Opnsense OpenVPN (Firewall)-Problem

porfavor
Goto Top
Hallo,

ich habe nun das nächste Thema, bei welchem ich Hilfe benötige.

Auf einer Opnsense habe ich OpenVPN nach Anleitung(en) eingerichtet und möchte mich vom Client mit dem Server verbinden.
Ich habe zwar schon ein funktionierendes VPN-Setup (Access Server) im Heimnetz. Da dieses aber eine eigene VM belegt, würde ich das gerne auf der Opnsense realisieren.

Zum grundsätzlichen Setup in meinem Netz: Die Opnsense hängt hinter einer Fritz!Box. Port 1194 UDP dort ist an die Opnsense geforwarded.
Ich habe auf der Opnsense-Firewall auf dem WAN-Interface Port 1194 freigegeben. Auf dem OpenVPN Interface habe ich alles für das entsprechende Subnetz freigegeben. Letzteres spielt aber ja keine Rolle, da schon keine Verbindung zustande kommt.

Was ich festgestellt habe, ist dass die Verbindung nur bei ausgeschalteter Opnsense Firewall funktioniert, ansonsten jedoch nicht. Damit kann nach meinem Verständnis eine Fehlkonfiguration des OpenVPN-Servers an sich oder des Client-Zertifikats als auch des NAT-Routers ausgeschlossen werden. Das Problem muss wohl in der Firewall liegen, ich weiß jedoch nicht, wo.

Folgende Fehlermeldungen erhalte ich:

[TIME] UDP link local (bound): [AF_INET][undef]:0
[TIME] UDP link remote: [AF_INET]PUBLICIP_DYNDNS:1194
[TIME] TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[TIME] TLS Error: TLS handshake failed
[TIME] SIGUSR1[soft,tls-error] received, process restarting


Hat jemand eine Idee, wie ich den Fehler hier eingrenzen könnte?

Falls weitere Informationen benötigt werden, bitte melden.

Content-Key: 2887793567

Url: https://administrator.de/contentid/2887793567

Ausgedruckt am: 29.06.2022 um 01:06 Uhr

Mitglied: th30ther
th30ther 25.05.2022 um 07:41:55 Uhr
Goto Top
Moinsen,
ist jetzt mal geraten:
- hast du in der *sense für WAN_Interface auch die "Block private Networks" Regel deaktiviert? (denn mit vorgeschaltetem Fritzbox-Router musst du das)
- wenn du schreibst "ausgeschalteter" *sense meinst du "nur" die Firewall Funktion (oder hast du den VPN Server nicht unter der *sense laufen?)?
- Route eingerichtet, damit die Pakete zurückfinden?

So als erste Ideen am frühe Morgen mit zu wenig Kaffee im Kopf...
;)
Mitglied: aqui
aqui 25.05.2022 aktualisiert um 09:15:11 Uhr
Goto Top
dass die Verbindung nur bei ausgeschalteter Opnsense Firewall funktioniert,
Den Satz versteht kein Mensch und der Einwand vom Kollegen @th30ther oben dazu ist berechtigt.
Wie kann eine Verbindung zustandekommen wenn man das Ziel ausschaltet. Völlig wirr... :-( face-sad
Das Tutorial zum Thema OpenVPN hast du genau gelesen und dich an die dortigen Vorgaben gehalten??
Deine Troubleshooting ToDos:
  • Check mit der Packet Capture Funktion an der OPNsense ob die FritzBox sauber UDP 1194 forwardet und diese UDP Pakete dort ankommen.
  • Check das du in einer Kaskaden Konfiguration das globale Blocken der RFC1918 IP Netze an der Firewall (WAN Port) deaktiviert hast (siehe oben)
  • Was sagt das OpenVPN Log auf der Firewall und Client?

