26
Opensense und OpenVPN kein Port
Hallo
Ich suche nach einer funktionierenden Anleitung oder nach einem Tip was ich ständig falsch mache.
Egal was ich auch versuche, den im VPNServer hinterlegten Port erreiche ich nicht. Egal ob ich ihn ändere oder was auch immer
Ich habe noch die Scheunentorregel auf.
Aber mit Scannern findet er alle von mir freigegebenen Ports. Nicht den von den OpenVPN eingerichteten Port.
Was mach ich nur falsch ?
Ich suche nach einer funktionierenden Anleitung oder nach einem Tip was ich ständig falsch mache.
Egal was ich auch versuche, den im VPNServer hinterlegten Port erreiche ich nicht. Egal ob ich ihn ändere oder was auch immer
Ich habe noch die Scheunentorregel auf.
Aber mit Scannern findet er alle von mir freigegebenen Ports. Nicht den von den OpenVPN eingerichteten Port.
Was mach ich nur falsch ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7646003808
Url: https://administrator.de/contentid/7646003808
Printed on: May 3, 2024 at 19:05 o'clock
26 Comments
Latest comment
Moin,
Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?
Gruß,
Avoton
Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?
Gruß,
Avoton
Hi,
denk daran, dass du noch zwischen TCP und UDP unterscheiden musst.
denk daran, dass du noch zwischen TCP und UDP unterscheiden musst.
Sorry, für lange warten. Musste das ganze nochmal von vorne beginnen. Ich bekomme im Log von openvpn folgende Meldung immer direkt:
2023-06-26T04:46:37 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET6]::ffff:31.19.xxx.xxx:15722 (via ::ffff:192.168.1.5%igc0)
2023-06-26T04:46:37 Error openvpn_server1 tls-crypt unwrap error: packet too short
Also Es hängen an der Opensense zwei WAN dran mit jeweils einer Fritzbox und exposed Host zur Firewall.
Über einer Box kommt die VPN Anfrage direkt zur Firewall.
Derzeitiger Port ist der UDP 1194 Habe aber auch schon andere Probiert. Nun habe ich endlich mal ne Meldung im Log. Ich hoffe das hilft weiter.
Ergänzung: Wenn ich versuche zu Verbinden erhalte ich nach kurzer Zeit im Protokoll
2023-06-26T05:09:55 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET]31.19.xxx.xxx:46892 (via [AF_INET]192.168.1.5%)
2023-06-26T05:09:55 Error openvpn_server1 tls-crypt unwrap error: packet authentication failed
2023-06-26T04:46:37 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET6]::ffff:31.19.xxx.xxx:15722 (via ::ffff:192.168.1.5%igc0)
2023-06-26T04:46:37 Error openvpn_server1 tls-crypt unwrap error: packet too short
Also Es hängen an der Opensense zwei WAN dran mit jeweils einer Fritzbox und exposed Host zur Firewall.
Über einer Box kommt die VPN Anfrage direkt zur Firewall.
Derzeitiger Port ist der UDP 1194 Habe aber auch schon andere Probiert. Nun habe ich endlich mal ne Meldung im Log. Ich hoffe das hilft weiter.
Ergänzung: Wenn ich versuche zu Verbinden erhalte ich nach kurzer Zeit im Protokoll
2023-06-26T05:09:55 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET]31.19.xxx.xxx:46892 (via [AF_INET]192.168.1.5%)
2023-06-26T05:09:55 Error openvpn_server1 tls-crypt unwrap error: packet authentication failed
Zitat von @Avoton:
Moin,
Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?
Gruß,
Avoton
Moin,
Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?
Gruß,
Avoton
Die Fehlermeldung hat jedoch nichts mit irgendeinem Port zu tun, sondern eher ein Verschlüsselungsproblem.
Um Portprobleme auszuschließen, versuche es erst einmal intern ohne Firewall, bis es klappt.
Um Portprobleme auszuschließen, versuche es erst einmal intern ohne Firewall, bis es klappt.
Ja, du hast recht. Ich hatte ja alles wieder von Vorne aufgesetzt. Nun erhalte ich das.
Ich habe mich nur gewundert, und das ist immer noch so, dass der Port 1194 nicht mit Portscannern sichtbar ist.
Ich bin da nach einem Video gegangen.
Warum auch immer sehe ich nun auch endlich die Versuche. Und diese Fehlermeldung.
Dieses Video habe ich dafür benutzt
Ich habe mich nur gewundert, und das ist immer noch so, dass der Port 1194 nicht mit Portscannern sichtbar ist.
Ich bin da nach einem Video gegangen.
Warum auch immer sehe ich nun auch endlich die Versuche. Und diese Fehlermeldung.
