Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Probleme mit PIA VPN

    Deutsch
    2
    6
    86
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DaLeberkasPepi last edited by

      Hallo zusammen,

      ich hab folgende Situation:
      ich hab mehrere Docker Container auf meinem unRAID Server laufen deren Traffic ich durch einen PIA-VPN leite. Alle Container haben eine eigene IP welche in dem IP-Alias pia_redirect_group enthalten sind. Wegen DNS Leaks hab ich auch den Zugriff dieser LAN IPs auf die den pfsense DNS geblockt und habe die PIA DNS Server dafür den Containern direkt mitgegeben.

      jetzt zu meiner Frage / Problem:
      vermutlich seit dem ich neben den PIA VPN Client auch noch einen OpenVPN Server eingerichtet habe funktioniert das ganze System nicht mehr (es hatte vorher schon über ein Jahr lang funktioniert). Ich teste jetzt schon seit dem Wochenende und ich habe es bis jetzt noch nicht beheben können. Ich bin auch noch extra die Anleitungen durchgegangen die ich damals genutzt habe um zu sehen ob ich etwas übersehen habe aber mir ist nichts aufgefallen.
      Das komische an der ganzen Situation und das was ich überhaupt nicht verstehe ist das Verhalten das ich bekomme wenn ich vom Docker Container aus versuche verschiedene Adressen zu pingen.
      3d24cb6e-80b4-461f-9af3-bf72dff2b226-image.png
      Das was ich an der Situation überhaupt nicht verstehe ist warum er es schafft die Domainnamen auf deren IP aufzulösen aber dann nicht schafft diese IP zu pingen bzw was noch viel verwirrender ist, ist das er es scheinbar bei manchen IPs (z.B. bei google.com) jedes zweite mal schafft die IP direkt an zu pingen. Aber nur jedes zweite mal... Der ping direkt von dem Domainnamen scheint nie zu funktionieren...
      screencapture-192-168-1-1-2019-07-17-13_50_36.png
      8f188d59-fd50-487f-a816-1554e8b86e06-image.png
      85473354-daad-4719-b6b8-e76069650a1d-image.png
      8e265066-8568-41a7-a9e1-4a618047ea7f-image.png
      52034d11-3e27-4e2a-9a4f-aaf73a1e23e0-image.png
      b59c441b-83c9-4762-9e78-b3cd814911b8-image.png
      82a81d43-c602-4865-b2f9-dcd2fb101529-image.png
      310a62a3-be99-41e7-9472-dff549523408-image.png
      c2b97adc-383b-42d6-bd1e-a44cc8f9cac5-image.png
      screencapture-192-168-1-1-vpn-openvpn-client-php-2019-07-17-13_43_42.png
      screencapture-192-168-1-1-vpn-openvpn-server-php-2019-07-17-13_42_59.png
      screencapture-1422ea8d47b47bc6e9dc7b17038a996b4f72ed75-unraid-net-Dashboard-UpdateContainer-2019-07-17-13_46_51.png

      Sry das ich jetzt so einen langen Post mit so vielen Screenshots gemacht habe aber ich wollte gleich die ganze Information mit reinpacken die meiner Meinung nach wichtig sein könnten.

      Vielen Dank schon im Voraus für diese tolle/n Community / Support.
      und ich hoffe jemand findet die Nadel im Heuhaufen die ich offensichtlich zu übersehen scheine.

      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by JeGr

        Das Problem sind deine Outbound NATs ;)
        You're welcome :D

        Nein Spaß, schau sie dir genau an, du hast die Outbound NAT für dein PIA Gedöns auf "OpenVPN" konfiguriert, statt auf das PIA / VPN Interface das du zugewiesen hast. Jetzt hast du noch ein weiteres OVPN Interface (das des neuen Servers) und damit würde er mal so und mal so versuchen und scheitert jedes 2. Mal weil er das falsche Tunnel Interface versucht.

        Dreh das mal und teste es nochmal :)

        Edit: BTW du kannst deinen RAS Einwahlserver noch besser anpassen. Gateway creation IP4 only bspw. und ich empfehle die Einstellungen:

        • DH Param: ECDH only
        • ECDH Curve: secp384r1
        • AES-256-GCM(!)
        • kein NCP (dann verwenden den auch alle fix)
        • SHA256 oder SHA384

        Intel RDRAND macht bei Crypto eigentlich keinen Sinn. Entweder du hast AES-NI (dann sollte das auch ohne Auswahl laufen weil sich OpenSSL das selbst holt) oder nicht, aber ich würde es in beiden Fällen auf "aus" lassen.

