Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Gigacube Vodafone - pfsensen mit OpenVPN

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 5 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      KiffKeff
      last edited by

      Hallo Zusammen,

      wir nutzen in unserem Verein pfSense als Firewall und möchten einen VPN-Zugang einrichten.

      Unser Setup
      WAN - [LTE über Gigacube von Voadefone] -> 192.168.8.0/24 -> [pfSense] -> 192.168.9.0/24 (Lokales Netzwerk)

      Einrichtung

      • Dynamic IP
        Wir verwenden aufgrund des LTE's dynamic IP. Hierzu greifen wir auf den NO-IP zurück. Der Dienst Dynmaic IP ist entsprechend eingerichtet und wir als funktionierend angezeigt

      • Zertifikate
        Alle notwendigen Zertifikate (CA, ServerCert, UserCert) sind erstellt

      • OpenVPN Server
        Der OpenVPN Server wurde auf Basis einer Anleitung im Internet erstellt und start ohne Fehlermeldungen.
        https://www.ceos3c.com/pfsense/configure-openvpn-for-pfsense-2-3-step-by-step/

      Verbindungsaufbau mit OpenVPN-Client
      Die Verbindung zum OpenVPN-Server funktioniert nicht. Ich habe das Gefühl das der Port 1194 oder sonst irgendetwas geblockt wird.

      Ich erhalte die folgende Statusmeldung

      Wed Oct 09 14:36:32 2019 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\pfsense-UDP4-1194-kmoser-config.log: Input/output error (errno=5)
Wed Oct 09 14:36:32 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Wed Oct 09 14:36:32 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Oct 09 14:36:32 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Wed Oct 09 14:36:37 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX:1194
Wed Oct 09 14:36:37 2019 UDP link local (bound): [AF_INET][undef]:0
Wed Oct 09 14:36:37 2019 UDP link remote: [AF_INET]XXX.XXX.XXX:1194

      Ich hoffe ihr könnt mir helfen.

      S 1 Reply Last reply Reply Quote 0
      • mike69M
        mike69 Rebel Alliance
        last edited by

        Hallo.

        Normalerweise ist der Log informativer, sieht sehr mager aus, keine Fehlermeldungen.
        So wie es aussieht, kann OpenVPN auf dem Clienten keine Logs erstellen (erste Zeile).
        Und zeige mal die OpenVPN Logs der Sense.

        Zwei Sachen, die mir unterlaufen sind:

        • Beim Client Export unter Host Name die dyn. Adresse von No-IP.com eintragen.
        • In der Clientkonfiguration -> TLS-Legitimierung die Schlüsselrichtung auf 1 stellen, falls noch nicht ist. So heisst es zumindest hier unter Linux Network Manager, kann unter Windows anders lauten.

        Und ping mal deine dyn. Adresse an, ob die IP stimmt. Nur weil in der Sense alles grün ist, heisst es nicht, das die IP bei No-IP.com registriert ist.
        Oder Vodafone blockt die VPN Ports, das wäre böse.

        So, mehr fällt mir spontan nicht ein.

        Mike

        DG FTTH 400/200
        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • S
          slu @KiffKeff
          last edited by

          @KiffKeff said in Gigacube Vodafone - pfsensen mit OpenVPN:

          Die Verbindung zum OpenVPN-Server funktioniert nicht. Ich habe das Gefühl das der Port 1194 oder sonst irgendetwas geblockt wird.

          Das wundert mich nicht und wird auch nie funktionieren.
          Du bekommst bei LTE in der Regel immer eine private IP Adresse am "WAN", das ganze geht dann über einen Proxy.
          Vielleicht ändert sich da mal was mit IPv6, aber so wird dein Setup nicht gehen.

          pfSense Gold subscription

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Was @slu sagt.

            @KiffKeff bitte mal prüfen, was du

            • am WAN für eine IP hast (zum Gigacube)
            • welche WAN Adresse du am Gigacube hast (wenn man das sehen kann)
            • welche WAN Adresse du bei No-IP hast
            • Ob du am Gigacube Port Forwards einrichten kannst (bezweifle ich fast)
            • Ob man am Gigacube IPv6 aktivieren kann (bezweifle ich leider auch, vor allem wird der wohl IPv6 PD nicht können)

            Entweder hat man aber beim Mobilfunk sehr gern eine private IP innerhalb des LTE Netzes oder direkt schon eine 100.x Adresse vom CGN/IPFT Proxy. Sprich, da wird meist inzwischen intern schon IPv6 und ansonsten private Netze gesprochen und deine IPv4 bekommst du ausgehend über eine große CGN Hardware, die aber keine eingehenden Verbindungen unterstützt, weil dir v4 Adresse nicht dir alleine gehört.

            Somit wird das extrem wahrscheinlich über Mobilfunk nicht zu realisieren sein. Einzige (sehr schräge) Möglichkeit wäre, dass du die pfSense vom Verein einen Tunnel ZU einem gemieteten VPN Server (oder irgendeine kleine Cloud Instanz) aufbaust und dort dann den OVPN RAS aufbaust und dich dort einwählst. Das muss zwar dann alles sauber durchgeroutet werden zwischen VPN Server, der Vereins-pfSense und dem Vereinsnetz, aber "machbar" wäre es. Nur aufwendig. Oder man mietet sich ein VPN, welches eingehende Ports erlaubt, hat dann aber quasi VPN über VPN über Mobilfunk - und die Verbindung müsste immer aufgebaut sein. Was wahrscheinlich beim Gigacube auch nicht sein soll wegen Traffic, oder?

            Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • P
              pfsnooker
              last edited by pfsnooker

              Für den Zugriff auf Endgeräte im Mobilnetz gibt es auch einige kommerzielle Anbieter, z.B. mdex (https://www.mdex.de/shop/ip-dienste/), je nach Anforderung per OpenVPN aus dem Mobilnetz heraus oder alternativ eine öffentliche und feste IPV4.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.