pfSense OpenVPN Client falsche IP



  • Hallo alle zusammen.
    Ich hab nach dieser Anleitung mir einen VPN Client angelegt.
    Soweit klappt es auch, leider kann keine Verbindung aufgebaut werden, da in der rein geladenen Datei auf meinem iPhone eine locale IP steht statt eine Domain.
    Kann mir wer sagen wie ich das ändern kann?
    In der OpenVPN-Serverkonfig steht für Interface WAN, jedoch ist der WAN nur eine Verbindung zur Fritz.Box die am Ende alles durch routet.
    Meine Route sieht so aus vDSL -> FritzBox -> pfSense WAN

    Hat einer Idee wie ich das ändern kann?
    Irgendwie finde ich zu diesem Anwendungsfall nichts im Netz.
    Wäre wie immer für Tipps und Hilfestellungen dankbar.

    alt text



  • Eine Möglichkeit zur Konfig-Änderung im iPhone habe ich auch noch nicht gefunden.
    Du musst also eine richtige Konfig importieren, also die falsche erst einmal löschen. Vermutlich lässt sich eine vorhandene Konfig auch im Text-Editor bearbeiten. Dann kannst du bei "remote" den richtigen Wert anstatt der internen IP angeben.

    Du kannst aber auf jeden Fall eine neue Konfig mit dem Client Export Tool exportieren. Bei "Host name resolution" oben lässt sich ein Benutzerdefinierter Wert einstellen und dieser dann eingeben. Da kannst du deine externe IP oder einen FQDN angeben.
    Tipp: das Export Tool bietet auch die Möglichkeit, die Einstellungen zu speichern.

    Grüße



  • @tobiasp said in pfSense OpenVPN Client falsche IP:

    Hat einer Idee wie ich das ändern kann?

    Ja, sie wird dir möglicherweise nicht gefallen.

    Nutze die Fritzbox nur noch als IP-Client hinter pfSense, z.B. für VOIP und/oder WLAN, was bei VDSL ja leicht möglich ist.
    Es gibt genügend Teile auf dem Markt, die man als Modem konfigurieren kann und auch vom Preis her akzeptabel sind.

    Okay, dieser gut gemeinte Rat wird oft auf taube Ohren treffen. Darüber mal in einer ruhigen Minute nachzudenken
    sollte sich lohnen.

    LG



  • @gladius said in pfSense OpenVPN Client falsche IP:

    @tobiasp said in pfSense OpenVPN Client falsche IP:

    Hat einer Idee wie ich das ändern kann?

    Ja, sie wird dir möglicherweise nicht gefallen.

    Nutze die Fritzbox nur noch als IP-Client hinter pfSense, z.B. für VOIP und/oder WLAN, was bei VDSL ja leicht möglich ist.
    Es gibt genügend Teile auf dem Markt, die man als Modem konfigurieren kann und auch vom Preis her akzeptabel sind.

    Okay, dieser gut gemeinte Rat wird oft auf taube Ohren treffen. Darüber mal in einer ruhigen Minute nachzudenken
    sollte sich lohnen.

    LG

    Och taube Ohren würde ich nicht sagen :) der Plan besteht schon länger :) aber ich habe noch nicht gefunden was mir richtig gefällt. Dazu hätte es sauber in UTM laufen müssen. Bei pfSense ist es jetzt eine andere Geschichte, da müsste ich mal schauen wie dort die DrayTek VigorNIC 132 angenommen wird und wie ich dann dort DEC bzw. VoIP einrichte.

    Ich brauche nicht eine Funktion der FritzBox, daher ist die mir schon etwas länger ein Dorn im Auge. :)



  • @viragomann said in pfSense OpenVPN Client falsche IP:

    Eine Möglichkeit zur Konfig-Änderung im iPhone habe ich auch noch nicht gefunden.
    Du musst also eine richtige Konfig importieren, also die falsche erst einmal löschen. Vermutlich lässt sich eine vorhandene Konfig auch im Text-Editor bearbeiten. Dann kannst du bei "remote" den richtigen Wert anstatt der internen IP angeben.

