Gigacube Vodafone - pfsensen mit OpenVPN



  • Hallo Zusammen,

    wir nutzen in unserem Verein pfSense als Firewall und möchten einen VPN-Zugang einrichten.

    Unser Setup
    WAN - [LTE über Gigacube von Voadefone] -> 192.168.8.0/24 -> [pfSense] -> 192.168.9.0/24 (Lokales Netzwerk)

    Einrichtung

    • Dynamic IP
      Wir verwenden aufgrund des LTE's dynamic IP. Hierzu greifen wir auf den NO-IP zurück. Der Dienst Dynmaic IP ist entsprechend eingerichtet und wir als funktionierend angezeigt

    • Zertifikate
      Alle notwendigen Zertifikate (CA, ServerCert, UserCert) sind erstellt

    • OpenVPN Server
      Der OpenVPN Server wurde auf Basis einer Anleitung im Internet erstellt und start ohne Fehlermeldungen.
      https://www.ceos3c.com/pfsense/configure-openvpn-for-pfsense-2-3-step-by-step/

    Verbindungsaufbau mit OpenVPN-Client
    Die Verbindung zum OpenVPN-Server funktioniert nicht. Ich habe das Gefühl das der Port 1194 oder sonst irgendetwas geblockt wird.

    Ich erhalte die folgende Statusmeldung

    Wed Oct 09 14:36:32 2019 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\pfsense-UDP4-1194-kmoser-config.log: Input/output error (errno=5)
    Wed Oct 09 14:36:32 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
    Wed Oct 09 14:36:32 2019 Windows version 6.2 (Windows 8 or greater) 64bit
    Wed Oct 09 14:36:32 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
    Wed Oct 09 14:36:37 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX:1194
    Wed Oct 09 14:36:37 2019 UDP link local (bound): [AF_INET][undef]:0
    Wed Oct 09 14:36:37 2019 UDP link remote: [AF_INET]XXX.XXX.XXX:1194
    

    Ich hoffe ihr könnt mir helfen.


  • Rebel Alliance

    Hallo.

    Normalerweise ist der Log informativer, sieht sehr mager aus, keine Fehlermeldungen.
    So wie es aussieht, kann OpenVPN auf dem Clienten keine Logs erstellen (erste Zeile).
    Und zeige mal die OpenVPN Logs der Sense.

    Zwei Sachen, die mir unterlaufen sind:

    • Beim Client Export unter Host Name die dyn. Adresse von No-IP.com eintragen.
    • In der Clientkonfiguration -> TLS-Legitimierung die Schlüsselrichtung auf 1 stellen, falls noch nicht ist. So heisst es zumindest hier unter Linux Network Manager, kann unter Windows anders lauten.

    Und ping mal deine dyn. Adresse an, ob die IP stimmt. Nur weil in der Sense alles grün ist, heisst es nicht, das die IP bei No-IP.com registriert ist.
    Oder Vodafone blockt die VPN Ports, das wäre böse.

    So, mehr fällt mir spontan nicht ein.

    Mike



  • @KiffKeff said in Gigacube Vodafone - pfsensen mit OpenVPN:

    Die Verbindung zum OpenVPN-Server funktioniert nicht. Ich habe das Gefühl das der Port 1194 oder sonst irgendetwas geblockt wird.

    Das wundert mich nicht und wird auch nie funktionieren.
    Du bekommst bei LTE in der Regel immer eine private IP Adresse am "WAN", das ganze geht dann über einen Proxy.
    Vielleicht ändert sich da mal was mit IPv6, aber so wird dein Setup nicht gehen.


  • LAYER 8 Moderator

    Was @slu sagt.

    @KiffKeff bitte mal prüfen, was du

    • am WAN für eine IP hast (zum Gigacube)
    • welche WAN Adresse du am Gigacube hast (wenn man das sehen kann)
    • welche WAN Adresse du bei No-IP hast
    • Ob du am Gigacube Port Forwards einrichten kannst (bezweifle ich fast)
    • Ob man am Gigacube IPv6 aktivieren kann (bezweifle ich leider auch, vor allem wird der wohl IPv6 PD nicht können)

    Entweder hat man aber beim Mobilfunk sehr gern eine private IP innerhalb des LTE Netzes oder direkt schon eine 100.x Adresse vom CGN/IPFT Proxy. Sprich, da wird meist inzwischen intern schon IPv6 und ansonsten private Netze gesprochen und deine IPv4 bekommst du ausgehend über eine große CGN Hardware, die aber keine eingehenden Verbindungen unterstützt, weil dir v4 Adresse nicht dir alleine gehört.

    Somit wird das extrem wahrscheinlich über Mobilfunk nicht zu realisieren sein. Einzige (sehr schräge) Möglichkeit wäre, dass du die pfSense vom Verein einen Tunnel ZU einem gemieteten VPN Server (oder irgendeine kleine Cloud Instanz) aufbaust und dort dann den OVPN RAS aufbaust und dich dort einwählst. Das muss zwar dann alles sauber durchgeroutet werden zwischen VPN Server, der Vereins-pfSense und dem Vereinsnetz, aber "machbar" wäre es. Nur aufwendig. Oder man mietet sich ein VPN, welches eingehende Ports erlaubt, hat dann aber quasi VPN über VPN über Mobilfunk - und die Verbindung müsste immer aufgebaut sein. Was wahrscheinlich beim Gigacube auch nicht sein soll wegen Traffic, oder?

    Grüße



  • Für den Zugriff auf Endgeräte im Mobilnetz gibt es auch einige kommerzielle Anbieter, z.B. mdex (https://www.mdex.de/shop/ip-dienste/), je nach Anforderung per OpenVPN aus dem Mobilnetz heraus oder alternativ eine öffentliche und feste IPV4.


Log in to reply