Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN von extern nicht erreichbar.

    Scheduled Pinned Locked Moved Deutsch
    23 Posts 5 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • 0
      01minki
      last edited by

      iNet — [Speedport Smart 3] —WAN— [pfSense] — LAN
      Der Speedport Smart hat die IP 192.168.2.1
      pfSense hat auf der WAN-Seite die IP 192.168.2.124 und auf der LAN-Seite 192.168.3.1
      OpenVPN ist auf eingestellt 10.0.8.0/24

      Hallo zusammen,

      ich (Einsteiger) habe auf einer pfSense OpenVPN installiert um von extern auf Sie für z.B. Wartungs- ud Administrationsarbeiten darauf zugreifen zu können.
      Mittlerweile kann ich aus dem LAN und aus dem WAN der pfSense (also noch hinter dem Speedport Smart) die VPN-Verbindung herstellen.
      Versuche ich aus dem Internet die Verbindung herzustellen scheint an der pfSense aber nichts anzukommen.
      Portweiterleitung (1194) habe ich im SpeedPort Smart auf die pfSense eingerichtet.
      Versucht habe ich bisher:

      • per UDP und TCP = ohne Erfolg
      • pfSense neu aufgesetzt
      • bei Firewall auf der WAN-Seite alles zugelassen

      Mittlerweile gehen mir die Ideen aus was ich (als Einsteiger) noch versuchen kann.

      1 Reply Last reply Reply Quote 0
      • O
        orcape
        last edited by

        Hi,
        Du hast...

        • eine feste IP vom Provider für Deinen Anschluss oder DynDNS bzw. vergleichbar. Damit sollte der Client den
          Tunnel zum Server aufbauen können.

        • bei Firewall auf der WAN-Seite alles zugelassen

        0_1549818106518_Screenshot-2019-2-10 skydive orca net - Firewall Rules WAN.png

        • auf dem OpenVPN-Interface eine Regel gesetzt.....

        0_1549818513039_Screenshot-2019-2-10 skydive orca net - Firewall Rules OpenVPN(1).png

        ... so das Du vom Tunnel auf das Interface kommst?

        Wenn etwas geblockt wird, erfährst Du das in... Status - System Logs - Firewall.

        Gruß orcape

        1 Reply Last reply Reply Quote 0
        • 0
          01minki
          last edited by

          Hallo orcape,

          ich mache das über noip.
          Aber auch direkt über die extrene IP-Adresse geht es nicht. (hab es über mobil und anderen DSL-Anschluss der Telekom probiert)
          OpenVPN hab ich auf nur IPv4 eingestellt.

          Firewallregel bei WAN sieht derzeit so aus:
          2_1549821472578_WAN.jpg
          und beim oVPN-Interface
          0_1549821472578_Ovpn_Interface.jpg

          In der Firewall sieht es so aus wenn ich von extern komme
          1_1549821472578_Status_FW.jpg

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @01minki
            last edited by

            @01minki said in OpenVPN von extern nicht erreichbar.:

            In der Firewall sieht es so aus wenn ich von extern komme

            Hallo,

            es sind hier keine OpenVPN Verbindungsversuche erkennbar. Die einzigen beiden Einträge vom WAN Interface sind ICMPv6, die von der Regel "Block all IPv6" abgefangen werden.

            Dass du aus dem Internet nichts durchkommt, kann ja wohl nicht an der pfSense liegen.
            Versuche es mal aus dem Internet mit der öffentlichen IP des SpeedPorts in der Client-Konfig beim Remote-Eintrag.

            Du kannst Diagnostic > Packet Capture verwenden, um die Sache auf Paketebene am WAN Interface zu untersuchen.
            Wenn du keine Paket mit Ziel-IP pfSense WAN ankommen, musst du das Problem am SpeedPort suchen.

            Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.

            Grüße

            1 Reply Last reply Reply Quote 0
            • O
              orcape
              last edited by

              @viragomann said in OpenVPN von extern nicht erreichbar.:

              Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.

              Ja hier liegt wohl das Problem. Du solltest dort die LAN-IP der pfSense eintragen, die 192.168.3.1 als Adresse. Der Verweis in Deiner OpenVPN-Interface Rule auf die WAN-Adress ist Humbug.

              1 Reply Last reply Reply Quote 0
              • 0
                01minki
                last edited by

                Dank für den Tip.
                Ich habe die Regel des OpenVPN Interface auf 192.168.3.1 als Ziel geändert.
                Hat leider keine Besserung gebracht.

                Mit Packet Capture von WAN und Port 1194 als Filter ist die Ausgabe komplett leer sowie ich aus dem iNet (Ziel ist dann die externe/öffentlichen IP des Speedport aus dem Mobilfunknetz) komme.

