OpenVPN geht plötzlich nicht mehr [GELÖST]



  • Hi,

    ich kümmer mich um ein kleines Firmennetzwerk, in dem ich die pfSense als Firewall und als Router verwende, besitzte jedoch leider keine Ausbildung im Bereich der IT. Das Netzwerk habe ich mit hilfe von VLAN in organisatorische Unterbereiche geteilt. Weiterhin sind drei OpenVPN-Server auf der pfSense eingerichtet, von denen jeder in ein anderes VLAN tunnelt.
    Netzwerkdiagramm:

    Internet
                :
                : DSL
                :
          .–---+-----.
          |  Gateway  |  (fritzbox)
          '-----+-----'
                |
      WAN | 192.162.1.1
                |
          .-----+-----. 
          |  pfSense|
          '-----+-----'
                |
        LAN |  + VLANs
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers)

    Dieser bereitet mir nun Kopfschmerzen: seit zwei Tagen funktioniert die VPN verbindung zur pfSense aus dem Internet nicht mehr. "Einfach so", ohne mein einwirken. In den Logs, in die man über die Webgui einsehen kann, steht auch garnichts verdächtiges. Hänge ich mich vor die pfSense ins WAN und ändere in der Client OpenVPN config die verbindungsadresse in die WAN interface ip so funktioniert die Verbindung. Von Zuhause aus, protokoliert Wireshark am interface(mit "openvpn" gefiltert):

    client-ip    host-ip OpenVPN 84 MessageType: P_CONTROL_HARD_RESET_CLIENT_V2
    host-ip client-ip ICMP 112 Destination unreachable (Host unreachable)

    so geht es weiter, bis der 60s Timeout kommt. Aus der Firma habe ich jedoch Internetzugriff. Also müsste der Host ja erreichbar sein. Ich hab auch den Netzwerkvehrkehr zwischen pfSense und fritzbox mit Wireshark untersucht. Auch hier waren keine OpenVPN Pakete zufinden, die an das WAN Interface gerichtet waren. Wenn noch mehr Infos benötigt sind, lasst es mich wissen. Es kann dann unterumständen etwas länger dauern bis ich wieder in der Firma bin(habe ja keine Verbindungsmöglichkeiten von ausen mehr).
    Hat jemand Erfahrungswerte oder eine Idee die mir weiterhelfen könnte?

    gruß baum



  • Hallo!

    Die Pakete scheinen ja nicht über die Fritzbox zu kommen.

    Die Fritzbox ist als reines Gateway konfiguriert? Also alles, was auf die WAN IP auf der einen Seite geht, wird auf die LAN IP weitergereicht und den Rest macht pfSense.

    Laut dem Wireshark Protokoll ist der Zielhost (die Fritzbox) ja auch nicht über Ping erreichbar.
    Blöde Frage, aber das Firmennetz hat schon eine fixe Internet-IP?
    Wenn ja, muss das Problem in der Fritzbox zu suchen sein.

    Laufen in dem Netz vielleicht noch andere Dienste, die man testen können?

    Grüße
    Richard



  • Die Fritzbox dient zur Zeit auch noch als AP, was sich in Zukunft aber auch noch ändern soll. Für den OpenVPN Dienst sind auf der Fritzbox Portweiterleitungen für die entsprechenden Ports zur pfSense eingerichtet. Weitere Geräte hängen aber nicht vor der pfSense. Der VPN-Dienst ist auch der einzige der vom Internet aus erreichbar sein soll.
    Nein eine fixe Internet-IP haben wir nicht, wird über dynamisches DNS gelöst. Jedoch funktioniert die Namensauflösung in die korrekte IP aus dem Internet problemlos, sodass ich davon ausgehen, dass es nicht daran liegt.
    Ich hoffe, dass ich heute vor Ort bin und die Fritzbox nochmal genauer inspizieren kann.

    gruß baum



  • So, der Fehler lag an einer falschen Konfiguration meinerseits. Ich habe in der Fritzbox keine feste IP zuweisung für die pfSense gemacht. Aus welchen Gründen auch immer, hat die pfSense nun eine neue IP bekommen, sodass die Portweiterleitung ins Nirvana verlief…
    Ich bedanke mich vielmals für eure Aufmerksamkeit und Hilfe

    gruß baum


Log in to reply