Openvpn Tunnel neustarten bei falscher exit IP

Chrysen

Moin,

Hab mal ne wahrscheinlich komische frage, hab nix dergleichen gefunden.

Ist es möglich Openvpn Tunnel automatisch neustarten zu lassen wenn die ausgangs IP die gewählt wurde nicht der gewünchten entspricht.
Bei meinem VPN Anbieter bekommt man immer random eine IP zugewiesen aus einem Bereich, hätte aber gerne eine bestimmte.

Eventuell n kleines Script mit wenn exit ip != gewünschte IP = Tunnel neustarten

Muss sonst immer manuell den Tunnel neustarten bis zur gewünschten IP.

Wenn das nicht geht, kann man es ggf. So einstellen das der Tunnel nicht selbstständig wieder aufgebaut wird bei einem Abbruch, sodass man manuell eingreifen kann?

Eventuell hat wer eine Idee.

MfG

Chrysen

viragomann

Hallo,

@Chrysen said in Openvpn Tunnel neustarten bei falscher exit IP:

hätte aber gerne eine bestimmte.

du hättest gerne eine bestimmte IP oder eine aus einem bestimmten Bereich?

Ich würde erst mal den VPN Anbieter kontaktieren und nachfragen, ob es möglich wäre...

Chrysen

@viragomann man verbindet sich mit einem Land und bekommt dann halt eine der IP Adressen dieses Servers automatisch zugewiesen.

Und hatte schon gefragt, ist aber nicht möglich, entweder hat man die ganze Zeit nur die "Haupt IP" des Servers die ich nicht möchte, oder halt komplett random eine.

viragomann

Und soll es nun eine bestimmte IP sein oder eine aus einem bestimmten Bereich bzw. nicht aus einem bestimmten Bereich?

Chrysen

@viragomann

Man verbindet sich über eine Domain jeweils auf ein Land/Stadt und davon bekommt man random eine IP zugewiesen.

möchte selber festlegen welche IP es werden soll.

man sieht ja welche IP's man bekommt, davon möchte ich dann eine dauerhaft einstellen, sodass auch wenn die verbindung unterbricht und eine neue Verbindung aufgebaut wird solange der Tunnel neugestartet wird bis die eingestellte IP. wieder erreicht ist.

wkn

Was ist den der Zweck dieser Aktion? Für was muss man seine IP festlegen?

Chrysen

@wkn
Möchte halt das alle Geräte im Heimnetz ne unterschiedliche exit IP haben.

Die Tunnel an sich gehen auch über Regeln jeweils nur zu einem Gerät.
Aber so bekommen halt öfter mehrere Teilnehmer die Gleiche IP random zugewiesen was ich halt vermeiden möchte.

Dann kann ich selber einfach nur die Heim IP am PC umstellen und hab direkt ne andere exit IP ohne das da zwei Geräte die gleiche haben und ich noch was manuell in pfsense umstellen muss.
Oder halt per DHCP und die IP Speicher Dauer reduzieren.

Möchte ich unter anderem wegen der Privacy, aber auch weil man bei nem Abbruch und dem Wechsel auf ne neue IP auch aus laufenden Sitzungen raus geschmissen wird und man muss sich neu anmelden und ggf. wieder Capcha eingeben usw. was nervig ist.

gcu_greyarea

Hallo,

mein VPN Anbieter erlaubt 4oder 5 gleichzeitige Verbindungen. D.h. du kannst mehrere VPN clients gleichzeitig konfigurieren. Hierzu kannst du Ip Adressen benutzen (anstelle von host oder domain Namen)

Beispiel:
https://mullvad.net/en/servers/

Danach kannst du eine Gateway Group konfigurieren und allen Gateways die gleiche Priorität geben (Tier1) . per round-robin werden dann die externen Verbindungen aufgebaut.

Outbound NAT nicht vergessen.

Chrysen

@gucu_greyarea
ok also direkt per IP komm ich nicht auf den Server, bzw nur mit einer (Haupt IP) trotzdem ist dann die exit IP ne andere.

ggf. muss ich an der Config aber nochwas anpassen, habe einfach die domain durch die Server IP ersetzt.

