roadwarrior pfsense OPENVPN



  • Nabend zusammen,
    ich habe mich per Open VPN von einer Windows 7 Maschine verbunden. Die Verbindung steht, jedoch erhalte ich keine IP aus dem Netzt hinter der PfSens um auf das lokale Netzwerk zugreifen zu können. Diese hat den Bereich 10.1.1.0/24.
    Ein Fehler im Log kann ich auch nicht finden :-(

    Tue Jun 25 16:43:40 2019 [OpenVPN-Server-Zertifikat] Peer Connection Initiated with [AF_INET]5.196.54.XXX:1196
    Tue Jun 25 16:43:41 2019 open_tun
    Tue Jun 25 16:43:41 2019 TAP-WIN32 device [LAN-Verbindung 2] opened: \.\Global{2784A071-17C7-4A50-8A7E-72CF06C838FD}.tap
    Tue Jun 25 16:43:41 2019 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.8.0/10.0.8.2/255.255.255.0 [SUCCEEDED]
    Tue Jun 25 16:43:41 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.0 on interface {2784A071-17C7-4A50-8A7E-72CF06C838FD} [DHCP-serv: 10.0.8.254, lease-time: 31536000]
    Tue Jun 25 16:43:41 2019 Successful ARP Flush on interface [23] {2784A071-17C7-4A50-8A7E-72CF06C838FD}
    Tue Jun 25 16:43:47 2019 Initialization Sequence Completed
    Tue Jun 25 16:44:17 2019 SIGHUP[hard,] received, process restarting
    Tue Jun 25 16:44:17 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
    Tue Jun 25 16:44:17 2019 Windows version 6.1 (Windows 7) 64bit
    Tue Jun 25 16:44:17 2019 library versions: OpenSSL 1.1.0j 20 Nov 2018, LZO 2.10
    Tue Jun 25 16:44:22 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]5.196.54.XXX:1196
    Tue Jun 25 16:44:22 2019 UDP link local (bound): [AF_INET][undef]:1194
    Tue Jun 25 16:44:22 2019 UDP link remote: [AF_INET]5.196.54.XXX1.png :1196
    Tue Jun 25 16:44:22 2019 [OpenVPN-Server-Zertifikat] Peer Connection Initiated with [AF_INET]5.196.54.109:1196
    Tue Jun 25 16:44:28 2019 open_tun
    Tue Jun 25 16:44:28 2019 TAP-WIN32 device [LAN-Verbindung 2] opened: \.\Global{2784A071-17C7-4A50-8A7E-72CF06C838FD}.tap
    Tue Jun 25 16:44:28 2019 Set TAP-Windows TUN subnet mode network/local/netmask = 10.0.8.0/10.0.8.2/255.255.255.0 [SUCCEEDED]
    Tue Jun 25 16:44:28 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.0 on interface {2784A071-17C7-4A50-8A7E-72CF06C838FD} [DHCP-serv: 10.0.8.254, lease-time: 31536000]
    Tue Jun 25 16:44:28 2019 Successful ARP Flush on interface [23] {2784A071-17C7-4A50-8A7E-72CF06C838FD}
    Tue Jun 25 16:44:34 2019 Initialization Sequence Completed

    Besten Dank!

    3.png



  • Hallo!

    @achim55 said in roadwarrior pfsense OPENVPN:

    Die Verbindung steht, jedoch erhalte ich keine IP aus dem Netzt hinter der PfSens um auf das lokale Netzwerk zugreifen zu können.

    So ist das auch nicht gedacht. Der Client bekommt im Tun-Modus eine IP aus dem Tunnel Netzwerk. Laut dem Log ist das 10.0.8.2. Pakete in das Remote-Netzwerk hinter der pfSense werden über den VPN-Tunnel geroutet. Das wird in der Server-Konfig mit "Lokal anliegende Netzwerke" festgelegt. Ist da ein Netzwerk eingetragen, wird am Client bei Verbindungsherstellung eine Route dahin gesetzt, die den VPN-Server als Gateway (hier 10.0.8.1) verwendet.

    Überprüfen kannst du das in der Routingtabelle von Windows (route print).

