PfS OpenVPN FritzBox



  • Hallo liebe Community,

    vorab muss ich sagen, dass ich erst seit 2 Tagen eine PFS 2.4.4 besitze und mich in manchen Belangen noch etwas schwer tue.

    Zu meinem Fall:

    --> Eingehend habe ich eine FB 6490 von Unitymedia. An diese ist die PFS 2.4.4 mit der 192.168.178.32 angehangen.
    --> Die PFS AdminConsole ist über 192.168.1.1 erreichbar.

    --> Nun habe ich den VPN-Server auf der PFS einfgerichtet. Eine Verbindung kann bedingt aufgebaut werden (Wenn ich über das WLAN, oder die LAN- Schnittstelle der PFS gehe [Sinnfrei :)])

    --> Auf der Fritzbox habe ich den UDP 1194 freigegeben.

    Error:
    Wenn ich nun versuche über einen Hostpot vom Handy, oder aber auch anderes Wlan Netz den Tunnel aufzubauen, erhalte ich folgenden Fehler:
    TLS Error: TLS key Neogation failed to occur / TLS Handshake failed.

    Für mein Verständnis bedeutet dies, dass die Fritz die eingehende VPN Verbindung nicht verarbeiten kann und somit nicht an die PFS weitergibt.
    (Nochmal der Verweis, nutze ich das Wlan der PFS um einen Tunnel aufzubauen geht es).

    Ich weiß nun leider nicht mehr wo ich noch nache einem Fehler suchen soll, obschon ich den Port ja bereits auf der Fritz freigegeben habe....

    Anbei der Link zu den Screenshots: LINK

    Über eine Hilfe für Anfänger wäre ich sehr dankbar!


  • LAYER 8 Rebel Alliance

    Hi,

    per default sind auf dem WAN Interface alle RFC1918 Adressen geblockt.
    Entferne mal unter Interfaces > WAN den Haken bei Block private networks and loopback addresses
    Dann nochmal testen.
    Eine Firewall Regel auf WAN hast du aber die den OpenVPN Traffic erlaubt? Macht der OpenVPN Wizard automatisch, wenn du alles von Hand erstellt hast musst du die Regel auch manuell anlegen.

    PS: Screenshots am besten direkt in den Post einfügen, nicht extern verlinken.

    -Rico



  • Hallo Rico,

    den Haken habe ich entfernt und erneut getestet, jedoch bleibt im LOG die Fehlermeldung die selbe.
    Ja der VPN wurde mit dem Wizard erstellt und die FW Regeln sind präsent.
    (Danke für den Hinweis mit der Verlinkung).



  • @MABINOGION said in PfS OpenVPN FritzBox:

    --> Eingehend habe ich eine FB 6490 von Unitymedia. An diese ist die PFS 2.4.4 mit der 192.168.178.32 angehangen.

    Auf dem Bild ist es die 35. 😉



  • Hallo Bob.Dig,

    ein Tippfehler meinerseits beim runterschreiben... [SRY]



  • @MABINOGION Auf dem Bild sieht man auch, dass es, obwohl extern, wieder versucht mit der lokalen IP zu verbinden. Das kann natürlich nicht klappen. Was für eine Adresse hast Du in der Config stehen? Ansonsten mal den Client neustarten.



  • In der Conf File steht:
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote 192.168.178.35 1194 udp
    lport 0
    verify-x509-name "www.4b75686e.de" name
    auth-user-pass
    pkcs12 pfSense-UDP4-1194-4b75686e.p12
    tls-auth pfSense-UDP4-1194-4b75686e-tls.key 1
    remote-cert-tls server


    Während des Wizard habe ich das
    Backend Auth: localDatabase
    Interface: Wan
    Local Port 1194
    IPv4 Tunnel Network: 10.101.1.0/24
    DNS Server: 192.168.1.1
    Sub: 192.168.1.0/24

    Weitere Eingaben waren nicht nötig somit der Rest default.
    Ich kann das Ding aber ggf. nochmals abreißen, den aktuellen User und die FW einträge löschen....

    Nachtrag:
    Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
    Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other...



  • This post is deleted!


  • @MABINOGION said in PfS OpenVPN FritzBox:

    remote 192.168.178.35 1194 udp

    Wenn Du von extern zugreifen willst, musst Du die WAN-IP der Fritzbox ansprechen oder wie testest Du?



  • Jetzt hast mich abgehängt :( (Sry) 😕

    Also die Statische IP4 meiner Box habe ich nirgends angegeben.
    Beim Wizard habe ich lediglich die Addressate der PFS angegeben.

    Einzig wie im Nachtrag, habe ich hier die Interface IP gewählt, weil nicht besser gewusst.
    Ich steige gerade ein wenig aus.... Insbesondere deswegen, da ich mich erinnere auf meinem anlten VPN (Debian10) die externe statische IPv4 angegeben zu haben.

    Aktuell sehe ich nur die Möglichkeit nochmal abzureißen.... Irwo muss der Hund ja begraben liegen.... leider gibt es ja kein Teamviewer Support. Aber nach nun 6h im Viereck suchen????



