• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

PfS OpenVPN FritzBox

Scheduled Pinned Locked Moved Deutsch
25 Posts 3 Posters 2.0k Views 3 Watching
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M Offline
    MABINOGION
    last edited by MABINOGION Mar 23, 2020, 6:43 PM Mar 23, 2020, 6:40 PM

    Hallo liebe Community,

    vorab muss ich sagen, dass ich erst seit 2 Tagen eine PFS 2.4.4 besitze und mich in manchen Belangen noch etwas schwer tue.

    Zu meinem Fall:

    --> Eingehend habe ich eine FB 6490 von Unitymedia. An diese ist die PFS 2.4.4 mit der 192.168.178.32 angehangen.
    --> Die PFS AdminConsole ist über 192.168.1.1 erreichbar.

    --> Nun habe ich den VPN-Server auf der PFS einfgerichtet. Eine Verbindung kann bedingt aufgebaut werden (Wenn ich über das WLAN, oder die LAN- Schnittstelle der PFS gehe [Sinnfrei :)])

    --> Auf der Fritzbox habe ich den UDP 1194 freigegeben.

    Error:
    Wenn ich nun versuche über einen Hostpot vom Handy, oder aber auch anderes Wlan Netz den Tunnel aufzubauen, erhalte ich folgenden Fehler:
    TLS Error: TLS key Neogation failed to occur / TLS Handshake failed.

    Für mein Verständnis bedeutet dies, dass die Fritz die eingehende VPN Verbindung nicht verarbeiten kann und somit nicht an die PFS weitergibt.
    (Nochmal der Verweis, nutze ich das Wlan der PFS um einen Tunnel aufzubauen geht es).

    Ich weiß nun leider nicht mehr wo ich noch nache einem Fehler suchen soll, obschon ich den Port ja bereits auf der Fritz freigegeben habe....

    Anbei der Link zu den Screenshots: LINK

    Über eine Hilfe für Anfänger wäre ich sehr dankbar!

    B 1 Reply Last reply Mar 23, 2020, 7:24 PM Reply Quote 0
    • R Offline
      Rico LAYER 8 Rebel Alliance
      last edited by Rico Mar 23, 2020, 7:01 PM Mar 23, 2020, 7:00 PM

      Hi,

      per default sind auf dem WAN Interface alle RFC1918 Adressen geblockt.
      Entferne mal unter Interfaces > WAN den Haken bei Block private networks and loopback addresses
      Dann nochmal testen.
      Eine Firewall Regel auf WAN hast du aber die den OpenVPN Traffic erlaubt? Macht der OpenVPN Wizard automatisch, wenn du alles von Hand erstellt hast musst du die Regel auch manuell anlegen.

      PS: Screenshots am besten direkt in den Post einfügen, nicht extern verlinken.

      -Rico

      1 Reply Last reply Reply Quote 1
      • M Offline
        MABINOGION
        last edited by Mar 23, 2020, 7:11 PM

        Hallo Rico,

        den Haken habe ich entfernt und erneut getestet, jedoch bleibt im LOG die Fehlermeldung die selbe.
        Ja der VPN wurde mit dem Wizard erstellt und die FW Regeln sind präsent.
        (Danke für den Hinweis mit der Verlinkung).

        1 Reply Last reply Reply Quote 0
        • B Offline
          Bob.Dig LAYER 8 @MABINOGION
          last edited by Mar 23, 2020, 7:24 PM

          @MABINOGION said in PfS OpenVPN FritzBox:

          --> Eingehend habe ich eine FB 6490 von Unitymedia. An diese ist die PFS 2.4.4 mit der 192.168.178.32 angehangen.

          Auf dem Bild ist es die 35. 😉

          1 Reply Last reply Reply Quote 0
          • M Offline
            MABINOGION
            last edited by Mar 23, 2020, 7:27 PM

            Hallo Bob.Dig,

            ein Tippfehler meinerseits beim runterschreiben... [SRY]

            B 1 Reply Last reply Mar 23, 2020, 7:35 PM Reply Quote 0
            • B Offline
              Bob.Dig LAYER 8 @MABINOGION
              last edited by Bob.Dig Mar 23, 2020, 7:35 PM Mar 23, 2020, 7:35 PM

              @MABINOGION Auf dem Bild sieht man auch, dass es, obwohl extern, wieder versucht mit der lokalen IP zu verbinden. Das kann natürlich nicht klappen. Was für eine Adresse hast Du in der Config stehen? Ansonsten mal den Client neustarten.

