OpenVPN von extern nicht erreichbar.



  • iNet — [Speedport Smart 3] —WAN— [pfSense] — LAN
    Der Speedport Smart hat die IP 192.168.2.1
    pfSense hat auf der WAN-Seite die IP 192.168.2.124 und auf der LAN-Seite 192.168.3.1
    OpenVPN ist auf eingestellt 10.0.8.0/24

    Hallo zusammen,

    ich (Einsteiger) habe auf einer pfSense OpenVPN installiert um von extern auf Sie für z.B. Wartungs- ud Administrationsarbeiten darauf zugreifen zu können.
    Mittlerweile kann ich aus dem LAN und aus dem WAN der pfSense (also noch hinter dem Speedport Smart) die VPN-Verbindung herstellen.
    Versuche ich aus dem Internet die Verbindung herzustellen scheint an der pfSense aber nichts anzukommen.
    Portweiterleitung (1194) habe ich im SpeedPort Smart auf die pfSense eingerichtet.
    Versucht habe ich bisher:

    • per UDP und TCP = ohne Erfolg
    • pfSense neu aufgesetzt
    • bei Firewall auf der WAN-Seite alles zugelassen

    Mittlerweile gehen mir die Ideen aus was ich (als Einsteiger) noch versuchen kann.



  • Hi,
    Du hast...

    • eine feste IP vom Provider für Deinen Anschluss oder DynDNS bzw. vergleichbar. Damit sollte der Client den
      Tunnel zum Server aufbauen können.

    • bei Firewall auf der WAN-Seite alles zugelassen

    0_1549818106518_Screenshot-2019-2-10 skydive orca net - Firewall Rules WAN.png

    • auf dem OpenVPN-Interface eine Regel gesetzt.....

    0_1549818513039_Screenshot-2019-2-10 skydive orca net - Firewall Rules OpenVPN(1).png

    ... so das Du vom Tunnel auf das Interface kommst?

    Wenn etwas geblockt wird, erfährst Du das in... Status - System Logs - Firewall.

    Gruß orcape



  • Hallo orcape,

    ich mache das über noip.
    Aber auch direkt über die extrene IP-Adresse geht es nicht. (hab es über mobil und anderen DSL-Anschluss der Telekom probiert)
    OpenVPN hab ich auf nur IPv4 eingestellt.

    Firewallregel bei WAN sieht derzeit so aus:
    2_1549821472578_WAN.jpg
    und beim oVPN-Interface
    0_1549821472578_Ovpn_Interface.jpg

    In der Firewall sieht es so aus wenn ich von extern komme
    1_1549821472578_Status_FW.jpg



  • @01minki said in OpenVPN von extern nicht erreichbar.:

    In der Firewall sieht es so aus wenn ich von extern komme

    Hallo,

    es sind hier keine OpenVPN Verbindungsversuche erkennbar. Die einzigen beiden Einträge vom WAN Interface sind ICMPv6, die von der Regel "Block all IPv6" abgefangen werden.

    Dass du aus dem Internet nichts durchkommt, kann ja wohl nicht an der pfSense liegen.
    Versuche es mal aus dem Internet mit der öffentlichen IP des SpeedPorts in der Client-Konfig beim Remote-Eintrag.

    Du kannst Diagnostic > Packet Capture verwenden, um die Sache auf Paketebene am WAN Interface zu untersuchen.
    Wenn du keine Paket mit Ziel-IP pfSense WAN ankommen, musst du das Problem am SpeedPort suchen.

    Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.

    Grüße



  • @viragomann said in OpenVPN von extern nicht erreichbar.:

    Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.

    Ja hier liegt wohl das Problem. Du solltest dort die LAN-IP der pfSense eintragen, die 192.168.3.1 als Adresse. Der Verweis in Deiner OpenVPN-Interface Rule auf die WAN-Adress ist Humbug.



  • Dank für den Tip.
    Ich habe die Regel des OpenVPN Interface auf 192.168.3.1 als Ziel geändert.
    Hat leider keine Besserung gebracht.

    Mit Packet Capture von WAN und Port 1194 als Filter ist die Ausgabe komplett leer sowie ich aus dem iNet (Ziel ist dann die externe/öffentlichen IP des Speedport aus dem Mobilfunknetz) komme.

    Aus dem internen Netz kann ich wie geschrieben die VPN-Verbindung über die WAN-Seite problemlos aufbauen und bekomme auch mit Packet Capture eine entsprechende Ausgabe.

    Ich werde es morgen mal mit einer FritzBox statt dem SpeedPort Smart 3 probieren.



  • Ich habe es nun mit der Fritzbox ausprobiert.
    Auch hier bleibt genau das gleiche Fehlerbild bestehen.



  • Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.



  • @bahsig said in OpenVPN von extern nicht erreichbar.:

    Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.

    Das sollte mit Automatic outbound NAT eigentlich erledigt sein....
    0_1550066606570_Screenshot-2019-2-13 skydive orca net - Firewall NAT Outbound.png



  • Ich habe auch nicht von Outbound NAT gesprochen ;-)



  • @bahsig said in OpenVPN von extern nicht erreichbar.:

    Ich habe auch nicht von Outbound NAT gesprochen ;-)

    ...und von was dann?

    2_1550073047412_Screenshot-2019-2-13 skydive orca net - Firewall NAT Port Forward.png 1_1550073047412_Screenshot-2019-2-13 skydive orca net - Firewall NAT NPt.png 0_1550073047411_Screenshot-2019-2-13 skydive orca net - Firewall NAT 1 1.png

    Hier braucht 's keine NAT-Regel ausser "Outbound NAT", damit ich von einem Tunnel auf die Web-Oberfläche oder ins LAN komme und auch auf den vorgeschalteten "Fritten-Kasten" reicht die Firewall-Rule aus und das funktioniert nicht nur bei einer Firewall so. Habe ich wohl was verkehrt gemacht. 😂
    Gruß orcape



  • @orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt oder man aus mehreren Netzwerken einen Tunnel aufbauen möchte, muss man sich beim lauschenden Interface zwischen "localhost" oder "any" entscheiden. Bei "any" kann dann aus jedem Netzwerk ein Tunnel aufgebaut werden. Die, die das nicht wollen, müssen dann Blockierregeln erstellen oder auf "localhost " als Interface zurückgreifen. Bei letzterem funktioniert der Tunnel nur mit entsprechendem Port Forwarding.