8
Opnsense OpenVPN (Firewall)-Problem
Hallo,
ich habe nun das nächste Thema, bei welchem ich Hilfe benötige.
Auf einer Opnsense habe ich OpenVPN nach Anleitung(en) eingerichtet und möchte mich vom Client mit dem Server verbinden.
Ich habe zwar schon ein funktionierendes VPN-Setup (Access Server) im Heimnetz. Da dieses aber eine eigene VM belegt, würde ich das gerne auf der Opnsense realisieren.
Zum grundsätzlichen Setup in meinem Netz: Die Opnsense hängt hinter einer Fritz!Box. Port 1194 UDP dort ist an die Opnsense geforwarded.
Ich habe auf der Opnsense-Firewall auf dem WAN-Interface Port 1194 freigegeben. Auf dem OpenVPN Interface habe ich alles für das entsprechende Subnetz freigegeben. Letzteres spielt aber ja keine Rolle, da schon keine Verbindung zustande kommt.
Was ich festgestellt habe, ist dass die Verbindung nur bei ausgeschalteter Opnsense Firewall funktioniert, ansonsten jedoch nicht. Damit kann nach meinem Verständnis eine Fehlkonfiguration des OpenVPN-Servers an sich oder des Client-Zertifikats als auch des NAT-Routers ausgeschlossen werden. Das Problem muss wohl in der Firewall liegen, ich weiß jedoch nicht, wo.
Folgende Fehlermeldungen erhalte ich:
[TIME] UDP link local (bound): [AF_INET][undef]:0
[TIME] UDP link remote: [AF_INET]PUBLICIP_DYNDNS:1194
[TIME] TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[TIME] TLS Error: TLS handshake failed
[TIME] SIGUSR1[soft,tls-error] received, process restarting
Hat jemand eine Idee, wie ich den Fehler hier eingrenzen könnte?
Falls weitere Informationen benötigt werden, bitte melden.
ich habe nun das nächste Thema, bei welchem ich Hilfe benötige.
Auf einer Opnsense habe ich OpenVPN nach Anleitung(en) eingerichtet und möchte mich vom Client mit dem Server verbinden.
Ich habe zwar schon ein funktionierendes VPN-Setup (Access Server) im Heimnetz. Da dieses aber eine eigene VM belegt, würde ich das gerne auf der Opnsense realisieren.
Zum grundsätzlichen Setup in meinem Netz: Die Opnsense hängt hinter einer Fritz!Box. Port 1194 UDP dort ist an die Opnsense geforwarded.
Ich habe auf der Opnsense-Firewall auf dem WAN-Interface Port 1194 freigegeben. Auf dem OpenVPN Interface habe ich alles für das entsprechende Subnetz freigegeben. Letzteres spielt aber ja keine Rolle, da schon keine Verbindung zustande kommt.
Was ich festgestellt habe, ist dass die Verbindung nur bei ausgeschalteter Opnsense Firewall funktioniert, ansonsten jedoch nicht. Damit kann nach meinem Verständnis eine Fehlkonfiguration des OpenVPN-Servers an sich oder des Client-Zertifikats als auch des NAT-Routers ausgeschlossen werden. Das Problem muss wohl in der Firewall liegen, ich weiß jedoch nicht, wo.
Folgende Fehlermeldungen erhalte ich:
[TIME] UDP link local (bound): [AF_INET][undef]:0
[TIME] UDP link remote: [AF_INET]PUBLICIP_DYNDNS:1194
[TIME] TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[TIME] TLS Error: TLS handshake failed
[TIME] SIGUSR1[soft,tls-error] received, process restarting
Hat jemand eine Idee, wie ich den Fehler hier eingrenzen könnte?
Falls weitere Informationen benötigt werden, bitte melden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2887793567
Url: https://administrator.de/contentid/2887793567
Printed on: April 19, 2024 at 02:04 o'clock
8 Comments
Latest comment
Moinsen,
ist jetzt mal geraten:
- hast du in der *sense für WAN_Interface auch die "Block private Networks" Regel deaktiviert? (denn mit vorgeschaltetem Fritzbox-Router musst du das)
- wenn du schreibst "ausgeschalteter" *sense meinst du "nur" die Firewall Funktion (oder hast du den VPN Server nicht unter der *sense laufen?)?