Mit Gateway Groups hab ich auch schon mal was gemacht auf tier 1 aber mit dem Nachteil das ich bei jedem Browser reload ne neue IP hatte bzw. Halt eine von dieser gateway group.

Round robin sagte mir bis aben noch nix, aber wenn jch des richtig gelesen habe wird round-robin ja achon automatisch genutzt.

gcu_greyarea

@Chrysen
"nur mit einer (Haupt IP) trotzdem ist dann die exit IP ne andere."

Es scheint als ob dein VPN Anbieter Verbindungen per IP nicht zulässt...

"aber mit dem Nachteil das ich bei jedem Browser reload ne neue IP hatte"

Ich dachte das wäre erwünscht für privacy usw... In meinem falle bleibt die IP per Browser session die gleiche, aber andere Nutzer bekommen per "round-robin" ein anderes Gateway zugewiesen...
Ich bin nicht unbedingt davon überzeugt dass verschiedene gateways mehr "privacy" mit sich bringen. Es handelt sich ja um den gleichen VPN Anbieter... (oder hast du ggf. mehrere Anbieter?)

Mullvad VPB bietet einen Socks5 Proxy an der Captchas angeblich reduzieren kann.

Ich persönlich nutze mehrere VPN Verbindungen, aber nicht per round-robin, jedoch für failover. Bevorzugt netzte ich den Server (Tier1) mit der geringsten "latency" und wenn der nicht verfügbar ist einen andern server (Tier2)....

Chrysen

@gcu_greyarea

ich kann schon einstellen das ich eine feste IP bekomme, aber wenn ich das mache komme ich trotzdem nur über die Haupt IP oder halt Domain drauf.

ne möchte schon das die einzelne Session bleibt, nur wie bei dir das andere Geräte dann jeweils wieder ne eigene Exit IP bekommen.

Hast du irgendwas spezielles eingestellt, das beim Browser reload die IP gleich bleibt. Hab mal was von Sticky Verbindung gelesen, das die quasi kleben bleibt.

gcu_greyarea

Hallo,

Habe gerade nochmals getestet. round robin mit mehreren gateways als Tier1.
In Safari (ipad) einfach “whats my IP” eingeben.
Google zeigt meine aktuelle externe IP (vom VPN anbieter). Die IP bleibt solange die gleiche bis ich die safari App komplett Schliesse.
Das gleiche resultat bekomme ich mit der speedtest.net app.

Beim erneuten oeffnen der app bekomme ich eine neue externe ip angezeigt.
In pfsense habe ich nichts einstellen muessen.

In sytem - advanced - misc

Use sticky connection (kein haken)
State killing on gateway failure (haken gesetzt)

Chrysen

@gcu_greyarea
ok also Safari habe ich noch nie getestet meist Firefox.

Wenn du die konstellation grade schon hast kannst ja mal Firefox probieren eventuell reagiert der allgemein anders

Aber Round-Robin wird direkt von pfsense genutzt und muss man nicht noch irgendwo aktivieren?
Habe kein Menü gefunden um des auszuwählen.

Muss des Morgen nochmal nachstellen auch mal mit Safari, muss Arbeiten heute noch

gcu_greyarea

Ja, du musst bei pfsense nix einstellen. Einfach alle gateways in der Gruppe auf Tier1 setzen...
Firefox habe ich derzeit nicht installiert, habe jedoch mit Win10 getestet.
Chrome und IE behalten die gleiche IP adresse wenn man mehrere Tabs oeffnet.
Die Adresse aendert sich erst wenn man die Browser schliesst und danach wieder oeffnet. Manchmal muss man mehrere mal probieren bis sich die Adresse aendert.

Chrysen

@gcu_greyarea

State killing on gateway failure hab ich auch mal aktiviert, und unter der Gateway Group verschiedene trigger level getestet aber trotzdem ändert sich die exit IP sehr Oft wenn man den Tab neu lädt, getestet mit Handy und Tablet, Chrome Firefox und Opera.

