen.
    Testen kannst du die Weiterleitung einfach auch über einen die Eingabe deines DynDNS Namens in einen Webbrowser. Dann müssten die Pakete eben mit Zielport 80 TCP am WAN ankommen.

    Du kannst die Weiterleitung aber auch über "Port-Mapping" versuchen. Hier für deine OpenVPN die pfSense WAN IP, für Protokoll UDP und für öffentlicher und lokaler Port 1195 eingeben.


  • Interessant! Ich dachte ich komme aus meinem 10.0.10.x-LAN nicht auf die 10.0.11.1 der EB - aber es funzt.
    Habe mal noch Bilder der aktuellen Lage angehängt.

    Jetzt wird es für mich aber etwas unklar und ich bräuchte möglichst genaue Angaben was ich wie und wo machen soll.
    Der berühmte Wald hinter all den vielen Bäumen  ::)

    Die letzten beiden Bilder zeigen die Optionen zum Port Mapping und DNS & DDNS-Optionen auf der EB.

    Ich hab gerade keine Peilung mehr was nun zu tun ist.

    Gruß!











  • Das ist ja wahrhaftig ein dichter Wald.  ;D

    In Exposed Host muss die WAN IP der pfSense drinnen stehen.
    Die hast du aber offenbar irgendwann mal geändert. Wie gesagt, tut für ausgehende Verbindungen nichts zur Sache, wirkt sich aber verheerend auf eingehende aus.
    Also bei Exposed Host 10.0.11.100 eintragen.


  • Hhmmm….ok, da hab ich mir ja schon vor Wochen bei meinen Versuchen ne'n Ei gelegt  >:(

    Aber jetzt kommt's.......hab's in der EB auf 10.0.11.100 gestellt (sogar Reboot der EB gemacht) aber es ändert sich nirgends Etwas.
    Weder zeigt das Log der OpenVPN-App am Telefon was anderes, noch kann ich mit "Packet Capture" irgendwas auf UDP/1195 einfangen.
    Wenn ich da mal auf "alles einfangen" stelle funktioniert das natürlich schon und zeigt diverses Zeuchs an, nur eben Nix auf UDP/1195 wenn ich per Handy verbinden will.  :'(

    Und ich dachte echt jetzt haben wir's......... :-[ :-[

    Vielleicht noch ne letzte Idee???

    Nochmals DANKE für deine Hilfe!!


  • Jetzt versteh ich Nix mehr!!

    Nachdem ich in der EB den Exposed Host von vorher 10.0.11.254 auf die korrekte 10.0.11.100 (wie feste IP des WAN der pfSense) geändert habe, komm ich jetzt nicht mehr per Browser auf die EB (also die 10.0.11.1)  :o :o :o

    Warum ist das denn jetzt passiert? Leuchtet mir gerade überhaupt nicht ein - ist doch nur ne andere IP aus dem gleichen Pool….

    Gruß!

    edit: warum konnte ich vorher aus dem LAN (10.0.10.x) auf die EB (10.0.11.1) zugreifen?? Und jetzt nicht mehr......


  • Das kann absolut nichts miteinander zu tun haben. Verstehe ich jetzt nicht.
    Kommst du vom LAN ins Internet?

    Andere Sache ist mir aufgefallen: Auf der EB ist DDNS deaktiviert. (??) Du verwendest doch DDNS und welche IP du hast, weiß am besten die EB.


  • So, letzter Post für heute ;)

    Ich komme aus dem LAN ins Internet - so schreibe ich ja die Beiträge.
    Vorher kam ich aber erstaunlicherweise (schrieb ja vorher was vom "umbauen" weil ich dachte es kann nicht gehen) auf die EB unter 10.0.11.1.

    DDNS mache ich über die pfSense - und dort ist mein Eintrag auch als grün angezeigt, Update und ping auf meinen DDNS-Namen klappen. Ein Aufruf im Browser klappt allerdings nicht und ergibt ein "ERROR - The requested URL could not be retrieved".
    Ping, Update über no-ip.com sind aber ok. Bei Aufruf meines no-ip-Accounts wird mir unter "last login-ip" auch die NordVPN-IP angezeigt.

    Bisher hat sonst auch alles funktioniert….nur eben jetzt das RW-Szenarion mit OpenVPN nicht.

    Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.

    Wo liegt mein Denkfehler?

    Gruß und Nacht! ;)


  • Was steht nun im DNS als deine Public IP? Die NordVPN-IP? Verstehe ich das richtig?
    Mach das bitte mal klar, sonst kommen wir nicht weiter.

    Wenn deine Routen auf der pfSense in dem Post oben bei aufgebauter NordVPN so stimmen, müsste die pfSense alle Verbindungen nach außen über die EB machen, denn die ist das Default Gateway.
    Wenn sie über die EB mit no-ip verbindet, müsst deine Public IP von Vodafone bei no-ip eingetragen werden.

    @bax2000:

    Das DDNS machte ich auf der pfSense weil ich das Thema "Exposed Host" so verstanden habe, das dann der KOMPLETTE Internetverkehr von und zur pfSense von der EB einfach "durchgewunken" wird.