    Du kannst aber auf jeden Fall eine neue Konfig mit dem Client Export Tool exportieren. Bei "Host name resolution" oben lässt sich ein Benutzerdefinierter Wert einstellen und dieser dann eingeben. Da kannst du deine externe IP oder einen FQDN angeben.
    Tipp: das Export Tool bietet auch die Möglichkeit, die Einstellungen zu speichern.

    Grüße

    Das werde ich heute gleich mal probieren :)



  • @tobiasp said in pfSense OpenVPN Client falsche IP:

    Ich brauche nicht eine Funktion der FritzBox, daher ist die mir schon etwas länger ein Dorn im Auge. :)

    Nun, für VOIP (Modus IP-Client) ist die Fritzbox noch immer brauchbar. Nutze selber eine uralte Box zu diesem Zweck,
    aber als Router/Firewall würde ich sie aus Sicherheitsgründen nicht verwenden.
    Siehe auch diese Bemerkungen zu AVM und Datenschutz:

    https://www.ip-phone-forum.de/threads/alles-neu-macht-der-mai-avm-telemetrie-und-die-dsgvo-wem-gehört-meine-fritz-box-wirklich.299295/

    Letzendlich liegt es im Ermessen des Nutzers wie er die Fritzbox einsetzen will. Ich will hier keinem was
    auf Auge drücken und wollte nur mal ins Feld führen, daß man im VDSL Umfeld auf eine Fritzbox
    leicht verzichten kann.

    Nachtrag:
    Für VPN ist jede Fritzbox eine schlechte (kein OpenVPN, kann nur IPsec/IKEv1, lächerlicher Durchsatz) Wahl.



  • Was setzten eigentlich mittelständische Unternehmen als Internetzugang ein?
    Die werden sich ja keine FritzBox oder LANcom Router hinstellen für ihren vDSL Zugang oder?
    Wenn man bei der Telekom im Buisnessbereich schaut, finde ich dort alle Lösungen nicht so pralle, zu mindestens nicht für Personen die recht großen Serverbetrieb haben (rede nicht von mir :) ).
    Die DrayTek Lösung kann doch nicht die einzige sein die es gibt oder?



  • So ich hab ein wenig rum probiert.
    Bei der pfSense scheint das VPN Paket vom iPhone anzukommen.
    Jedoch baut openVPN weiterhin keine Verbindung auf.
    Welche Möglichkeit hätte ich nun zu schauen ob es durch geht oder nicht?
    Wie kann man hier mit der Fehleranalyse weiter vorgehen?!
    Ich meine so schwer kann es ja nicht sein, mit der UTM ging es ja auch reibungslos.
    Hier mal die Firewallregel und ein Ausschnitt aus der openVPN-Datei.
    0_1533316171421_2018-08-03 19_03_48-C__Users_Service_Downloads_pfSense-udp-1199-myiphone-config.ovpn - Notepad++.png
    0_1533316258605_2018-08-03 19_05_23-pfSense.meinetestumgebung.de - Firewall_ Rules_ WAN.png



  • Funktioniert. Es war nur ein Konfigfehler.
    Hab von UDP auf TCP umgestellt und dann die User Auth nur genommen und zack ging es.


  • Moderator

    @tobiasp said in pfSense OpenVPN Client falsche IP:

    Was setzten eigentlich mittelständische Unternehmen als Internetzugang ein?

    Zum Beispiel pfSense 😏 😄

    Haben aber schon alles mögliche gesehen, was denen angedreht wurde. Kleine Ciscos die unterdimensioniert sind, damit die Kostengrenze nicht überschritten wird (5505er bspw.). Oder LanCom Teile mit der üblen IPSEC Konfiguration. Oder auch irgendwelche komischen SOHO-Router deren Hersteller ich noch nie gelesen habe, teils sogar noch mit ISDN Remoteeinwahl Möglichkeit. Kleine/Kleinste Sophos Kisten. Microsoft Forefront. Oder tatsächlich das, was die Provider hinstellen. So gruselig das manchmal ist.

    Die werden sich ja keine FritzBox oder LANcom Router hinstellen für ihren vDSL Zugang oder?

    Leider manches Mal doch.

    im VDSL Umfeld auf eine Fritzbox leicht verzichten kann.

