Gelöst - Prob mit genereller Verbindung über VPN-Anbieter…



  • Hallo Leute!

    Ich experimentiere hier seit einigen Tagen mit einer extra dafür aufgesetzten komplett frischen pfSense 2.2.6-Installation rum. Keinerlei weitere Packages installiert.

    Mein Problem: es klappt einfach nicht! ;)

    Ich habe zunächst das hier versucht:
    https://www.blackvpn.com/support/pfsense-with-openvpn/
    Dabei fielen mir Fehler auf woraufhin das Tutorial vom Anbieter überarbeitet wurde - klappt aber noch immer nicht.

    Dann heute das hier:
    https://nordvpn.com/tutorials/pfsense/pfsense-openvpn/
    Fehlerfrei durchgearbeitet (auch am Ende die Interfaceauswahl nicht vergessen (letztes Bild)), aber auch danach bekomme ich keine Funktion über VPN.

    Beim ersten Tutorial führt die Anwendung zu einem Totalverlust der Internetverbindung. Erst nach Deaktivierung des neuen Interfaces läuft wieder alles.

    Beim zweiten Tutorial habe ich die ganze Zeit eine Verbindung, nur ist die noch immer nicht "unsichtbar" - sprich, meine Position wird mir unter "whatismyip.com" noch immer korrekt angezeigt.

    Was läuft hier falsch?
    Ich seh bald den Wald vor lauter Bäumen nicht mehr!!

    In beiden Fällen wird die VPN-Verbindung aufgebaut und als "up" angezeigt.
    Beim zweiter Tutorial erscheint aber im Log z.B. sowas:

    Mar 18 16:47:06 openvpn[19006]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1558 10.8.8.46 10.8.8.45 init
    Mar 18 16:47:06 openvpn[19006]: Initialization Sequence Completed
    Mar 18 16:48:27 openvpn[19006]: MANAGEMENT: CMD 'state 1'
    Mar 18 16:48:27 openvpn[19006]: MANAGEMENT: CMD 'status 2'
    Mar 18 16:48:27 openvpn[19006]: MANAGEMENT: Client disconnected
    Mar 18 16:48:38 openvpn[19006]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
    Mar 18 16:48:38 openvpn[19006]: MANAGEMENT: CMD 'state 1'
    Mar 18 16:48:38 openvpn[19006]: MANAGEMENT: CMD 'status 2'
    Mar 18 16:48:38 openvpn[19006]: MANAGEMENT: Client disconnected

    Was bedeutet das? Sieht ja irgendwie nicht gut aus.

    Bin echt für jede Hilfe dankbar!



  • Hallo,

    schau mal hier https://forum.pfsense.org/index.php?topic=107574.0 ob dir die Anleitung dort vielleicht schon hilft.

    Ansonsten auch mal hier reinschauen https://forum.pfsense.org/index.php?board=39.0 oben sind zwei Tutorials angepinnt. Wahrscheinlich nicht zu deinem Anbieter, das Prozedere bleibt jedoch gleich.

    Falls es damit nicht klappt, einfach sagen wo es in den angegebenen Tutorials hapert.

    Gruß



  • Hallo Marvho!

    Deinen ersten Link kenne ich. Auch diese Version habe ich komplett versucht - ohne Erfolg!
    Keine Idee woran das liegt. Ich weiß nicht ob mein Provider da irgendwie reinhaut, aber die vpn-Verbindung steht ja scheinbar immer.
    Irgendwie vermute ich das Problem in den Firewall-Regeln…..aber wo??

    Ich nutze nicht zum ersten mal vpn. Ich habe hier mehrere Verbindungen zu Firmenbüros am laufen um mal auf die Schnelle
    gemeldete "Netzwerkprobleme" zu checken. Ok, ich bin auch nicht wirklich ein Guru wenn es um diese Themen geht, aber ein funktionierendes
    Tutorial konnte ich bisher noch immer umsetzen......oder ich werde zu alt  :( :(

    Kannst Du mir evtl. was zu den log-Meldungen sagen?
    Wurde die vorher aufgebaute vpn-Verbindung evtl. schon terminiert ( ;) ) oder was soll das bedeuten? Wird ja im WebIF weiter als "up" angezeigt.
    Bug?