    Das ist auch richtig so, allerdings um ein Missverständnis zu vermeiden, das betrifft nur eingehende Anfragen und ändert aber absolut nichts am DDNS. Das ist nicht dasselbe als wenn die EB gebrückt wäre. Im aktuellen Fall ist sie (zum Bedauern) noch immer ein vollwertiger Router.

    Generell halte ich es für sinnvoll, wenn der erste Router, der am WAN hängt auch das DDNS erledigt. Denn dahinter könnten die Routen bspw. durch eine aktive VPN schon wieder ganz anders aussehen, sollte aber bei dir nicht der Fall sein.

    Grüße


  • Guten Morgen!

    Ja, in meinem No-IP-Account sehe ich die von NordVPN als "Secured" angegebene IP (Siehe Bilder).
    Sowohl bei NO-IP, NordVPN als auch unter DDNS auf der pfSense steht diese 185…....-IP.

    Auf der EB sehe ich wechselnde WAN-IP's. Dort sind IP-Adresse und Gateway aber immer aus verschiedenen Bereichen - Siehe letztes Bild.

    Was nun tun? DDNS auf der EB eintragen und auf pfSense rausnehmen?

    Gruß!

    ps: mich irritiert noch immer warum ich gestern vor der Änderung der Exposed Host-IP an der EB per Browser aus meinem 10.0.10-x-LAN auf die WebGUI der EB unter 10.0.11.1 gekommen bis. Dies funktioniert jetzt nicht mehr und ich habe den PC zum checken direkt an die EB gehängt.

    pps: die Firewall der EB besser deaktivieren?








  • LAYER 8 Moderator

    OK. Dass die NordVPN Adresse bei No-IP auftaucht ist kein Wunder, schließlich macht die pfSense ja ihren ganzen Traffic wie gewünscht via NordVPN damit alles verschlüsselt nach außen geht. Das heißt aber auch der DDNS Client auf der Sense löst logischerweise checkip.dyndns.org via NordVPN auf und deshalb wird auch deren IP dann bei NoIP eingetragen.
    Einfach.

    Dumm allerdings, da du die IP ja brauchst, denn sonst kommst du per ClientVPN nicht zu dir nach Hause. Also einfach einen zweiten DynDNS Namen anlegen ODER den vorhandenen raus aus der pfSense und rein in die EasyBox, damit in deinen DynDNS Namen auch die IP steht, die du zum VPN aufbauen brauchst.

    Grüße


  • Hi!

    @JeGr:

    OK. Dass die NordVPN Adresse bei No-IP auftaucht ist kein Wunder, schließlich macht die pfSense ja ihren ganzen Traffic wie gewünscht via NordVPN damit alles verschlüsselt nach außen geht.

    Ist das so gewünscht? Gewünscht ist, nach allem was ich hier bisher gesehen habe, dass der Traffic am LAN ankommende Traffic beim NordVPN Interface rausgeht.
    Die pfSense sollte ihren Upstream Traffic Richtung Default Gateway schicken. Warum da irgend etwas zu NordVPN geht, ist mir nicht klar.

    @bax2000
    Übrigens, diese LAN-Regel, die Sämtliches zu NordVPN zwingt, dürfte auch der Grund sein, weswegen du die EB nicht erreichst. Du benötigst also eine Regel ohne Interface-Angabe oberhalb dieser, die den Traffic zur EB zulässt.


  • So….mir qualmt der Kopp  ;D

    Ich habe gerade mal einfach die FW-LAN-Regel für NordVPN ganz nach unten geschoben und dann zur Sicherheit noch das ganze NordVPN-Interface deaktiviert.

    Und schon konnte ich mich mit der bisherigen OpenVPN-Config mit dem Telefon einwählen.
    Klar, nun steht bei NO-IP die öffentliche IP-Adresse der EB.

    Komisch ist nur das jetzt beim DDNS auf der pfSense nur "N/A" steht - auch nach einem manuellen Update.
    Ping auf den DDNS-Namen geht aber  :o

    Ich blicke langsam nicht mehr durch! Was ist denn nun der einfachste Weg jetzt doch irgendwie das NordVPN zu integrieren?
    Auf der EB einen weiteren DDNS-Namen angeben und diesen dann irgendwie in die Roadwarrior-Config einbinden?

    Ich glaub ich brauch jetzt detaillierte Hilfe...BITTE  :-[

    Gruß!

    ps: EB ist auch wieder erreichbar


  • Es läuft wie es soll !!  :D :D

    Ich habe wirklich nur den DDNS aus der pfSense auf die EB gepackt und konnte danach auch NordVPN wieder wie vorher aktivieren.

    OpenVPN kann sich verbinden und auch Zugriff auf mein LAN klappt super.

    Euch beiden nochmals meinen allerbesten FETTEN DANK!!!

    Gruß!

  • LAYER 8 Moderator

    Das geb ich direkt an virago weiter, ich hab nur einen Gedanken eingeworfen :)


  • Danke.  :)
    Klar ist mir die Sache aber immer noch nicht ganz, aber sei's drum, wenn's läuft.  ;)