Nebenbei:
Warum nutzt du das lahme OpenVPN für den Client Access? Besser und erheblich sinnvoller wäre es doch immer dafür die so oder so vorhandenen Onboard VPN Clients in allen Endgeräten und Betriebssystemen zu nutzen und damit entweder L2TP oder IKEv2 als VPN Protokoll.
Das erspart dir die unnötige und überflüssige Frickelei mit externen VPN Clients und ist deutlich eleganter und zeitsparender.
Hier kannst du nachlesen wie man das mit ein paar simplen Mausklicks im GUI macht:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Mitglied: Porfavor
Porfavor 25.05.2022 aktualisiert um 13:51:13 Uhr
Goto Top
Ich meine natürlich bei deaktivierter Firewall, nicht bei ausgeschalteter VM. Man kann die FW der Opensense, d.h. die Filterung, gänzlich deaktivieren. Route auf der Fritz!Box ist eingerichtet und auch das Blockieren privater Netze deaktiviert.

Ich wusste nicht, dass man auf der Opensense auch L2TP einrichten kann. Vielleicht versuche ich das.
Mitglied: Porfavor
Porfavor 25.05.2022 um 14:22:03 Uhr
Goto Top
L2TP: Ich scheitere schon beim Zuweisen der Schnittstelle.

https://www.portunity.de/access/wiki/L2TP_VPN-Tunnel(IPv4)_mit_OPNsense_ ...

Fehlermeldung:

The interface "l2tp0" does not exist. Make sure to apply its configuration first.

Vielleicht habe ich bei den IPs etwas nicht verstanden...
l2tp_2
Mitglied: Porfavor
Porfavor 25.05.2022 um 16:01:48 Uhr
Goto Top
Bezüglich OpenVPN:

Ich habe herausgefunden, dass hier die

Default deny / state violation rule

greift. Ich habe auch schon "Statustyp" auf keiner gesetzt, was aber nichts gebracht hat.
Googlen führte fast immer zu dieser Lösung, die bei mir aber nicht hilft.
Ich bin etwas ratlos.
Mitglied: Porfavor
Porfavor 25.05.2022 um 21:17:39 Uhr
Goto Top
Was ich mir jetzt einmal grundlegend überlegt habe: Brauche ich hier eigentlich überhaupt die Firewall der opensense? Die Fritz!Box hat ja auch schon eine Firewall und wenn ich dort nur die VPN-Ports freigebe (und der VPN-Zugang sicher ist - wenn er es nicht ist, hilft mir auch die Firewall nichts, da diese das ja durchlassen soll), sollte das eigentlich kein Sicherheitsproblem bedeuten?
Mitglied: Porfavor
Lösung Porfavor 25.05.2022 aktualisiert um 21:38:40 Uhr
Goto Top
Ich hab's. Ich musste auf dem LAN Interface auch noch eine explizite allow Regel setzen. Warum der Traffic aber über die LAN-Schnittstelle kommt, ist mir nicht klar. Ich habe natürlich die Verbindung via LTE getestet, nicht WLAN.
Mitglied: aqui
aqui 26.05.2022 aktualisiert um 11:03:26 Uhr
Goto Top
Route auf der Fritz!Box ist eingerichtet
Ist in einem Kaskaden Design ja Quatsch und braucht man nicht.
Ich musste auf dem LAN Interface auch noch eine explizite allow Regel setzen.
Das ist ebenso Quatsch wenn du dort eine allow LAN_net auf any Regel hast. Die deckt ja dann eh alles ab.
Sehr wahrscheinlich hast du beim Regelwerk am LAN Port eine falsche Reihenfolge des Regelwerkes und schlicht und einfach vergessen das dort immer "First match wins" gilt. Sprich beim ersten positiven Hit im Regelwerk wird der Rest der Regeln nicht mehr ausgeführt.
Dazu müsste man aber einmal dein Regelwerk sehen was du hier ja leider nicht zeigst. :-( face-sad
In dem Falle dann ein PEBKAC Problem und der übliche Anfänger Fehler wenn Regeln erstellt werden. ;-) face-wink
Aber egal...wenn's nun rennt wie es soll ist ja alles bella.
L2TP: Ich scheitere schon beim Zuweisen der Schnittstelle.
Das L2TP Plugin hast du über die Packet Verwaltung VORHER installiert?? Im Gegensatz zur pfSense ist das L2TP bei der OPNsense nicht im Default Setup enthalten und muss nachinstalliert werden.
Alternativ nimmst du sonst die IKEv2 Variante. Die klappt out of the Box.