                Aus dem internen Netz kann ich wie geschrieben die VPN-Verbindung über die WAN-Seite problemlos aufbauen und bekomme auch mit Packet Capture eine entsprechende Ausgabe.

                Ich werde es morgen mal mit einer FritzBox statt dem SpeedPort Smart 3 probieren.

                1 Reply Last reply Reply Quote 0
                • 0
                  01minki
                  last edited by

                  Ich habe es nun mit der Fritzbox ausprobiert.
                  Auch hier bleibt genau das gleiche Fehlerbild bestehen.

                  1 Reply Last reply Reply Quote 0
                  • nodauN
                    nodau
                    last edited by

                    Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.

                    Norman

                    virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                    1 Reply Last reply Reply Quote 1
                    • O
                      orcape
                      last edited by

                      @bahsig said in OpenVPN von extern nicht erreichbar.:

                      Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.

                      Das sollte mit Automatic outbound NAT eigentlich erledigt sein....
                      0_1550066606570_Screenshot-2019-2-13 skydive orca net - Firewall NAT Outbound.png

                      1 Reply Last reply Reply Quote 0
                      • nodauN
                        nodau
                        last edited by nodau

                        Ich habe auch nicht von Outbound NAT gesprochen ;-)

                        Norman

                        virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                        O 1 Reply Last reply Reply Quote 0
                        • O
                          orcape @nodau
                          last edited by

                          @bahsig said in OpenVPN von extern nicht erreichbar.:

                          Ich habe auch nicht von Outbound NAT gesprochen ;-)

                          ...und von was dann?

                          2_1550073047412_Screenshot-2019-2-13 skydive orca net - Firewall NAT Port Forward.png 1_1550073047412_Screenshot-2019-2-13 skydive orca net - Firewall NAT NPt.png 0_1550073047411_Screenshot-2019-2-13 skydive orca net - Firewall NAT 1 1.png

                          Hier braucht 's keine NAT-Regel ausser "Outbound NAT", damit ich von einem Tunnel auf die Web-Oberfläche oder ins LAN komme und auch auf den vorgeschalteten "Fritten-Kasten" reicht die Firewall-Rule aus und das funktioniert nicht nur bei einer Firewall so. Habe ich wohl was verkehrt gemacht. 😂
                          Gruß orcape

                          1 Reply Last reply Reply Quote 0
                          • nodauN
                            nodau
                            last edited by

                            @orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt oder man aus mehreren Netzwerken einen Tunnel aufbauen möchte, muss man sich beim lauschenden Interface zwischen "localhost" oder "any" entscheiden. Bei "any" kann dann aus jedem Netzwerk ein Tunnel aufgebaut werden. Die, die das nicht wollen, müssen dann Blockierregeln erstellen oder auf "localhost " als Interface zurückgreifen. Bei letzterem funktioniert der Tunnel nur mit entsprechendem Port Forwarding.

                            Norman

                            virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                            O 1 Reply Last reply Reply Quote 0
                            • O
                              orcape @nodau
                              last edited by

                              @bahsig said in OpenVPN von extern nicht erreichbar.:

                              @orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt....

                              Kommt es aber in diesem Fall nicht.
                              Leider ist der Input des TE nicht gerade zielführend, denn ein "anscheinend" ordentlich aufgebauter Tunnel, muss nicht zwingend wirklich eine Verbindung gewährleisten.
                              Hier wären Logs, Routing-Tabellen, Server-, Client-Einstellungen und noch ein paar mehr Infos zum Aufbau des Netzwerkes angebracht, um wirklich zielführend helfen zu können.
                              Hier kann man Bilder hochladen, um das ganze für Aussenstehende besser zu veranschaulichen. Wenn man Hilfe benötigt, warum nutzt man diese Möglichkeiten nicht.
                              Gruß orcape

                              1 Reply Last reply Reply Quote 0
                              • mike69M
                                mike69 Rebel Alliance
                                last edited by mike69

                                Ist der Speedport auf Exposed Host gesetzt? Wenn nein, kümmern sich beide um die Portweiterleitung, das ist kontraproduktiv.

