OpenVPN von extern nicht erreichbar.
-
iNet — [Speedport Smart 3] —WAN— [pfSense] — LAN
Der Speedport Smart hat die IP 192.168.2.1
pfSense hat auf der WAN-Seite die IP 192.168.2.124 und auf der LAN-Seite 192.168.3.1
OpenVPN ist auf eingestellt 10.0.8.0/24Hallo zusammen,
ich (Einsteiger) habe auf einer pfSense OpenVPN installiert um von extern auf Sie für z.B. Wartungs- ud Administrationsarbeiten darauf zugreifen zu können.
Mittlerweile kann ich aus dem LAN und aus dem WAN der pfSense (also noch hinter dem Speedport Smart) die VPN-Verbindung herstellen.
Versuche ich aus dem Internet die Verbindung herzustellen scheint an der pfSense aber nichts anzukommen.
Portweiterleitung (1194) habe ich im SpeedPort Smart auf die pfSense eingerichtet.
Versucht habe ich bisher:- per UDP und TCP = ohne Erfolg
- pfSense neu aufgesetzt
- bei Firewall auf der WAN-Seite alles zugelassen
Mittlerweile gehen mir die Ideen aus was ich (als Einsteiger) noch versuchen kann.
-
Hi,
Du hast...-
eine feste IP vom Provider für Deinen Anschluss oder DynDNS bzw. vergleichbar. Damit sollte der Client den
Tunnel zum Server aufbauen können. -
bei Firewall auf der WAN-Seite alles zugelassen
- auf dem OpenVPN-Interface eine Regel gesetzt.....
... so das Du vom Tunnel auf das Interface kommst?
Wenn etwas geblockt wird, erfährst Du das in... Status - System Logs - Firewall.
Gruß orcape
-
-
Hallo orcape,
ich mache das über noip.
Aber auch direkt über die extrene IP-Adresse geht es nicht. (hab es über mobil und anderen DSL-Anschluss der Telekom probiert)
OpenVPN hab ich auf nur IPv4 eingestellt.Firewallregel bei WAN sieht derzeit so aus:
und beim oVPN-Interface
In der Firewall sieht es so aus wenn ich von extern komme
-
@01minki said in OpenVPN von extern nicht erreichbar.:
In der Firewall sieht es so aus wenn ich von extern komme
Hallo,
es sind hier keine OpenVPN Verbindungsversuche erkennbar. Die einzigen beiden Einträge vom WAN Interface sind ICMPv6, die von der Regel "Block all IPv6" abgefangen werden.
Dass du aus dem Internet nichts durchkommt, kann ja wohl nicht an der pfSense liegen.
Versuche es mal aus dem Internet mit der öffentlichen IP des SpeedPorts in der Client-Konfig beim Remote-Eintrag.Du kannst Diagnostic > Packet Capture verwenden, um die Sache auf Paketebene am WAN Interface zu untersuchen.
Wenn du keine Paket mit Ziel-IP pfSense WAN ankommen, musst du das Problem am SpeedPort suchen.Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.
Grüße
-
@viragomann said in OpenVPN von extern nicht erreichbar.:
Die Regel "OpenVPN Assistent" am OpenVPN Interface macht wohl wenig Sinn, auch wenn sie alleine da stehen würde. Du möchtest wohl nicht vom VPN aus auf die WAN IP zugreifen.
Ja hier liegt wohl das Problem. Du solltest dort die LAN-IP der pfSense eintragen, die 192.168.3.1 als Adresse. Der Verweis in Deiner OpenVPN-Interface Rule auf die WAN-Adress ist Humbug.
-
Dank für den Tip.
Ich habe die Regel des OpenVPN Interface auf 192.168.3.1 als Ziel geändert.
Hat leider keine Besserung gebracht.Mit Packet Capture von WAN und Port 1194 als Filter ist die Ausgabe komplett leer sowie ich aus dem iNet (Ziel ist dann die externe/öffentlichen IP des Speedport aus dem Mobilfunknetz) komme.
Aus dem internen Netz kann ich wie geschrieben die VPN-Verbindung über die WAN-Seite problemlos aufbauen und bekomme auch mit Packet Capture eine entsprechende Ausgabe.
Ich werde es morgen mal mit einer FritzBox statt dem SpeedPort Smart 3 probieren.
-
Ich habe es nun mit der Fritzbox ausprobiert.
Auch hier bleibt genau das gleiche Fehlerbild bestehen.
-
Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.
-
@bahsig said in OpenVPN von extern nicht erreichbar.:
Moin, du musst zusätzlich für OpenVPN auf dem WAN interface eine eingehende NAT Regel erstellen. Eine Firewallregel alleine reicht nicht.
Das sollte mit Automatic outbound NAT eigentlich erledigt sein....
-
Ich habe auch nicht von Outbound NAT gesprochen ;-)
-
@bahsig said in OpenVPN von extern nicht erreichbar.:
Ich habe auch nicht von Outbound NAT gesprochen ;-)
...und von was dann?
Hier braucht 's keine NAT-Regel ausser "Outbound NAT", damit ich von einem Tunnel auf die Web-Oberfläche oder ins LAN komme und auch auf den vorgeschalteten "Fritten-Kasten" reicht die Firewall-Rule aus und das funktioniert nicht nur bei einer Firewall so. Habe ich wohl was verkehrt gemacht.
Gruß orcape
-
@orcape Für einfache Szenarien gebe ich dir Recht. Aber sobald Multi-Wan ins Spiel kommt oder man aus mehreren Netzwerken einen Tunnel aufbauen möchte, muss man sich beim lauschenden Interface zwischen "localhost" oder "any" entscheiden. Bei "any" kann dann aus jedem Netzwerk ein Tunnel aufgebaut werden. Die, die das nicht wollen, müssen dann Blockierregeln erstellen oder auf "localhost " als Interface zurückgreifen. Bei letzterem funktioniert der Tunnel nur mit entsprechendem Port Forwarding.