    Das ist wohl wahr. Manchmal ist es aber auch gar kein großes Hindernis, die pfSense noch hintendran zu packen. Ich hab das an anderer Stelle schonmal etwas ausführlicher beschrieben - u.a. wegen Kabel wo man meist keine große Möglichkeit hat - aber auch bei (V)DSL gilt das: gerade im Firmenbereich will man kein "blabla sie nutzen aber was eigenes deshalb sind sie schuld" Gefasel von Supportern haben. Und das bekommt man zumindest beim 1st Level relativ häufig wenn die hören, dass man eigenes Gerät nutzt. Daher kann(!) es nutzbringend sein, sich das kleinste Übel (wie eine FB) zu nehmen und die "gemietet" oder gestellt zu nutzen. Immerhin kann man hier noch sinnvoll alles weiterleiten an eine nachgestellte pfSense und dort dann alles regeln - inkl. VPN und Co. Dann ist man auch beim Gerätetausch bei Defekt der Box schnell wieder online. Exposed Host eintragen, Route eintragen, fertig. Und wenn es mal wieder heißt "das müssen sie direkt am Router messen" ist auch mal schnell ein Laptop direkt an die FB angeklemmt. Keine Ausreden mehr 😄



  • @jegr Ich kann mir das immer nicht vorstellen das Firmen in diesem Thema immer so knauserig sind und erst dann Geld ausgeben wenn sie kurz vorm GAU stehen oder es zu spät ist.
    Dabei hängt heute zu Tage so viel von der IT ab.
    Das klingt echt verrückt was du so beschreibst :)

    Hatte gestern erst wieder eine Diskusion mit dem Telekom Business Support, die FritzBox hat nicht vollen Supportumfang weil selber gekauft :)


  • Moderator

    @tobiasp said in pfSense OpenVPN Client falsche IP:

    @jegr Ich kann mir das immer nicht vorstellen das Firmen in diesem Thema immer so knauserig sind und erst dann Geld ausgeben wenn sie kurz vorm GAU stehen oder es zu spät ist.
    Dabei hängt heute zu Tage so viel von der IT ab.

    Das ist ein mehrstufiges Thema/Problem:

    1. viele Firmen sind "producer". Sie "machen" einfach etwas und das ist nicht immer IT- oder Internet-relevant. Das ist die Gruppe "It has to work". Mehr wollen die nicht. Internet soll gehen weil wird genutzt oder ggf. gebraucht, aber keiner hat da so rechte Ahnung also wird halt so ein bisschen vor sich hin gebröselt
    2. interne IT. Gibts in vielen Firmen, aber nicht jede kennt sich gut aus. Das ist mitunter auch einfach mal ein - und das ist jetzt keinen Strich böse gemeint - Sammelbecken für diverseste Umschüler, Umsteiger, Quereinsteiger, Wiedereinsteiger oder anderes. Leute die IT - und vor allem Netzwerk(!) - nicht von der Pike auf kennen, sondern eben nur so ein bisschen. Da ist dann so eine Fritte auch das Ende des eigenen Erfahrungshorizonts. Oder man kauft was von der Stange weil man keine Ahnung hat, dafür kauft man halt Support (oder auch nicht...). Da wird den Firmen meistens auch echt kurioses Zeug angedreht...
    3. IT down under. Die IT hat Land unter - weil unterbesetzt oder mit dutzend Themen intern beschäftigt. Die wüssten zwar wie es ggf. besser geht, haben aber kaum Zeit neue Lösungen zu testen/evaluieren und nutzen dann eben den Kram der läuft, damit sie nicht noch eine Baustelle haben. Haben ggf. auch technisch mehr Ahnung und könnten auch sowas wie eine Sense selbst aufbauen, es fehlt aber Zeit und ggf. Akzeptanz.
    4. größere IT aber kleine Budgets/Horizonte. Haben Ahnung und wollen das gern technisch gut umsetzen. Bekommen aber dann an allen Enden Knüppel reingeworfen. Da wird der Support nicht gezahlt, da wird die Hardware Garantie nicht mitgenommen, man bekommt mit müh und Not die Appliance an den Start. Hauptsache es läuft, dann wird schon wieder mit anderen Themen gewedelt. Läuft ja alles. Garantie abgelaufen? Egal, jetzt macht sich die Kiste bezahlt, läuft ja alles.