    Wenn das Remote-Gerät nicht antworten, hat das meistens einen dieser beiden Ursachen:

    • Das Remote-Gerät blockiert Anfragen des VPN-Clients (blockt generell Anfragen aus anderen Subnetzen)
    • Der VPN-Server (die pfSense) ist nicht das Standard-Gateway am Remote-Gerät.

    Kannst du diese Punkte mal überprüfen?


  • LAYER 8 Rebel Alliance

    Firewall Regel im OpenVPN Tab entsprechend gesetzt?

    -Rico



  • Hallo,
    ich habe noch ein Standort mit der pfSense verbunden, also die eine als Server die andere als Client.
    Das klappt auch gut!

    Alle PCs die im Netzt hinter der pfsense -Client- sind können sich per RDP auf den W 2016 TerminalServer, der im lokalen Netz hinter dem pfsense -Server- verbinden per RDP.
    Nur nicht der -roadwarrior-!

    Also sollte das Remote-Gerät, in diesem Fall der Terminal Server2016 doch nicht blockieren bzw. die pfSense als Gateway laufen, oder habe ich da einen Gedankenfelder ?

    Kann es daran liegen das es W7 ist und ich den Client Export "Windows Vista and Later " nahm ?

    Die Firewall Regel habe ich mal komplett aufgemacht..... vpn1.png

    Gruß



  • @achim55 said in roadwarrior pfsense OPENVPN:

    ich habe noch ein Standort mit der pfSense verbunden, also die eine als Server die andere als Client.

    Das ist dann vermutlich eine Site-to-site Verbindung.
    Läuft die auf einem eigenen OpenVPN Server oder ist das per CSO getrennt?

    Grundsätzlich, wenn diese andere Verbindung funktioniert, müssen die beiden genannten Bedingungen auch gegeben sein.
    Allerdings ist darauf zu achten, dass sich die beiden Remote-Netze (aus Sicht des Servers) nicht überschneiden. D.h. der andere Standort muss lokal einen anderen Netzwerkbereich haben als dein Windows-Rechner (vermutlich Heimnetz). Ansonsten funktioniert das Zurückrouten der Antwortpakete nicht. Ggf. musst du ein Netz ändern.

    Grüße



  • ich habe mir noch einmal Gedanke über Deine Aussage gemacht, das das Remote Gerät die Verbindung nicht annehmen will, obwohl es ja von der Site-to-Site Verbindung aus geht.

    Firewall am Server deaktiviert, dann kam der RDP Login. Jedoch war ein Anmelden nicht möglich.

    Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt.

    Nach einem Update von dem Server 2016 geht es jetzt wieder nicht :-( Kein Login obwohl die Firwall aus ist.

    Hast Du noch eine Idee ? Hatte noch nie solche Probleme.

    Grußfehler.png



  • Hat dein Windows 7 Rechner alle Updates?

    Zeigt die Fehlermeldung noch weitere Infos? Oder eventuell die Logs.
    Es gab vor einem Jahr mal einen solchen Fehler nach einem Update. Das wurde aber mittlerweile längst wieder gefixt.

    Ansonsten kannst du versuchen auf dem Server in den RDP Einstellungen die Network Level Authentication auszuschalten:
    17a473e0-945e-4f6c-8b25-90893c6c3827-grafik.png

    Sollte aber mit aktualisierten System nicht nötig sein. Ich bin eben von Win7 mit genau diesem Win2016 verbunden.


  • LAYER 8 Rebel Alliance

    Wieso schneidest du den Screenshot ab und unterschlägst damit Informationen?
    Das sieht mir nach dem 'CredSSP Encryption Oracle Remediation' Fehler aus und hat mit der pfSense oder OpenVPN überhaupt nichts zu tun.
    Bringe Server und Client auf beiden Seiten auf den aktuellen Update Stand, dann geht es wieder.

    -Rico



  • War keine Absicht mit dem Abschneiden. Jetzt geht es,nachdem der Client auch upgedatet wurde.

    Danke Euch für die tolle Hilfe!!!

    Schöne Grüße


Log in to reply