decker2022
Goto Top

Opensense und OpenVPN kein Port

Hallo
Ich suche nach einer funktionierenden Anleitung oder nach einem Tip was ich ständig falsch mache.
Egal was ich auch versuche, den im VPNServer hinterlegten Port erreiche ich nicht. Egal ob ich ihn ändere oder was auch immer
Ich habe noch die Scheunentorregel auf.
Aber mit Scannern findet er alle von mir freigegebenen Ports. Nicht den von den OpenVPN eingerichteten Port.
Was mach ich nur falsch ?

Content-Key: 7646003808

Url: https://administrator.de/contentid/7646003808

Printed on: July 20, 2024 at 16:07 o'clock

Member: Avoton
Avoton Jun 25, 2023 at 17:25:23 (UTC)
Goto Top
Moin,

Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?

Gruß,
Avoton
Member: ichi1232
ichi1232 Jun 25, 2023 at 19:48:22 (UTC)
Goto Top
Hi,

denk daran, dass du noch zwischen TCP und UDP unterscheiden musst.
Member: Decker2022
Decker2022 Jun 26, 2023 updated at 05:11:21 (UTC)
Goto Top
Sorry, für lange warten. Musste das ganze nochmal von vorne beginnen. Ich bekomme im Log von openvpn folgende Meldung immer direkt:
2023-06-26T04:46:37 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET6]::ffff:31.19.xxx.xxx:15722 (via ::ffff:192.168.1.5%igc0)
2023-06-26T04:46:37 Error openvpn_server1 tls-crypt unwrap error: packet too short

Also Es hängen an der Opensense zwei WAN dran mit jeweils einer Fritzbox und exposed Host zur Firewall.
Über einer Box kommt die VPN Anfrage direkt zur Firewall.
Derzeitiger Port ist der UDP 1194 Habe aber auch schon andere Probiert. Nun habe ich endlich mal ne Meldung im Log. Ich hoffe das hilft weiter.


Ergänzung: Wenn ich versuche zu Verbinden erhalte ich nach kurzer Zeit im Protokoll
2023-06-26T05:09:55 Error openvpn_server1 TLS Error: tls-crypt unwrapping failed from [AF_INET]31.19.xxx.xxx:46892 (via [AF_INET]192.168.1.5%)
2023-06-26T05:09:55 Error openvpn_server1 tls-crypt unwrap error: packet authentication failed
Zitat von @Avoton:

Moin,

Wie hängt die Sense denn am Internet? Modem oder anderer Router?
Ist der OpenVPN Dienst auch aktiv bzw. Gestartet?
Was sagt das Log?

Gruß,
Avoton
Member: NordicMike
NordicMike Jun 26, 2023 at 05:59:22 (UTC)
Goto Top
Die Fehlermeldung hat jedoch nichts mit irgendeinem Port zu tun, sondern eher ein Verschlüsselungsproblem.

Um Portprobleme auszuschließen, versuche es erst einmal intern ohne Firewall, bis es klappt.
Member: Decker2022
Decker2022 Jun 26, 2023 updated at 06:47:20 (UTC)
Goto Top
Ja, du hast recht. Ich hatte ja alles wieder von Vorne aufgesetzt. Nun erhalte ich das.
Ich habe mich nur gewundert, und das ist immer noch so, dass der Port 1194 nicht mit Portscannern sichtbar ist.

Ich bin da nach einem Video gegangen.
Warum auch immer sehe ich nun auch endlich die Versuche. Und diese Fehlermeldung.

Dieses Video habe ich dafür benutzt
Member: rzlbrnft
rzlbrnft Jun 26, 2023 at 08:10:23 (UTC)
Goto Top
Ein paar Angaben wären schon hilfreich, du schreibst über deine Rule Settings oder VPN Server Settings an sich gar nichts. Mach mal ein paar Screenshots, dann kann man dir eventuell helfen.

Port Scanner Tools nutzen im Normalfall erst mal ICMP, wenn du in TCP/UDP alles freigibst, gilt das für ICMP noch lange nicht. Den Begriff Scheunentorregel kann keiner hier interpretieren.