Dieses Video habe ich dafür benutzt
Ein paar Angaben wären schon hilfreich, du schreibst über deine Rule Settings oder VPN Server Settings an sich gar nichts. Mach mal ein paar Screenshots, dann kann man dir eventuell helfen.
Port Scanner Tools nutzen im Normalfall erst mal ICMP, wenn du in TCP/UDP alles freigibst, gilt das für ICMP noch lange nicht. Den Begriff Scheunentorregel kann keiner hier interpretieren.
Für die Anmeldung brauchst du den TLS-crypt und den Key dazu in der OpenVPN Config. Auf der PFSense gibt es dazu ein Config-Exporter-Tool Package, ob es das auch bei der OPNSense gibt, kann ich jetzt nicht sagen, da nie genutzt.
OpenVPN 2.6.0+ hat z.B. das Problem, das es alte Keys nicht decrypten kann, weil legacy Protokolle verwendet werden. In die Richtung würd ich mal suchen.
Port Scanner Tools nutzen im Normalfall erst mal ICMP, wenn du in TCP/UDP alles freigibst, gilt das für ICMP noch lange nicht. Den Begriff Scheunentorregel kann keiner hier interpretieren.
Für die Anmeldung brauchst du den TLS-crypt und den Key dazu in der OpenVPN Config. Auf der PFSense gibt es dazu ein Config-Exporter-Tool Package, ob es das auch bei der OPNSense gibt, kann ich jetzt nicht sagen, da nie genutzt.
OpenVPN 2.6.0+ hat z.B. das Problem, das es alte Keys nicht decrypten kann, weil legacy Protokolle verwendet werden. In die Richtung würd ich mal suchen.
In diesem Tutorial ist doch alle explizit genau erklärt welche Ports freizugeben sind. Sofern du sinnvollerweise einen VPN Server für alle onboard VPN Clients mit der OPNsense aufsetzt!
Man muss da auch gar nichts konfigurieren, denn die OPNsense legt diese Regeln bei IPsec ganz automatisch an.
Oben ist es schon gesagt worden: Deine Angaben sind spärlich bis ungenügend oben zum Betrieb bzw. Netzwerkdesign der Firewall. Kaskade, direkt usw. usw. Auch das hat einen Einfluß WIE eine korrekte Konfig auszusehen hat.
Betreibst du die Firewall z.B. in einer Router Kaskade solltest du auch dringest die dafür erforderliche Vorgaben beachten!
Für eine zielführende Hilfe sind deine Angaben einfach zu oberflächlich und wenig präzise.
Wenn du dennoch meinst mit überflüssigen VPN Clients rumfrickeln zu müssen und mit dem schlecht skalierenden und wenig performanten OpenVPN arbeiten zu müssen ist das UDP 1194 (Default) der auf die WAN IP Adresse der Firewall freigeben werden muss.
Sprich am WAN Port erstellst du eine Regel:
PASS UDPv4+v6 Source: ANY, Port: ANY Destination: wan_ip_address, Port: UDP 1194
Fertig ist der Lack.
Was ist daran so schwer?
Alle Details findest du im OpenVPN Tutotial bzw. spezifisch für die OPNsense/pfSense hier.
Nochmals:
Empfehlung ist kein OpenVPN mehr zu nutzen sondern einen IKEv2 VPN Server damit du alle onboard VPN Client jeder Betriebssysteme und Smartphones etc. nutzen kannst OHNE zusätzliche Software.
Man muss da auch gar nichts konfigurieren, denn die OPNsense legt diese Regeln bei IPsec ganz automatisch an.
Oben ist es schon gesagt worden: Deine Angaben sind spärlich bis ungenügend oben zum Betrieb bzw. Netzwerkdesign der Firewall. Kaskade, direkt usw. usw. Auch das hat einen Einfluß WIE eine korrekte Konfig auszusehen hat.
Betreibst du die Firewall z.B. in einer Router Kaskade solltest du auch dringest die dafür erforderliche Vorgaben beachten!
Für eine zielführende Hilfe sind deine Angaben einfach zu oberflächlich und wenig präzise.
Wenn du dennoch meinst mit überflüssigen VPN Clients rumfrickeln zu müssen und mit dem schlecht skalierenden und wenig performanten OpenVPN arbeiten zu müssen ist das UDP 1194 (Default) der auf die WAN IP Adresse der Firewall freigeben werden muss.
Sprich am WAN Port erstellst du eine Regel:
PASS UDPv4+v6 Source: ANY, Port: ANY Destination: wan_ip_address, Port: UDP 1194
Fertig ist der Lack.
Was ist daran so schwer?