Habe einfach als Regel den IP Adressbereich vom Heimnetz auf die Gateway Group gestellt.
Kann es sein das man da nochwas einstellen muss. An sich hat man ja mal alle Teilnehmer dieser Gruppe aber halt jedes mal beim Tab reload random neu.

gcu_greyarea

Ich würde dann mal beim VPN anbieter anfragen. Ggf. Verlässt der verkehr den VPN anbieter über verschiedene public IP’s ? Also im prinzip das gleiche was du zu hause machst, geschieht auch beim VPN anbieter.

Chrysen

@gcu_greyarea

Dürfte eig nicht, weil wenn ich nur einen Tunnel nehme bekomme ich nur einmal ne random IP solange der Tunnel steht.
Da kann ich so oft tab neuladen wie ich möchte. Mit immer derselben exit IP.

gcu_greyarea

Hi, da bin ich momentan echt überfordert. Du möchtest dass jeder client eine eigene exit IP bekommt und diese IP soll besthen bleiben.
Wieviele tunnel erlaubt dein Anbieter gleichzeitig ?
Ich kann nur 4 oder 5 open VPN verbindungen gleichzeitig aufbauen. Unser haushalt hat jedoch mehr clients...

Angenommen du hast 20 clients (computer, handys etc) und 4 tunnel...
du koenntest 4 Aliasse mit je 5 clients erzeugen.
Dann 4 firewall regeln erzeugen:
Alias1 -> gw1
.
.
Alias4 -> gw4

Somit wäre sichergestellt dass zumindest die exit ip für ein Alias die gleiche bleibt.

gcu_greyarea

Hallo dein problem ist hier beschrieben:

https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html

https://docs.netgate.com/pfsense/en/latest/book/multiwan/load-balancing-and-failover.html#problems-with-load-balancing

Problems with Load Balancing

Some websites store session information including the client IP address, and if a subsequent connection to that site is routed out a different WAN interface using a different public IP address, the website will not function properly. This is becoming more common with banks and other security-minded sites. The suggested means of working around this is to create a failover group and direct traffic destined to these sites to the failover group rather than a load balancing group. Alternately, perform failover for all HTTPS traffic.

The sticky connections feature of pf is intended to resolve this problem, but it has historically been problematic. It is safe to use, and should alleviate this, but there is also a downside to using the sticky option. When using sticky connections, an association is held between the client IP address and a given gateway, it is not based off of the destination. When the sticky connections option is enabled, any given client would not load balance its connections between multiple WANs, but it would be associated with whichever gateway it happened to use for its first connection. Once all of the client states have expired, the client may exit a different WAN for its next connection, resulting in a new gateway pairing.

Ich würde folgende Optionen erwägen:

1. wie oben beschrieben eine Failover Group benutzen, aber dann haben alle seine clients die gleiche exit ip.

2. mehrere aliasse anlegen und dann per Firewall Regel auf verschidene gateways aufteilen

3. Sticky Session feature nutzen und den source tracking timeout

4. wie hier beschrieben eine firewall regel erzeugen und problematische seiten per IP aufrufen und geziehlt ein gateway nutzen

https://community.spiceworks.com/topic/2143338-dual-wan-pfsense-load-balancing-sticky-session

Probleme mit4)
a) website laesst sich ggf nich per IP
b) website nutzt load balancer usw und IP aendern sich
c) domain und website sind aus meiner erfahrung in pfsense FW regeln problematisch, weil diese erst in IP adressen aufgeloest werden muessen

Ich persoenlich nutze failover group, dar keinen grossen vorteil darin sehe verschiedene exit IP zu nutzen, es sei denn du har verschiedene VPN anbieter...

Chrysen

@gcu_greyarea

Ok danke schon mal für die Ausführliche Beschreibung der Möglichkeiten.

1. Das muss ich mal testen mit einer Failover Group (noch nie was mit gemacht) , kann man denn nur eine machen?

2 .Das kann man natürlich machen dann kann man halt einer gewissen Gruppe eine feste IP zuweißen, und wenn sich der Tunnel neu aufbaut gibt's halt ne neue Exit IP für alle innerhalb des Alias.

3. Das ließt sich so das man für eine vorgegebene Zeit einem Gateway zugeornet ist und der dann ein Zwangs Wechsel durchführt.

4. Das werde ich mal testen was der daraus macht bei ein paar IP check Seiten.