              1 Reply Last reply Reply Quote 1
              • M Offline
                MABINOGION
                last edited by MABINOGION Mar 23, 2020, 7:49 PM Mar 23, 2020, 7:46 PM

                In der Conf File steht:
                dev tun
                persist-tun
                persist-key
                cipher AES-256-CBC
                auth SHA256
                tls-client
                client
                resolv-retry infinite
                remote 192.168.178.35 1194 udp
                lport 0
                verify-x509-name "www.4b75686e.de" name
                auth-user-pass
                pkcs12 pfSense-UDP4-1194-4b75686e.p12
                tls-auth pfSense-UDP4-1194-4b75686e-tls.key 1
                remote-cert-tls server


                Während des Wizard habe ich das
                Backend Auth: localDatabase
                Interface: Wan
                Local Port 1194
                IPv4 Tunnel Network: 10.101.1.0/24
                DNS Server: 192.168.1.1
                Sub: 192.168.1.0/24

                Weitere Eingaben waren nicht nötig somit der Rest default.
                Ich kann das Ding aber ggf. nochmals abreißen, den aktuellen User und die FW einträge löschen....

                Nachtrag:
                Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
                Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other...

                B 1 Reply Last reply Mar 23, 2020, 7:49 PM Reply Quote 0
                • B Offline
                  Bob.Dig LAYER 8
                  last edited by Mar 23, 2020, 7:48 PM

                  This post is deleted!
                  1 Reply Last reply Reply Quote 0
                  • B Offline
                    Bob.Dig LAYER 8 @MABINOGION
                    last edited by Bob.Dig Mar 23, 2020, 7:50 PM Mar 23, 2020, 7:49 PM

                    @MABINOGION said in PfS OpenVPN FritzBox:

                    remote 192.168.178.35 1194 udp

                    Wenn Du von extern zugreifen willst, musst Du die WAN-IP der Fritzbox ansprechen oder wie testest Du?

                    1 Reply Last reply Reply Quote 1
                    • M Offline
                      MABINOGION
                      last edited by MABINOGION Mar 23, 2020, 7:56 PM Mar 23, 2020, 7:55 PM

                      Jetzt hast mich abgehängt :( (Sry) 😕

                      Also die Statische IP4 meiner Box habe ich nirgends angegeben.
                      Beim Wizard habe ich lediglich die Addressate der PFS angegeben.

                      Einzig wie im Nachtrag, habe ich hier die Interface IP gewählt, weil nicht besser gewusst.
                      Ich steige gerade ein wenig aus.... Insbesondere deswegen, da ich mich erinnere auf meinem anlten VPN (Debian10) die externe statische IPv4 angegeben zu haben.

                      Aktuell sehe ich nur die Möglichkeit nochmal abzureißen.... Irwo muss der Hund ja begraben liegen.... leider gibt es ja kein Teamviewer Support. Aber nach nun 6h im Viereck suchen????

                      B 1 Reply Last reply Mar 23, 2020, 7:59 PM Reply Quote 0
                      • B Offline
                        Bob.Dig LAYER 8 @MABINOGION
                        last edited by Bob.Dig Mar 23, 2020, 8:03 PM Mar 23, 2020, 7:59 PM

                        @MABINOGION said in PfS OpenVPN FritzBox:

                        Jetzt hast mich abgehängt :( (Sry) 😕

                        Also nur um das klarzustellen, du willst und testest vom Internet aus, um dich mit dem VPN zu verbinden? Wenn dem so ist, dann musst Du die WAN-IP deiner Fritzbox dort eintragen oder, wenn Du das hast, eine DDNS-Adresse dieser. Das kannst du selbst in die config schreiben und die 192.168.178.35 ersetzen oder über den client exporter unter other eintragen. Mit der 192.168.178.35 in der config kann es nicht aus dem Internet klappen, weil eine lokale Adresse. Der Server selbst kann so bleiben.

                        1 Reply Last reply Reply Quote 0
                        • M Offline
                          MABINOGION
                          last edited by Mar 23, 2020, 8:09 PM

                          Nebst dem Tipp das mal temp in der Conf File zu ändern, durchlaufe ich parallel den Wizard (ohne abzuschließen).
                          Hier gibt es nebst dem TunnelNetwork: 10.101.1.0/24 und dem Local Network: 192.168.1.0/24 wie auch dem DNS:192.168.1.1 keine weitere Möglichkeit in der man die externe statische IPv4 (hätte) eintragen kann (können).

                          Beim Client Export Utility >Client Export habe ich unter Advanced noch ein Freifeld / Additional config options, meinst Du das? Wenn ja, kannst Du mir sagen was ich hier eintragen darf/soll?

                          B 1 Reply Last reply Mar 23, 2020, 8:11 PM Reply Quote 0
                          • B Offline
                            Bob.Dig LAYER 8 @MABINOGION
                            last edited by Bob.Dig Mar 23, 2020, 8:15 PM Mar 23, 2020, 8:11 PM

                            Der Server ist ok, den hast Du ja schon getestet. Es ist alleine ein simpelstes Adress-problem.
                            @MABINOGION said in PfS OpenVPN FritzBox:

                            Nachtrag:
                            Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
                            Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other...

                            Da deine öffentliche IP der Fritzbox oder DDNS-Adresse rein und es sollte laufen.

                            1 Reply Last reply Reply Quote 0
                            • M Offline
                              MABINOGION
                              last edited by MABINOGION Mar 23, 2020, 8:19 PM Mar 23, 2020, 8:16 PM

                              Habe eben versucht die Conf zu editieren, ich habe keine Berechtigung Sie nach dem edit zu speichern (4b75686 hat nichts zu sagen)....
                              Meine statische IP vom Provider ist 130.180.x.xx

                              -> Wenn ich nun die heruntergeladene Conf editiere, werde ich doch das Problem auch für zukünftige Confs für weitere User haben, richtig.
                              Kann ich den Fehler irwo in der PFS beheben?

                              Unter Client export kann ich unter Client Connection Behavior die Hostname Resolution auf Other stellen und hier könnte ich die statische 130.180.x.xx eintragen, wäre das Zielführend?

                              B 1 Reply Last reply Mar 23, 2020, 8:19 PM Reply Quote 0
                              • B Offline
                                Bob.Dig LAYER 8 @MABINOGION
                                last edited by Mar 23, 2020, 8:19 PM

                                @MABINOGION Ändert sich deine WAN-IP? Dann brauchst du DDNS. Wenn nicht, dann musst Du sie jedes mal beim export unter other eintragen. Das ist kein Fehler, woher soll die pfSense deine öffentliche IP kennen? Du fährst ja double-NAT.

                                M 1 Reply Last reply Mar 23, 2020, 8:20 PM Reply Quote 1
                                • M Offline
                                  MABINOGION @Bob.Dig
                                  last edited by Mar 23, 2020, 8:20 PM

                                  @Bob-Dig jep

                                  1 Reply Last reply Reply Quote 0
                                  • M Offline
                                    MABINOGION
                                    last edited by Mar 23, 2020, 8:28 PM

                                    ...
                                    Die Einstellung: Client Connection Behavior> Other> statische Addresse hat funktioniert!
                                    Wlan Hotspot, mit der neuen Conf inkl static IP... Die Verbindung wurde hergestellt... VPN leuchtet grün...

                                    Das 1. große Prob gelöst. Nun geht allerdings kein Google... aber das prüfe ich noch und edietiere im Bedarfsfall hier weiter wenn das so i.O. ist?

                                    B 1 Reply Last reply Mar 23, 2020, 8:31 PM Reply Quote 0
                                    • B Offline
                                      Bob.Dig LAYER 8 @MABINOGION
                                      last edited by Bob.Dig Mar 23, 2020, 8:54 PM Mar 23, 2020, 8:31 PM

                                      @MABINOGION Wenn Du am Server viel rumgefummelt hast, dann mach ihn noch mal neu, nicht dass du was verstellt hast. Hat denn eine Maschine hinter der pfsense internet bzw. in pfsense gibt es ja auch ne menge Test Zeugs unter diagnostic z.b. tracert zu google etc, geht das überhaupt?

                                      1 Reply Last reply Reply Quote 1
                                      • M Offline
                                        MABINOGION
                                        last edited by MABINOGION Mar 23, 2020, 8:40 PM Mar 23, 2020, 8:39 PM

                                        Wenn der Client direkt mit LAN an der PFS ist geht alles.

                                        Die FW Rules sind auf Pass / IPv4 / any

                                        Unter Diag / DNS LookUp wird google mit LAN-Verbindung aufgelöst...

                                        Aber ich bin selber Meinung wie Du, einmal den VPN neu aufsetzen und nochmals prüfen. Ist ja schließlich Übung!!

                                        1 Reply Last reply Reply Quote 0
                                        • B Offline
                                          Bob.Dig LAYER 8
                                          last edited by Bob.Dig Mar 23, 2020, 9:00 PM Mar 23, 2020, 8:58 PM

                                          Wenn Du den Server löscht werden die Regeln vom Wizard nicht gelöscht, kann dann sein dass Du die zig mal drinstehen hast, einfach löschen, was nicht mehr gebraucht wird. Kann natürlich auch an deinem Client liegen, wenn es nicht geht den OOTB sollte es schon funzen.

                                          1 Reply Last reply Reply Quote 1
                                          20 out of 25
                                          • First post
                                            20/25
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received