  • @MABINOGION said in PfS OpenVPN FritzBox:

    Jetzt hast mich abgehängt :( (Sry) 😕

    Also nur um das klarzustellen, du willst und testest vom Internet aus, um dich mit dem VPN zu verbinden? Wenn dem so ist, dann musst Du die WAN-IP deiner Fritzbox dort eintragen oder, wenn Du das hast, eine DDNS-Adresse dieser. Das kannst du selbst in die config schreiben und die 192.168.178.35 ersetzen oder über den client exporter unter other eintragen. Mit der 192.168.178.35 in der config kann es nicht aus dem Internet klappen, weil eine lokale Adresse. Der Server selbst kann so bleiben.



  • Nebst dem Tipp das mal temp in der Conf File zu ändern, durchlaufe ich parallel den Wizard (ohne abzuschließen).
    Hier gibt es nebst dem TunnelNetwork: 10.101.1.0/24 und dem Local Network: 192.168.1.0/24 wie auch dem DNS:192.168.1.1 keine weitere Möglichkeit in der man die externe statische IPv4 (hätte) eintragen kann (können).

    Beim Client Export Utility >Client Export habe ich unter Advanced noch ein Freifeld / Additional config options, meinst Du das? Wenn ja, kannst Du mir sagen was ich hier eintragen darf/soll?



  • Der Server ist ok, den hast Du ja schon getestet. Es ist alleine ein simpelstes Adress-problem.
    @MABINOGION said in PfS OpenVPN FritzBox:

    Nachtrag:
    Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
    Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other...

    Da deine öffentliche IP der Fritzbox oder DDNS-Adresse rein und es sollte laufen.



  • Habe eben versucht die Conf zu editieren, ich habe keine Berechtigung Sie nach dem edit zu speichern (4b75686 hat nichts zu sagen)....
    Meine statische IP vom Provider ist 130.180.x.xx

    -> Wenn ich nun die heruntergeladene Conf editiere, werde ich doch das Problem auch für zukünftige Confs für weitere User haben, richtig.
    Kann ich den Fehler irwo in der PFS beheben?

    Unter Client export kann ich unter Client Connection Behavior die Hostname Resolution auf Other stellen und hier könnte ich die statische 130.180.x.xx eintragen, wäre das Zielführend?



  • @MABINOGION Ändert sich deine WAN-IP? Dann brauchst du DDNS. Wenn nicht, dann musst Du sie jedes mal beim export unter other eintragen. Das ist kein Fehler, woher soll die pfSense deine öffentliche IP kennen? Du fährst ja double-NAT.



  • @Bob-Dig jep



  • ...
    Die Einstellung: Client Connection Behavior> Other> statische Addresse hat funktioniert!
    Wlan Hotspot, mit der neuen Conf inkl static IP... Die Verbindung wurde hergestellt... VPN leuchtet grün...

    Das 1. große Prob gelöst. Nun geht allerdings kein Google... aber das prüfe ich noch und edietiere im Bedarfsfall hier weiter wenn das so i.O. ist?



  • @MABINOGION Wenn Du am Server viel rumgefummelt hast, dann mach ihn noch mal neu, nicht dass du was verstellt hast. Hat denn eine Maschine hinter der pfsense internet bzw. in pfsense gibt es ja auch ne menge Test Zeugs unter diagnostic z.b. tracert zu google etc, geht das überhaupt?



  • Wenn der Client direkt mit LAN an der PFS ist geht alles.

    Die FW Rules sind auf Pass / IPv4 / any

    Unter Diag / DNS LookUp wird google mit LAN-Verbindung aufgelöst...

    Aber ich bin selber Meinung wie Du, einmal den VPN neu aufsetzen und nochmals prüfen. Ist ja schließlich Übung!!



  • Wenn Du den Server löscht werden die Regeln vom Wizard nicht gelöscht, kann dann sein dass Du die zig mal drinstehen hast, einfach löschen, was nicht mehr gebraucht wird. Kann natürlich auch an deinem Client liegen, wenn es nicht geht den OOTB sollte es schon funzen.



  • Top, Danke.
    Erst mal eine SuperLike für Deine Mühe!!!🤛

    Werde erst den Server dann die Rules und auch die CA´s löschen.
    Auch auf dem Client erst mal alles wieder runterund danach n neuen Installer mit Conf.

    (Muss ich für den VPN nebst den Wizard Rules (any) noch eigene Rules für HTTP & HTTPS anlegen)?

    Schmunzel: DUE TO THE CORONAVIRUS (COVID19) ALL TCP APPLICATIONS HAVE TO BE CONVERTED TO UDP TO AVOID HANDSHAKES



  • @MABINOGION said in PfS OpenVPN FritzBox:

    (Muss ich für den VPN nebst den Wizard Rules (any) noch eigene Rules für HTTP & HTTPS anlegen)?

    Nope, der Wizard macht das für einen normalen Setup soweit ich mich erinnere.



  • So sehen die advanced settings im server bei mir aus.

    Capture.JPG

    Und so die Tunnelsettings auszugsweise.

    Capture2.JPG

    Der Wizard glaube ich macht nicht alles im Detail, aber das grobe. 😏

    BTW Du nutzt ja Windows, ich nur ein android phone. Manche Optionen sind ja nur für Windows interessant, die müsstest Du dir dann auch näher anschauen.



  • Hallo Bob.Dig,

    Ich habe nun die ganze PFS abgerissen und komplett neu gemacht. 😈

    Somit auch VPN neu... Nun geht alles. Habs über Handy HotSpot getstet --> i.O.
    Wer weiß was da versaut war...

    Nochmals Danke für Deine Mühe!!!

    ThreadBump



  • @MABINOGION Gerne.


Log in to reply