    Gerade 3 und 4 sind dann die Problemkinder #1 wenns mal knallt denn gerade 2-4 sind die Firmen, die tatsächlich viel mit Internet machen/nutzen oder sogar darauf angewiesen sind. Trotzdem erlebe ich bei gerade den Firmen die komplett unverständlichsten Aussagen wie

    K: "Next-Business-Day Austauschgarantie? Brauchen wir die? Die alte Firewall lief ja auch die letzten 6,34 Jahre ohne Probleme..."
    "Und wenn die Hardware eben doch mal ausfällt? Ihr Telefon und ihre ganzen Systeme sind in der Cloud? Dann geht ja hier gar nichts?"
    K: "Nee das darf nichtmal nen Tag stillstehen! Aber dann müssen Sie uns doch ordentliche Hardware verkaufen und nicht so billig Kram der ausfällt?"
    "Hardware kann immer ausfallen! Deshalb macht man dann entweder gleich nen Cluster mit 2 Maschinen, damit nichts ausfällt, oder/und man nimmt beide für ~3 Jahre in NBD Austausch rein. Haben Sie für ihre Server doch auch?"
    K: "Ja aber die letzten 6,34 Jahre..."
    " ... ... ... "

    Das sind dann die Stories, bei denen geknausert wird bis zu letzten. Das ganze Business baut auf Internet auf, aber genau das Gerät, dass die Verbindung stellt, wird weder redundant ausgelegt noch in längerfristigen Support genommen. Weil das kostet ja so viel mehr. Die alte Appliance, die überlastet ist und aus der Lizenz auslief, kostete zudem mind. das 3-5fache. Aber ist ja egal, da kann man jetzt ordentlich was einsparen. Nachfrage bezüglich Redundanz bringt dann auch lustige Blüten: da wird dann eher überlegt, dass man das Gerät eine Klasse höher kauft (mit etlichen 100€ mehr) damit man ein redundantes Netzteil hat. Replacement Support aber diskutiert man immer noch weg. Der würde aber weniger kosten als der Aufpreis auf die größere Kiste. Und da frag einer nach Logik...



  • @jegr Ich merke schon das du einen sehr interessanten Job hast :D
    Ich bin zwar auch ein Umsteiger, habe davor aber auch schon etliche Jahre etwas in dem Bereich gemacht.
    Ich würde mich nie auf die Stufe mit dem jenigen stellern der es von Anfangan gelernt hat, jedoch sorge ich dafür das was ich nicht weiß eben am Ende lerne. :)


  • Moderator

    @tobiasp said in pfSense OpenVPN Client falsche IP:

    Ich würde mich nie auf die Stufe mit dem jenigen stellern der es von Anfangan gelernt hat, jedoch sorge ich dafür das was ich nicht weiß eben am Ende lerne. :)

    Das ist gar nicht der entscheidende Punkt ;) Ich habe einige Kunden, deren IT'ler sich nicht unbedingt wahnsinnig gut auskennen. Geht heute auch gar nicht - aber die haken nach. Stellen Fragen. Und merken im Gespräch (hoffentlich) dass ich ihnen keinen Bären aufbinde und mit ihnen zusammen was suche, was auf sie passt. Ohne sie arm zu machen. Wenn ich aber ein Angebot 5x verändern/nachbessern soll, weil jemand nicht versteht, warum er vllt. NBD Support brauchen könnte wenn sein ganzes Geschäftsmodell daran hängt, dass das Internet erreichbar ist. Und er ggü. anderen Lösungen noch Geld spart, dann fehlt mir für die "Unlogik" einfach jegliches Verständnis. Dafür haben wir nun aber auch letztes und dieses Jahr schon einige Kunden von den verschiedensten anderen Lösungen "befreit". Forefront TMG z.B. (gruselig) oder Sophos, Watchguard, Juniper, Cisco. Läuft nicht immer 100% glatt, weil viele andere "Namen" dann ihre eigenen Speziallösungen haben, die dann nicht mehr gehen (VPN Clients bspw.) aber meistens finden wir zusammen eine gute wenn nicht bessere Lösung. Jetzt aber genug OT :D