Für die Anmeldung brauchst du den TLS-crypt und den Key dazu in der OpenVPN Config. Auf der PFSense gibt es dazu ein Config-Exporter-Tool Package, ob es das auch bei der OPNSense gibt, kann ich jetzt nicht sagen, da nie genutzt.

OpenVPN 2.6.0+ hat z.B. das Problem, das es alte Keys nicht decrypten kann, weil legacy Protokolle verwendet werden. In die Richtung würd ich mal suchen.
Member: aqui
aqui Jun 26, 2023 updated at 12:56:52 (UTC)
Goto Top
In diesem Tutorial ist doch alle explizit genau erklärt welche Ports freizugeben sind. Sofern du sinnvollerweise einen VPN Server für alle onboard VPN Clients mit der OPNsense aufsetzt!
Man muss da auch gar nichts konfigurieren, denn die OPNsense legt diese Regeln bei IPsec ganz automatisch an.

Oben ist es schon gesagt worden: Deine Angaben sind spärlich bis ungenügend oben zum Betrieb bzw. Netzwerkdesign der Firewall. Kaskade, direkt usw. usw. Auch das hat einen Einfluß WIE eine korrekte Konfig auszusehen hat.
Betreibst du die Firewall z.B. in einer Router Kaskade solltest du auch dringest die dafür erforderliche Vorgaben beachten!
Für eine zielführende Hilfe sind deine Angaben einfach zu oberflächlich und wenig präzise. face-sad

Wenn du dennoch meinst mit überflüssigen VPN Clients rumfrickeln zu müssen und mit dem schlecht skalierenden und wenig performanten OpenVPN arbeiten zu müssen ist das UDP 1194 (Default) der auf die WAN IP Adresse der Firewall freigeben werden muss.
Sprich am WAN Port erstellst du eine Regel:
PASS UDPv4+v6 Source: ANY, Port: ANY Destination: wan_ip_address, Port: UDP 1194
Fertig ist der Lack.
Was ist daran so schwer?
Alle Details findest du im OpenVPN Tutotial bzw. spezifisch für die OPNsense/pfSense hier.
Nochmals:
Empfehlung ist kein OpenVPN mehr zu nutzen sondern einen IKEv2 VPN Server damit du alle onboard VPN Client jeder Betriebssysteme und Smartphones etc. nutzen kannst OHNE zusätzliche Software.
Member: Decker2022
Solution Decker2022 Jun 26, 2023 at 15:57:46 (UTC)
Goto Top
Member: aqui
aqui Jun 26, 2023 updated at 17:34:35 (UTC)
Goto Top
Na ja wer denn noch sowas Uraltes wie OpenVPN meint einsetzen zu müssen.
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
perf
Wer dann immer noch meint unbedingt OpenVPN einsetzen zu müssen dem ist nicht mehr zu helfen.
Case closed!
Member: NordicMike
NordicMike Jun 27, 2023 at 08:38:16 (UTC)
Goto Top
Das gilt nur für eine schwache CPU. Wir schaffen es mit unseren OpenVPN Tunnels die 500MBit Leitung komplett auszunutzen. Wir müssen sogar bremsen, damit auch mal ein anderer Traffic auf der Leitung eine Chance hat face-smile
Member: Decker2022
Decker2022 Jul 01, 2023 at 10:12:11 (UTC)
Goto Top
Zitat von @aqui:

Na ja wer denn noch sowas Uraltes wie OpenVPN meint einsetzen zu müssen.
Das es anders und deutlich besser geht zeigt dir ja das IKEv2 Tutorial oben.
Sogar Wireguard kann das auf der OPNsense noch deutlich besser.
Ein Bild sagt mehr als 1000 Worte...
perf
Wer dann immer noch meint unbedingt OpenVPN einsetzen zu müssen dem ist nicht mehr zu helfen.
Case closed!