Alle Details findest du im OpenVPN Tutotial bzw. spezifisch für die OPNsense/pfSense hier.
Nochmals:
Empfehlung ist kein OpenVPN mehr zu nutzen sondern einen IKEv2 VPN Server damit du alle onboard VPN Client jeder Betriebssysteme und Smartphones etc. nutzen kannst OHNE zusätzliche Software.
Na ja wer denn noch sowas Uraltes wie OpenVPN meint einsetzen zu müssen.
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
Wer dann immer noch meint unbedingt OpenVPN einsetzen zu müssen dem ist nicht mehr zu helfen.
Case closed!
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
Case closed!
Das gilt nur für eine schwache CPU. Wir schaffen es mit unseren OpenVPN Tunnels die 500MBit Leitung komplett auszunutzen. Wir müssen sogar bremsen, damit auch mal ein anderer Traffic auf der Leitung eine Chance hat 
2Zitat von @aqui:
Na ja wer denn noch sowas Uraltes wie OpenVPN meint einsetzen zu müssen.
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
Wer dann immer noch meint unbedingt OpenVPN einsetzen zu müssen dem ist nicht mehr zu helfen.
Case closed!
Na ja wer denn noch sowas Uraltes wie OpenVPN meint einsetzen zu müssen.
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
Case closed!
Hallo
ich fand das schon mal recht interessant. Ich habe WireGuard mal ausprobiert. Als Anleitung nahm ich DAS
Soweit so gut. Ich finde die Einrichtung schon mal recht simpel im Vergleich. Nur was muss ich eintragen, damit ich im WireGuard VPN auf meine LAN Netze zugreifen kann ?
Moin,
Im Wireguard Client muss unter "allowed IPs" dein Subnetz auf Seiten der Sense stehen.
Auf der Firewall dann am Wireguard Interface eine entsprechende Firewall Regel, die Datenverkehr ins lokale Netz erlaubt.
Im Wireguard Client muss unter "allowed IPs" dein Subnetz auf Seiten der Sense stehen.
Auf der Firewall dann am Wireguard Interface eine entsprechende Firewall Regel, die Datenverkehr ins lokale Netz erlaubt.
@Avoton
Meinst du so ?
kann zwar auf 192.168.100.1 pingen, aber anderes sehe ich dahinter nicht.
Wo ist mein Fehler ?
Meinst du so ?
kann zwar auf 192.168.100.1 pingen, aber anderes sehe ich dahinter nicht.
Wo ist mein Fehler ?
Nur was muss ich eintragen, damit ich im WireGuard VPN auf meine LAN Netze zugreifen kann ?
Einfach nur einmal das hiesige Wireguard Tutorial wirklich lesen!! 🧐Dort und in den weiterführenden Links ist alles haarklein und im Detail erklärt!
Merkzettel: VPN Installation mit Wireguard
Bzw. genaue Hinweise wie das auf der OPNsense einzurichten ist und was dort zu beachten ist findest du hier:
OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
Dabei kannst du die Thematik fürs dynamische Routing ignorieren
Wo ist mein Fehler ?
Vermutlich entweder ein fehlendes Regelwerk im Firewall Tunnel Interface oder bei S-2-S die fehlende Eintragung des Gateways und Routings für das remote Netz.OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
ich glaub ich verliere den Durchblick gerade.
Das erst erklärt wunderbar die Fritzbox
habe ich hier nicht.
Das zweit die der pfsense, habe opensense, wenn auch sehr ähnlich.
Wenn ich das richtig verstehe, soll man eine Route vom WireGuard VPN ins lokale Netz errichten.
Habe unter Routen weder das eine noch das Andere als Auswahl
Das erst erklärt wunderbar die Fritzbox
habe ich hier nicht.
Das zweit die der pfsense, habe opensense, wenn auch sehr ähnlich.
Wenn ich das richtig verstehe, soll man eine Route vom WireGuard VPN ins lokale Netz errichten.
Habe unter Routen weder das eine noch das Andere als Auswahl
Wenn ich das richtig verstehe, soll man eine Route vom WireGuard VPN ins lokale Netz errichten.
Gateway und Route ist erforderlich, da pfSense und OPNsense im Gegensatz zu den klassischen Installationen und Crypto Routing diese Parameter NICHT automatisch anlegen!Das ist aber nur dann erforderlich wenn du ein Site-to-Site VPN konfigurierst. Also 2 oder mehr lokale IP Netze über einen Wireguard Tunnel verbindest.
In einem reinen Road Warrior Setup, also dem alleinigen Dialin von mobilen WG VPN Clients ist das nicht erforderlich.
Dort reicht lediglich eine korrekte Firewall Regel auf dem Tunnel Interface, mehr ist nicht erforderlich.
