OpenVPN auf pfSense, CSO funktioniert nicht

Servis zusammen,

ich versuche eine Nextcloud mit einer pfSense abzusichern und nun den Zugriff per VPN über clientspezifischer-Überschreibung einzusteuern. Muss ja nicht jeder auf jedes hinter der Sense liegende Netzwerk zugreifen können. Einen OpenVPN-Server habe ich hier zum ersten Mal eingerichtet, Premiere, bin daher für so ziemlich alles offen. Die meisten(?), echt genialen Tuts von aqui hab ich wohl schon durch, nur für mein jetziges Problem hab ich einfach keine Lösung: die CSOs in der Form "ifconfig-push 10.10.10.18 255.255.255.0" werden vom OpenVPN nicht angewandt. Nach Neustart der Sense und frischem Export des OpenVPN-Clienten, verbindet er sich mit dem Server und erhält dennoch lediglich die vom OpenVPN DHCP zugewiesene erste freie IP, also die 2. Damit kann ich natürlich weder Alias-Gruppen in der Firewall erstellen, noch regelbasierte Zugriffskontrolle durchsetzen und jeder Client erreicht jedes Netz hinter der Sense. Ich krieg die Clientuser ja nicht zu packen ohne statische IP, (oder doch?).

Für die Benutzerzertifikate ist die strikte Benutzer-CN Überinstimmung aktiviert, Überprüfung der Zertifkatstiefe auf eine Stufe eingestellt (Client -> Server), die dynamische IP bei "Wiederherstellung der Verbindung bei IP-Wechsel des Clients zulassen" deaktiviert und als Topologie ist ein Subnetz je Client gewählt (net30 würde uns letztlich nut 65 Clienten in einem 24er Netz zur Verfügung stellen, fällt daher aus). Ich hab jetzt auch schon probiert, den IP-Pool des DHCP einzuschränken (ifconfig-pool 10.10.10.1 10.10.10.10 255.255.255.0;) und dann die IPs dahinter als statische IPs zu vergeben, aber das war leider auch nix. Die CSO-Dateien sind im Serververzeichnis auch allessamt mit ifconfig-push IP vorhanden. Und nu steh ich wie der Ochs vorm Berg und würde mir ne Fee wünschen, die mich mal an die Hand nimmt und da durchführt, denn allein komm ich da erstmal wohl keinen Meter mehr weiter. Hab ich da irgendwas übersehen, verbaselt oder einfach nicht geschnallt und jemand könnts mir erklären?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 6943365633

Url: https://administrator.de/forum/openvpn-auf-pfsense-cso-funktioniert-nicht-6943365633.html

Ausgedruckt am: 12.05.2025 um 10:05 Uhr

9 Kommentare

Neuester Kommentar

bin daher für so ziemlich alles offen

Warum nutzt du das altbackene und wenig skalierende OpenVPN? Sinnvoller ist du konfigurierst dir ein IKEv2 VPN, das erspart dir dann auch gleich die Frickelei mit externen VPN Clients auf den Endgeräten weil du bequem die onboard VPN Clients nutzen kannst!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Auch eine Wireguard Konfig wäre noch einfacher und mit Wireguard ist die Zuordnung von festen Client IP Adressen genau so einfach wie oben mit IPsec IKEv2 weil du das pro Client bestimmen kannst.
Merkzettel: VPN Installation mit Wireguard

Du hast dir die denkbar schlechteste und komplizierteste Variante ausgesucht mit OVPN. Das uralte net30 Verfahren zu nutzen macht es nur noch schlimmer. Aber wenn du meinst damit glücklich zu werden und noch ein paar Feen zu treffen nur zu... Ggf. hilft dir das OpenVPN Tutotial und seine weiterführenden Links.
Merkzettel: VPN Installation mit OpenVPN

Viele fangen mit OpenVPN an, weil es gute Tutorials gibt und IPsec anfangs schier undurchdringlich wirkt. Mit den Tutorials des Kollegen @aqui sollte aber auch ein IPsec VPN gut von der Hand gehen

Zur Frage:

... nicht angewandt

ist ein bisschen dünn. OpenVPN hat doch ein ordentliches Logfile. Auch die Konfig wäre für den einen oder anderen Hilfeleistenden von Interesse. Ebenso, - kurz und knapp - was Du bislang unternommen hast, um das Problem zu lösen.

Ein Blick zu Google wirkt oft Wunder.
https://www.itsfullofstars.de/2018/09/openvpn-assign-static-ip-to-client ...
https://kifarunix.com/assign-static-ip-addresses-for-openvpn-clients/

Vielleicht ist schon was dabei.

Viele Grüße, commodity

Hab mir Wireguard gerade mal angesehen. Das probier ich direkt mal aus. IPsec kann ich nicht verwenden, da die notwendigen Ports bereits anderweitig belegt sind. Aber wird OpenVPN inzwischen wirklich so weit abgeschlagen notiert? Hui.

IPsec kann ich nicht verwenden, da die notwendigen Ports bereits anderweitig belegt sind

Sorry, aber was für ein Quatsch. Gut, heute ist ja Freitag 🐟 da darf man sowas ausnahmsweise. Das ist netztechnisch gar nicht möglich weil ESP ein eigenes IP Protokoll ist.
Vergiss also diesen Unsinn und frisch besser einmal dein IPsec Protokollwissen etwas auf!

Ein Nachtrag noch...

Was oben vergessen wurde ist das du bei einer pfSense auch L2TP als VPN Auswahl hast. Das Setup ist sogar noch einfacher, erfordert ebenfalls keine Frickelei mit externen VPN Clients und Zertifikaten und kann dediziert pro User IP feste Adressen zuweisen. Guckst du hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mehr Silbertablett zum Wochenende geht nicht! 😉

Ich denke, er meint die Ports 500, 4500. Braucht er die nicht?

Viele Grüße, commodity

Schon, aber das sind weltweit, auf Basis von RFCs fest zugewiesene IANA Ports die bekanntlich, wie alle IANA Ports, absolut Tabu sind für fremde Zuweisungen!
Dafür verwendet der kundige Netzwerk Administrator immer die Ephemeral Ports zwischen 49152 und 65535 wie es das z.B. Wireguard auch im Default macht.

Vielleicht hängt er hinter einem (Haupt-)Router, der die Ports schon beansprucht. Aber selbst dann ginge IPsec, wie wir wissen.

Viele Grüße, commodity

Aber selbst dann ginge IPsec, wie wir wissen.

Richtig! Das geht dann automatisch auf NAT Traversal mit UDP 4500.
Der TO hat vermutlich wenig bis keine VPN Kenntnisse und versucht sich da mit OVPN was hinzufrickeln was dann die denkbar Schwerste alle Lösungen ist...aber egal.