Hallo
ich fand das schon mal recht interessant. Ich habe WireGuard mal ausprobiert. Als Anleitung nahm ich DAS
Soweit so gut. Ich finde die Einrichtung schon mal recht simpel im Vergleich. Nur was muss ich eintragen, damit ich im WireGuard VPN auf meine LAN Netze zugreifen kann ?
Member: Avoton
Avoton Jul 01, 2023 at 10:53:42 (UTC)
Goto Top
Moin,

Im Wireguard Client muss unter "allowed IPs" dein Subnetz auf Seiten der Sense stehen.
Auf der Firewall dann am Wireguard Interface eine entsprechende Firewall Regel, die Datenverkehr ins lokale Netz erlaubt.
Member: Decker2022
Decker2022 Jul 01, 2023 at 11:07:56 (UTC)
Goto Top
@Avoton
Meinst du so ?
bildschirmfoto 2023-07-01 um 13.06.29
bildschirmfoto 2023-07-01 um 13.06.00


kann zwar auf 192.168.100.1 pingen, aber anderes sehe ich dahinter nicht.
Wo ist mein Fehler ?
Member: aqui
aqui Jul 01, 2023 updated at 11:34:35 (UTC)
Goto Top
Nur was muss ich eintragen, damit ich im WireGuard VPN auf meine LAN Netze zugreifen kann ?
Einfach nur einmal das hiesige Wireguard Tutorial wirklich lesen!! 🧐
Dort und in den weiterführenden Links ist alles haarklein und im Detail erklärt!
Merkzettel: VPN Installation mit Wireguard


Bzw. genaue Hinweise wie das auf der OPNsense einzurichten ist und was dort zu beachten ist findest du hier:
OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
Dabei kannst du die Thematik fürs dynamische Routing ignorieren
Wo ist mein Fehler ?
Vermutlich entweder ein fehlendes Regelwerk im Firewall Tunnel Interface oder bei S-2-S die fehlende Eintragung des Gateways und Routings für das remote Netz.
OPNsense mehrere Wireguard Interfaces mit Split-Tunnel
Member: Decker2022
Decker2022 Jul 01, 2023 updated at 12:05:30 (UTC)
Goto Top
ich glaub ich verliere den Durchblick gerade.

Das erst erklärt wunderbar die Fritzbox
habe ich hier nicht.
Das zweit die der pfsense, habe opensense, wenn auch sehr ähnlich.
Wenn ich das richtig verstehe, soll man eine Route vom WireGuard VPN ins lokale Netz errichten.
Habe unter Routen weder das eine noch das Andere als Auswahl
Member: aqui
aqui Jul 01, 2023 updated at 12:19:21 (UTC)
Goto Top
Wenn ich das richtig verstehe, soll man eine Route vom WireGuard VPN ins lokale Netz errichten.
Gateway und Route ist erforderlich, da pfSense und OPNsense im Gegensatz zu den klassischen Installationen und Crypto Routing diese Parameter NICHT automatisch anlegen!

Das ist aber nur dann erforderlich wenn du ein Site-to-Site VPN konfigurierst. Also 2 oder mehr lokale IP Netze über einen Wireguard Tunnel verbindest.
In einem reinen Road Warrior Setup, also dem alleinigen Dialin von mobilen WG VPN Clients ist das nicht erforderlich.
Dort reicht lediglich eine korrekte Firewall Regel auf dem Tunnel Interface, mehr ist nicht erforderlich.
Das Routing seiner lokalen IP Netze macht ein Router oder Firewall bekanntlich immer automatisch von selbst! face-wink
Member: Decker2022
Decker2022 Jul 01, 2023 at 12:38:00 (UTC)
Goto Top
Ja, das habe ich.
ich will nur von einem Client aus ins Lan ,also aus dem 10.11.0.0 ins 192.168.100.0

habe oben den Screenshot von der Firewall.