                                Eigendlich funktioniert alles nach dem Wizard und nach der Wiki oofb, bei einem WAN. Die einzigen Rules liegen unter WAN und LAN, wie es der Wizard vorschlägt. Wenn alles so geschmeidig laufen würde wäre ich froh.:)

                                DG FTTH 400/200
                                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                O 1 Reply Last reply Reply Quote 0
                                • O
                                  orcape @mike69
                                  last edited by

                                  @mike69 said in OpenVPN von extern nicht erreichbar.:

                                  ... Wenn alles so geschmeidig laufen würde wäre ich froh.:)

                                  Warum sollte das nicht funktionieren? ...ich bin froh. 😂

                                  mike69M 1 Reply Last reply Reply Quote 0
                                  • mike69M
                                    mike69 Rebel Alliance @orcape
                                    last edited by

                                    @orcape said in OpenVPN von extern nicht erreichbar.:

                                    @mike69 said in OpenVPN von extern nicht erreichbar.:

                                    ... Wenn alles so geschmeidig laufen würde wäre ich froh.:)

                                    Warum sollte das nicht funktionieren? ...ich bin froh. 😂

                                    Dann sind das schon zwei.☺

                                    Aber mal zum Topic, der TE könnte mal ein Feedback geben über die aktuelle Lage hier.

                                    DG FTTH 400/200
                                    Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                    1 Reply Last reply Reply Quote 0
                                    • 0
                                      01minki
                                      last edited by

                                      Nachdem ich nun den Speedport durch die Fritzbox testweise ausgetauscht hatte und das Fehlerbild gleich geblieben ist glaube ich nicht mehr an Speedport als Ursache.
                                      Die Sense habe ich komplett neu aufgesetzt mit dem Ergebnis das das Fehlerbild gleich geblieben ist.
                                      Dann habe ich einen Kollegen dazugezogen der selbst schon länger eine Sense für sein privates und Firmennetzwerk betreibt.
                                      Er hat OpenVPN und die von mir eingerichteten Regeln gelöscht und OpenVPN über den Wizzard neu eingerichet.
                                      Auch er konnte bisher die Ursache noch nicht finden.
                                      Um auszuschließen das ich einen Fehler bei der Erstellung der Zertifikate gemacht habe wird er es nun in den nächsten Tagen mit einer bei mir frisch installierten Version probieren und auch die Zertifikate selbst darauf erstellen.

                                      1 Reply Last reply Reply Quote 0
                                      • nodauN
                                        nodau
                                        last edited by

                                        Ohne logs können wir nicht weiterhelfen. Wenns an den Zertifikaten liegt, ändere den Server mode auf Remote Access (user auth). Dann kannst du das schonmal ausschließen. Hast du auf der FB mal die Sense als Exposed Host konfiguriert?

                                        Norman

                                        virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                                        1 Reply Last reply Reply Quote 0
                                        • V
                                          viragomann
                                          last edited by viragomann

                                          @01minki
                                          Noch einmal:
                                          Wenn du auf deinem Router alles auf die pfSense weitergeleitet hast, bzw. auf der FritzBox diese als Exposed Host eingetragen hast, und ein Packet Capture am WAN Port der pfSense mit Filter nach Port 1194 (wenn dieser bislang nicht verändert wurde) keine Pakete zeigt, dann liegt es nicht an der pfSense!
                                          Dann suchst du an der falschen Stelle.

                                          Versuche mal die Verbindung aus einem anderen Netz als aus deinem Mobilen. Ggf. wird da die VPN blockiert. Kann aber auch sein, dass dein Provider jeglichen Zugriff auf deine öffentliche IP blockiert.
                                          Du kannst auch ein Port-Prüftool im Internet verwenden, während du ein Packet Capture machst, um zu sehen, ob was durchkommt. Auf die Aussage des Prüftools würde ich nichts geben, weil die meist nur TCP testen und dann ein offener UDP Port als geschlossen angezeigt wird.
                                          Auch die pfSense hat ein Port Test Werkzeug im Diagnostic Menu mit an Board. So kannst du auch deinen Kollegen bitte, dass er gewisse Ports bei dir testet, während du das Capture laufen lässt.
                                          Auf diese Weise kann auch ein offener Port gesucht werden, wenn auch etwas mühsam.
                                          Der Port 1194 ist ja nicht zwingend für OpenVPN, du kannst jeden beliebigen verwenden, der nicht anderweitig auf der Empfängerseite verwendet wird. Ich habe bspw. für privat zusätzlich einen Server laufen, der auf 587 TCP lauscht. Nachdem dieser Port für Mailversand standardisiert ist, wird er eher nicht blockiert.
                                          Erst wenn da was von außen rein kommt, macht es Sinn bei der pfSense zu suchen.

                                          O 1 Reply Last reply Reply Quote 1
                                          • O
                                            orcape @viragomann
                                            last edited by

                                            @viragomann said in OpenVPN von extern nicht erreichbar.:

                                            @01minki
                                            Erst wenn da was von außen rein kommt, macht es Sinn bei der pfSense zu suchen.

                                            Zudem noch nicht einmal sicher ist, ob der Tunnel überhaupt richtig funktioniert.

                                            mike69M 1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.