    Gruß!



  • @bax2000:

    Was läuft hier falsch?
    Ich seh bald den Wald vor lauter Bäumen nicht mehr!!

    Vielleicht kann ich die Bäume reduzieren, um ein besseren Überblick zu verschaffen.

    1. Was die NordVPN Anleitung von BlackVPN unterscheidet ist, dass in der NordVPN LAN Firewall Regel unter Gateway das Interface vom OpenVPN Client steht (so wie es in den meisten VPN Anleitungen auch stehet). Die neuen Interfaces wurden unter assign hinzugefügt.
    2. NordVPN hat in Firewall -> NAT -> Outbound WAN Regeln erstellt und die durch das OpenVPN Client Interface ersetzt. In der BlackVPN Anleitung stehen immer noch WAN Interfaces.



  • Hallo!

    @bax2000:

    Beim zweiten Tutorial habe ich die ganze Zeit eine Verbindung, nur ist die noch immer nicht "unsichtbar" - sprich, meine Position wird mir unter "whatismyip.com" noch immer korrekt angezeigt.

    Also wenn du alle Punkte der Anleitung befolgt hast, solltest du nicht mit deiner IP rausgehen.

    Die LAN-Regel hast du auf das VPN-Gateway umgestellt? Und es ist die erste Regel, die für die Verbindung greift?

    Selbiges fürs Outbound NAT. Wenn du auch ohne VPN noch Internet haben möchtest, kannst du die WAN-Regeln übrigens drinnen lassen. Einfach die Regeln kopieren und das Interface und die Translation IP anpassen.



  • Hallo!

    Also ich hab mir jetzt nochmal alle Punkte genau angesehen und auch die Tutorials verglichen.

    Nachdem ich die NordVPN-Anleitung hier ja noch umgesetzt habe ist mir dabei kein Fehler aufgefallen. Ich habe jeden Schritt exakt so gemacht wie beschrieben.

    Allerdings ist mir am Ende nach dem Erstellen der Firewall-LAN-Regel etwas aufgefallen.
    Diese wird in der Anleitung einfach nur erstellt und befindet sich dann ganz unten bei den Regeln.
    Da es ja eine allg. any-any-Regel für den kompletten ipv4-Verkehr ist, sollte die doch eigentlich gleich oben stehen, oder?

    Ich habe das jedenfalls mal gemacht und siehe da - es funktioniert!

    So, nochmals besten Dank für Eure Hinweise!

    Jetzt muß ich mich weiter einlesen wie ich nur bestimmten Traffic durch OpenVPN leiten kann…....

    Gruß!



  • @bax2000:

    ,Jetzt muß ich mich weiter einlesen wie ich nur bestimmten Traffic durch OpenVPN leiten kann…....

    Das funktioniert ebenfalls über die Regel-Hierarchie. Die Regeln werden von oben nach unten abgearbeitet, die erste, bei der die Bedingungen zutreffen, wird angewandt und weitere Regeln werden ignoriert.
    D.h. die Bedingungen sind IP-Version, Protokoll, Source-IP u. -Port, Destination-IP u. -Port. Passen all diese auf eine Verbindung, wird die Regel, d.h. pass od. block, angewandt, andernfalls wird die nächst Regel geprüft.
    Trifft keine Regel zu, kommt am Ende die imaginäre "Default deny-rule" zu Anwendung.

    Gruß



  • Hast du den apinger Dienst laufen? Falls ja, solltest du ihn entweder ausschalten oder in den PfSense Einstellungen die "Skip rule when gateway is down" Option ausschalten. Da er sonst die Regel mit dem OVPN Gateway überspringt falls mal das OVPN Gateway down ist und dann versucht über das normale Gateway rauszugehen. Ist aber auch noch mal detaliert in dieser Anleitung beschrieben https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection

    Gruß


Log in to reply