Aber leider geht es nicht
Member: Avoton
Avoton Jul 01, 2023 at 14:19:41 (UTC)
Goto Top
Wie sieht denn die Config deines Clients aus?
Member: aqui
aqui Jul 01, 2023, updated at Jul 02, 2023 at 11:04:09 (UTC)
Goto Top
Das (upgedatete) Wireguard Tutorial zeigt dir eine genaue Schritt für Schritt Anleitung wie die OPNsense als Wireguard Server (VPN Responder) zu konfigurieren ist!
Folge dem dort beschriebenem Setup dann klappt das auch sofort auf Anhieb! 😉

Das dort verwendete interne /27er Netz kann man natürlich auch mit einer /24 Adresse betreiben wer es einfacher hat mit den Subnetzmasken. face-wink Das /27er Netz ermöglicht 30 VPN Clients zu betreiben von .1 bis .30.
Es macht immer Sinn von der Adressierung mit dem Server bei der .1 anzufangen und die Clients "von oben" runter zu vergeben.

OPNsense Wireguard Server Setup
Member: Decker2022
Decker2022 Jul 02, 2023 updated at 05:52:19 (UTC)
Goto Top
@aqui

Danke, da war vieles drin, was woanders nicht stand.
Aber ich komme nicht weiter. Anbei nach meiner Meinung nach korrekte Einstellungen
endpoint
schnittstelle
regelwan
reglwg
lokal
Hier der Wireguard Mac Client (aus dem Appstore)
client

Noch vergessen zu erwähnen. Obwohl der Clients Datenübertragung anzeigt und verbunden ist, taucht im Status der opensense nix auf.
status
Member: Avoton
Solution Avoton Jul 02, 2023 at 06:23:42 (UTC)
Goto Top
Du hast ja auch deinen Private Key als PublicKey beim Peer in der OpnSense angegeben, das kann so nicht funktionieren.
Member: Decker2022
Decker2022 Jul 02, 2023 at 07:04:49 (UTC)
Goto Top
@Avoton
Du hast recht, habe ich auch gerade gesehen.
Ich muss da auch erstmal durchblicken.
Also Ping auf 100.64.65.1 läuft. Im Status sehe ich auch Daten. Aber ich komme nicht in das 192.168.100.0 netz
Member: Decker2022
Decker2022 Jul 02, 2023 at 07:06:26 (UTC)
Goto Top
Kommando zurück
nun gehts. Danke
Member: aqui
aqui Jul 02, 2023 at 11:00:25 (UTC)
Goto Top
Ich muss da auch erstmal durchblicken.
Die Logik dahinter ist eigentlich ganz einfach:
  • Server hat seinen Private Key und im Client Peer den Public Key des Clients
  • Client hat seinen Private Key und im Server Peer den Public Key des Servers
Die jeweilige Gegenstelle hat immer den Public Key
nun gehts. Danke
Glückwunsch! 👍👏
Member: Decker2022
Decker2022 Jul 02, 2023 at 11:15:58 (UTC)
Goto Top
Muss sagen, der Wireguard läuft echt flott.
Besser als Openvpn.
Und eigentlich sehr einfach. Wenn man es erstmal begriffen hat.

Zitat von @aqui:

Ich muss da auch erstmal durchblicken.
Die Logik dahinter ist eigentlich ganz einfach:
  • Server hat seinen Private Key und im Client Peer den Public Key des Clients
  • Client hat seinen Private Key und im Server Peer den Public Key des Servers
Die jeweilige Gegenstelle hat immer den Public Key
nun gehts. Danke
Glückwunsch! 👍👏
Member: aqui
aqui Jul 02, 2023 updated at 11:42:10 (UTC)
Goto Top
Besser als Openvpn.
Siehe obige Diagramme! face-wink
Und eigentlich sehr einfach.
Das ist richtig.
Dennoch ist es noch besser immer ein Client VPN zu verwenden was die so oder so in allen Betriebssystemen onboard vorhandenen VPN Clients verwendet! Das hätte dir bei deinem MacBook und auch iPhone die überflüssige Frickelei mit externer VPN Software erspart. Kein VPN Client ist bekanntlich so gut ins OS integriert wie die onboard VPN Clients!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten