PfS OpenVPN FritzBox
-
@MABINOGION said in PfS OpenVPN FritzBox:
--> Eingehend habe ich eine FB 6490 von Unitymedia. An diese ist die PFS 2.4.4 mit der 192.168.178.32 angehangen.
Auf dem Bild ist es die 35.
-
Hallo Bob.Dig,
ein Tippfehler meinerseits beim runterschreiben... [SRY]
-
@MABINOGION Auf dem Bild sieht man auch, dass es, obwohl extern, wieder versucht mit der lokalen IP zu verbinden. Das kann natürlich nicht klappen. Was für eine Adresse hast Du in der Config stehen? Ansonsten mal den Client neustarten.
-
In der Conf File steht:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote 192.168.178.35 1194 udp
lport 0
verify-x509-name "www.4b75686e.de" name
auth-user-pass
pkcs12 pfSense-UDP4-1194-4b75686e.p12
tls-auth pfSense-UDP4-1194-4b75686e-tls.key 1
remote-cert-tls server
Während des Wizard habe ich das
Backend Auth: localDatabase
Interface: Wan
Local Port 1194
IPv4 Tunnel Network: 10.101.1.0/24
DNS Server: 192.168.1.1
Sub: 192.168.1.0/24Weitere Eingaben waren nicht nötig somit der Rest default.
Ich kann das Ding aber ggf. nochmals abreißen, den aktuellen User und die FW einträge löschen....Nachtrag:
Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other... -
This post is deleted! -
@MABINOGION said in PfS OpenVPN FritzBox:
remote 192.168.178.35 1194 udp
Wenn Du von extern zugreifen willst, musst Du die WAN-IP der Fritzbox ansprechen oder wie testest Du?
-
Jetzt hast mich abgehängt :( (Sry)
Also die Statische IP4 meiner Box habe ich nirgends angegeben.
Beim Wizard habe ich lediglich die Addressate der PFS angegeben.Einzig wie im Nachtrag, habe ich hier die Interface IP gewählt, weil nicht besser gewusst.
Ich steige gerade ein wenig aus.... Insbesondere deswegen, da ich mich erinnere auf meinem anlten VPN (Debian10) die externe statische IPv4 angegeben zu haben.Aktuell sehe ich nur die Möglichkeit nochmal abzureißen.... Irwo muss der Hund ja begraben liegen.... leider gibt es ja kein Teamviewer Support. Aber nach nun 6h im Viereck suchen????
-
@MABINOGION said in PfS OpenVPN FritzBox:
Jetzt hast mich abgehängt :( (Sry)
Also nur um das klarzustellen, du willst und testest vom Internet aus, um dich mit dem VPN zu verbinden? Wenn dem so ist, dann musst Du die WAN-IP deiner Fritzbox dort eintragen oder, wenn Du das hast, eine DDNS-Adresse dieser. Das kannst du selbst in die config schreiben und die 192.168.178.35 ersetzen oder über den client exporter unter other eintragen. Mit der 192.168.178.35 in der config kann es nicht aus dem Internet klappen, weil eine lokale Adresse. Der Server selbst kann so bleiben.
-
Nebst dem Tipp das mal temp in der Conf File zu ändern, durchlaufe ich parallel den Wizard (ohne abzuschließen).
Hier gibt es nebst dem TunnelNetwork: 10.101.1.0/24 und dem Local Network: 192.168.1.0/24 wie auch dem DNS:192.168.1.1 keine weitere Möglichkeit in der man die externe statische IPv4 (hätte) eintragen kann (können).Beim Client Export Utility >Client Export habe ich unter Advanced noch ein Freifeld / Additional config options, meinst Du das? Wenn ja, kannst Du mir sagen was ich hier eintragen darf/soll?
-
Der Server ist ok, den hast Du ja schon getestet. Es ist alleine ein simpelstes Adress-problem.
@MABINOGION said in PfS OpenVPN FritzBox:Nachtrag:
Ich sehe gerade, dass die Hostname Resolution auf Interface IP-Address steht...
Es gäbe noch installation hostname, Automagic IPs, Automagic DDNS & Other...Da deine öffentliche IP der Fritzbox oder DDNS-Adresse rein und es sollte laufen.
-
Habe eben versucht die Conf zu editieren, ich habe keine Berechtigung Sie nach dem edit zu speichern (4b75686 hat nichts zu sagen)....
Meine statische IP vom Provider ist 130.180.x.xx-> Wenn ich nun die heruntergeladene Conf editiere, werde ich doch das Problem auch für zukünftige Confs für weitere User haben, richtig.
Kann ich den Fehler irwo in der PFS beheben?Unter Client export kann ich unter Client Connection Behavior die Hostname Resolution auf Other stellen und hier könnte ich die statische 130.180.x.xx eintragen, wäre das Zielführend?
-
@MABINOGION Ändert sich deine WAN-IP? Dann brauchst du DDNS. Wenn nicht, dann musst Du sie jedes mal beim export unter other eintragen. Das ist kein Fehler, woher soll die pfSense deine öffentliche IP kennen? Du fährst ja double-NAT.
-
@Bob-Dig jep
-
...
Die Einstellung: Client Connection Behavior> Other> statische Addresse hat funktioniert!
Wlan Hotspot, mit der neuen Conf inkl static IP... Die Verbindung wurde hergestellt... VPN leuchtet grün...Das 1. große Prob gelöst. Nun geht allerdings kein Google... aber das prüfe ich noch und edietiere im Bedarfsfall hier weiter wenn das so i.O. ist?
-
@MABINOGION Wenn Du am Server viel rumgefummelt hast, dann mach ihn noch mal neu, nicht dass du was verstellt hast. Hat denn eine Maschine hinter der pfsense internet bzw. in pfsense gibt es ja auch ne menge Test Zeugs unter diagnostic z.b. tracert zu google etc, geht das überhaupt?
-
Wenn der Client direkt mit LAN an der PFS ist geht alles.
Die FW Rules sind auf Pass / IPv4 / any
Unter Diag / DNS LookUp wird google mit LAN-Verbindung aufgelöst...
Aber ich bin selber Meinung wie Du, einmal den VPN neu aufsetzen und nochmals prüfen. Ist ja schließlich Übung!!
-
Wenn Du den Server löscht werden die Regeln vom Wizard nicht gelöscht, kann dann sein dass Du die zig mal drinstehen hast, einfach löschen, was nicht mehr gebraucht wird. Kann natürlich auch an deinem Client liegen, wenn es nicht geht den OOTB sollte es schon funzen.
-
Top, Danke.
Erst mal eine SuperLike für Deine Mühe!!!
Werde erst den Server dann die Rules und auch die CA´s löschen.
Auch auf dem Client erst mal alles wieder runterund danach n neuen Installer mit Conf.(Muss ich für den VPN nebst den Wizard Rules (any) noch eigene Rules für HTTP & HTTPS anlegen)?
Schmunzel: DUE TO THE CORONAVIRUS (COVID19) ALL TCP APPLICATIONS HAVE TO BE CONVERTED TO UDP TO AVOID HANDSHAKES
-
@MABINOGION said in PfS OpenVPN FritzBox:
(Muss ich für den VPN nebst den Wizard Rules (any) noch eigene Rules für HTTP & HTTPS anlegen)?
Nope, der Wizard macht das für einen normalen Setup soweit ich mich erinnere.
-
So sehen die advanced settings im server bei mir aus.
Und so die Tunnelsettings auszugsweise.
Der Wizard glaube ich macht nicht alles im Detail, aber das grobe.
BTW Du nutzt ja Windows, ich nur ein android phone. Manche Optionen sind ja nur für Windows interessant, die müsstest Du dir dann auch näher anschauen.