        :)

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 1
        • D
          DaLeberkasPepi last edited by

          WOW das ging ja schnell mit der Antwort. DANKE!!!

          Ok so wenn ich das richtig verstehe gilt OpenVPN address für Client und Server? Muss wohl so sein weil nach dem ändern auf das PIA Interface funktioniert alles ohne Probleme!!! ^^

          das mit dem OpenVPN Server habe ich alles auch mal so umgestellt. Ich hab da ehrlich gesagt nur den Wizard durchgemacht und nichts mehr daran geändert. Das mit RDRAND wusste ich nicht. Ich habe AES-NI (hab extra bei der pfsense box drauf geachtet weil das ja pfsense 2.5 glaub ich vorraussetzt), mich hat es nur gewundert das es nicht zur Auswahl steht... ^^

          kann ich dir zum Dank ein Bier / Kaffee spendieren? :-)

          1 Reply Last reply Reply Quote 0
          • JeGr
            JeGr LAYER 8 Moderator last edited by

            @DaLeberkasPepi said in Probleme mit PIA VPN:

            OpenVPN address für Client und Server

            Nein "OpenVPN" ist quasi eine automatisch erstellte Gruppe und enthält alle OVPN Interfaces die existieren. In deinem Fall nun zwei, ein ovpncX (wahrscheinlich) und ein ovpnsY (der Server). Und dadurch wird über beide Interfaces drüber-iteriert.

            weil das ja pfsense 2.5 glaub ich vorraussetzt

            Momentan wohl nicht mehr weil die API doch erst später kommt, ist aber trotzdem definitiv zu empfehlen darauf zu achten, weil es nicht nur um VPN Sicherheit und Geschwindigkeit geht.

            mich hat es nur gewundert das es nicht zur Auswahl steht... ^^

            Dafür müsstest du es in den Advanced Options erst aktivieren ;) Hast du wahrscheinlich vergessen :)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            D 1 Reply Last reply Reply Quote 0
            • D
              DaLeberkasPepi @JeGr last edited by

              @JeGr said in Probleme mit PIA VPN:

              @DaLeberkasPepi said in Probleme mit PIA VPN:

              OpenVPN address für Client und Server

              Nein "OpenVPN" ist quasi eine automatisch erstellte Gruppe und enthält alle OVPN Interfaces die existieren. In deinem Fall nun zwei, ein ovpncX (wahrscheinlich) und ein ovpnsY (der Server). Und dadurch wird über beide Interfaces drüber-iteriert.

              weil das ja pfsense 2.5 glaub ich vorraussetzt

              Momentan wohl nicht mehr weil die API doch erst später kommt, ist aber trotzdem definitiv zu empfehlen darauf zu achten, weil es nicht nur um VPN Sicherheit und Geschwindigkeit geht.

              mich hat es nur gewundert das es nicht zur Auswahl steht... ^^

              Dafür müsstest du es in den Advanced Options erst aktivieren ;) Hast du wahrscheinlich vergessen :)

              Jap das ergibt Sinn ^^
              Macht es irgend einen Sinn AES-NI und BSD Crypto zu aktivieren oder ist BSD-Crypto eher nur eine Art Fallback Auswahl?

              1 Reply Last reply Reply Quote 0
              • JeGr
                JeGr LAYER 8 Moderator last edited by

                @DaLeberkasPepi said in Probleme mit PIA VPN:

                Macht es irgend einen Sinn AES-NI und BSD Crypto zu aktivieren oder ist BSD-Crypto eher nur eine Art Fallback Auswahl?

                Jein. BSD Cryptodev sollte IMHO inzwischen nicht mehr benötigt werden - soweit ich weiß und ohne Gewähr was zukünftige Versionen angeht. AES-NI zu aktivieren (unter adv. Options) lädt das entsprechende Kernel Modul und AES-NI erscheint in der Auswahl (und auf dem Dashboard unter Crypto). Das Kernelmodul ist aber im Prinzip meist nur nötig, wenn man IPSEC VPNs benutzt. Da OVPN im Userspace läuft, nicht im Kernel, wickelt OVPN das alles über die OpenSSL Bibliothek ab, die selbst Wege hat zu erkennen, ob das System AES unterstützt oder nicht -> daher nichts auswählen. Das ist bislang soweit ich weiß das "schnellste" Setting. Wobei wirklich ins Gewicht fällt das nur, wenn man anfängt Linespeed in höheren Geschwindigkeiten erreichen zu wollen, 100, 200, 300Mbps+

                Bei den meisten Einwahl-Geschichten geht es nicht unbedingt um 4h Dauertransfer à 100Mbps Max ;)

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post