Das Routing seiner lokalen IP Netze macht ein Router oder Firewall bekanntlich immer automatisch von selbst!
Ja, das habe ich.
ich will nur von einem Client aus ins Lan ,also aus dem 10.11.0.0 ins 192.168.100.0
habe oben den Screenshot von der Firewall.
Aber leider geht es nicht
ich will nur von einem Client aus ins Lan ,also aus dem 10.11.0.0 ins 192.168.100.0
habe oben den Screenshot von der Firewall.
Aber leider geht es nicht
Wie sieht denn die Config deines Clients aus?
Das (upgedatete) Wireguard Tutorial zeigt dir eine genaue Schritt für Schritt Anleitung wie die OPNsense als Wireguard Server (VPN Responder) zu konfigurieren ist!
Folge dem dort beschriebenem Setup dann klappt das auch sofort auf Anhieb! 😉
Das dort verwendete interne /27er Netz kann man natürlich auch mit einer /24 Adresse betreiben wer es einfacher hat mit den Subnetzmasken. Das /27er Netz ermöglicht 30 VPN Clients zu betreiben von .1 bis .30.
Es macht immer Sinn von der Adressierung mit dem Server bei der .1 anzufangen und die Clients "von oben" runter zu vergeben.
OPNsense Wireguard Server Setup
Folge dem dort beschriebenem Setup dann klappt das auch sofort auf Anhieb! 😉
Das dort verwendete interne /27er Netz kann man natürlich auch mit einer /24 Adresse betreiben wer es einfacher hat mit den Subnetzmasken.
Das /27er Netz ermöglicht 30 VPN Clients zu betreiben von .1 bis .30.Es macht immer Sinn von der Adressierung mit dem Server bei der .1 anzufangen und die Clients "von oben" runter zu vergeben.
OPNsense Wireguard Server Setup
@aqui
Danke, da war vieles drin, was woanders nicht stand.
Aber ich komme nicht weiter. Anbei nach meiner Meinung nach korrekte Einstellungen
Hier der Wireguard Mac Client (aus dem Appstore)
Noch vergessen zu erwähnen. Obwohl der Clients Datenübertragung anzeigt und verbunden ist, taucht im Status der opensense nix auf.
Danke, da war vieles drin, was woanders nicht stand.
Aber ich komme nicht weiter. Anbei nach meiner Meinung nach korrekte Einstellungen
Noch vergessen zu erwähnen. Obwohl der Clients Datenübertragung anzeigt und verbunden ist, taucht im Status der opensense nix auf.
Du hast ja auch deinen Private Key als PublicKey beim Peer in der OpnSense angegeben, das kann so nicht funktionieren.
@Avoton
Du hast recht, habe ich auch gerade gesehen.
Ich muss da auch erstmal durchblicken.
Also Ping auf 100.64.65.1 läuft. Im Status sehe ich auch Daten. Aber ich komme nicht in das 192.168.100.0 netz
Du hast recht, habe ich auch gerade gesehen.
Ich muss da auch erstmal durchblicken.
Also Ping auf 100.64.65.1 läuft. Im Status sehe ich auch Daten. Aber ich komme nicht in das 192.168.100.0 netz
Kommando zurück
nun gehts. Danke
nun gehts. Danke
Ich muss da auch erstmal durchblicken.
Die Logik dahinter ist eigentlich ganz einfach:- Server hat seinen Private Key und im Client Peer den Public Key des Clients
- Client hat seinen Private Key und im Server Peer den Public Key des Servers
nun gehts. Danke
Glückwunsch! 👍👏1
Muss sagen, der Wireguard läuft echt flott.
Besser als Openvpn.
Und eigentlich sehr einfach. Wenn man es erstmal begriffen hat.
Besser als Openvpn.
Und eigentlich sehr einfach. Wenn man es erstmal begriffen hat.
Zitat von @aqui:
Ich muss da auch erstmal durchblicken.
Die Logik dahinter ist eigentlich ganz einfach:- Server hat seinen Private Key und im Client Peer den Public Key des Clients
- Client hat seinen Private Key und im Server Peer den Public Key des Servers
nun gehts. Danke
Glückwunsch! 👍👏Besser als Openvpn.
Siehe obige Diagramme! Und eigentlich sehr einfach.
Das ist richtig.Dennoch ist es noch besser immer ein Client VPN zu verwenden was die so oder so in allen Betriebssystemen onboard vorhandenen VPN Clients verwendet! Das hätte dir bei deinem MacBook und auch iPhone die überflüssige Frickelei mit externer VPN Software erspart. Kein VPN Client ist bekanntlich so gut ins OS integriert wie die onboard VPN Clients!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
