Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense als openvpn Server

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 4 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      romanl
      last edited by

      Hallo!
      Ich habe mich schon durch viele Foren und Anleitungen gelesen, ich bekomm keine Verbindung von dem VPN Client auf die pfsense…
      Als Ausgangspunkt habe ich eine Statische IP Adresse.

      Ich habe eine CA Definiert, Ein Zertifikat für den OpenVPN an sich.
      Ich habe mit dem Wizard den server angelegt.
      Hab dabei angehagelt das die VPN Regeln Automatisch angelegt werden sollen.
      Hab Einen User angelegt und diesen in die Admin gruppe gegeben, zum testen.
      Das vpn user export tool runtergeladen, installiert und probiert zu verbinden.
      Lt. Diveresen Anleitungen sollte es das gewesen sein... ? Theoretisch?
      Ich habs auch schon mit dem Windows Export probiert, leider auch keine besserung in sicht.

      Die Fehlermeldung am VPN Client lautet: TÖS Error. TLS key negotiation failed to occur within 60 seconds.

      TLS Error: TLS handhsake failed

      Der Client hängt in einem anderen lan.

      Bitte um hilfe

      Danke

      Roman

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo!

        Typinsche Ursache für diesen Fehler ist, dass der Client den Server auf dem gesetzten Port gar nicht erreicht.

        Überprüfen kannst du das mit Diagnostic > Packet Capture auf dem Server. Stelle das Interface auf WAN oder wo auch immer die Verbindung reinkommen soll, den Port auf deinen gesetzten OpenVPN Port, starte das Capture und versuche vom Client eine Verbindung aufzubauen.
        Stoppe dann das Capture und schau, ob Pakete ankommen.

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          1. erstmal das was virago sagt

          2. öööhm:

          Als Ausgangspunkt habe ich eine Statische IP Adresse.
          Wo? Auf dem WAN? Auf welchem Interface hört dein VPN Server eigentlich?

          Der Client hängt in einem anderen lan.
          Ist der Test überhaupt sinnvoll? Willst du die Verbindung vom LAN aus aufbauen? Oder sollen die Clients eher vom Internet aus auf dem WAN ankommen? Dann ist ein "Test" aus dem LAN ein wenig sinnfrei, zumal es dann sein kann, dass das gepushte Netz was du via VPN geroutet bekommen sollst und das in dem dein Client sitzt auch noch indentisch sind. Zumden hast du vom LAN aus wahrscheinlich schlicht keine Regel definiert, die den Zugriff auf den OpenVPN auf WAN (mutmaßlich) erlaubt, was auch richtig ist. Deshalb die Fragen:

          1. Was willst du überhaupt genau erreichen mit dem OpenVPN Server
            und
          2. Macht dein gewählter Testcase überhaupt Sinn? :)

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • R
            romanl
            last edited by

            Ich sehe den Zugriff auf den 1194 Port vom Client.

            Mit der statischen IP meinte ich, eine Öffentliche Statische IP. Wo auch der VPN Server hören sollte.

            Mit dem VPN möchte ich zugriff auf das LAN der pfsense.

            Danke für eure Hilfe :)

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Dürfen wir das Ergebnis des Packet Capture auch sehen?

              D.h. der Client sitzt in einem anderen LAN und greift über Internet auf den OpenVPN Server zu? Hat das WAN der pfSense selbst die öffentliche IP?

              1 Reply Last reply Reply Quote 0
              • R
                romanl
                last edited by

                natürlich,

                07:38:54.925108 IP xx.xxx.xx.xx.60287 > xx.xx.xx.xx.1194: UDP, length 772

                Richtig genau, das WAN der pfsense hat selbst die öffentliche IP …

                ich hab mich auch etwas in die openvpn logs eingelesen:

                
91.112.60.68:55079 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Mar 13 07:34:48	openvpn	39694	xx.xx.xx.xx:55079 TLS_ERROR: BIO read tls_read_plaintext error
Mar 13 07:34:48	openvpn	39694	xx.xx.xx.xx:55079 TLS Error: TLS object -> incoming plaintext read error
Mar 13 07:34:48	openvpn	39694	xx.xx.xx.xx:55079 TLS Error: TLS handshake failed

                also geh ich richtig in der annahme das das Zertifikat ein Problem macht?

                //edit: Kann geschlossen werden.

                Habs nach dieser Anleitung gemacht: https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/

                mit dieser funzts :)

                danke für die Hilfe

                1 Reply Last reply Reply Quote 0
                • P
                  pfadmin
                  last edited by

                  …man schließt das, indem man "gelöst" davor schreibt...

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Der Error war TLS KEY failed btw. das hatte nichts mit dem Zertifikat zu tun, sondern mit dem TLS Key, der einmalig beim Anlegen des Servers generiert wird und den man logischerweise auch am Client für die Session Verschlüsselung benötigt.

                    Grüße

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • V
                      viragomann
                      last edited by

                      Also diese Logzeile

                      91.112.60.68:55079 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned

                      würde ich schon so interpretieren, dass der Server kein oder kein gültiges Zertifikat vom Client erhält.

                      Der angeführte Fehler im ersten Post scheint aber eine andere Ursache zu haben.

                      Grüße

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Oh sorry, ich meinte natürlich den Fehler im ersten Post. Das andere ist dann ein fehlendes Zertifikat beim Client - zumindest wird keins vorgelegt aber erwartet.

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.