- Route eingerichtet, damit die Pakete zurückfinden?
So als erste Ideen am frühe Morgen mit zu wenig Kaffee im Kopf...
;)
ist jetzt mal geraten:
- hast du in der *sense für WAN_Interface auch die "Block private Networks" Regel deaktiviert? (denn mit vorgeschaltetem Fritzbox-Router musst du das)
- wenn du schreibst "ausgeschalteter" *sense meinst du "nur" die Firewall Funktion (oder hast du den VPN Server nicht unter der *sense laufen?)?
- Route eingerichtet, damit die Pakete zurückfinden?
So als erste Ideen am frühe Morgen mit zu wenig Kaffee im Kopf...
;)
dass die Verbindung nur bei ausgeschalteter Opnsense Firewall funktioniert,
Den Satz versteht kein Mensch und der Einwand vom Kollegen @th30ther oben dazu ist berechtigt.Wie kann eine Verbindung zustandekommen wenn man das Ziel ausschaltet. Völlig wirr...
Das Tutorial zum Thema OpenVPN hast du genau gelesen und dich an die dortigen Vorgaben gehalten??
Deine Troubleshooting ToDos:
- Check mit der Packet Capture Funktion an der OPNsense ob die FritzBox sauber UDP 1194 forwardet und diese UDP Pakete dort ankommen.
- Check das du in einer Kaskaden Konfiguration das globale Blocken der RFC1918 IP Netze an der Firewall (WAN Port) deaktiviert hast (siehe oben)
- Was sagt das OpenVPN Log auf der Firewall und Client?
Nebenbei:
Warum nutzt du das lahme OpenVPN für den Client Access? Besser und erheblich sinnvoller wäre es doch immer dafür die so oder so vorhandenen Onboard VPN Clients in allen Endgeräten und Betriebssystemen zu nutzen und damit entweder L2TP oder IKEv2 als VPN Protokoll.
Das erspart dir die unnötige und überflüssige Frickelei mit externen VPN Clients und ist deutlich eleganter und zeitsparender.
Hier kannst du nachlesen wie man das mit ein paar simplen Mausklicks im GUI macht:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich meine natürlich bei deaktivierter Firewall, nicht bei ausgeschalteter VM. Man kann die FW der Opensense, d.h. die Filterung, gänzlich deaktivieren. Route auf der Fritz!Box ist eingerichtet und auch das Blockieren privater Netze deaktiviert.
Ich wusste nicht, dass man auf der Opensense auch L2TP einrichten kann. Vielleicht versuche ich das.
Ich wusste nicht, dass man auf der Opensense auch L2TP einrichten kann. Vielleicht versuche ich das.
L2TP: Ich scheitere schon beim Zuweisen der Schnittstelle.
https://www.portunity.de/access/wiki/L2TP_VPN-Tunnel(IPv4)_mit_OPNsense_ ...
Fehlermeldung:
The interface "l2tp0" does not exist. Make sure to apply its configuration first.
Vielleicht habe ich bei den IPs etwas nicht verstanden...
https://www.portunity.de/access/wiki/L2TP_VPN-Tunnel(IPv4)_mit_OPNsense_ ...
Fehlermeldung:
The interface "l2tp0" does not exist. Make sure to apply its configuration first.
Vielleicht habe ich bei den IPs etwas nicht verstanden...
Bezüglich OpenVPN:
Ich habe herausgefunden, dass hier die
Default deny / state violation rule
greift. Ich habe auch schon "Statustyp" auf keiner gesetzt, was aber nichts gebracht hat.
Googlen führte fast immer zu dieser Lösung, die bei mir aber nicht hilft.
Ich bin etwas ratlos.
Ich habe herausgefunden, dass hier die
Default deny / state violation rule
greift. Ich habe auch schon "Statustyp" auf keiner gesetzt, was aber nichts gebracht hat.
Googlen führte fast immer zu dieser Lösung, die bei mir aber nicht hilft.
Ich bin etwas ratlos.
Was ich mir jetzt einmal grundlegend überlegt habe: Brauche ich hier eigentlich überhaupt die Firewall der opensense? Die Fritz!Box hat ja auch schon eine Firewall und wenn ich dort nur die VPN-Ports freigebe (und der VPN-Zugang sicher ist - wenn er es nicht ist, hilft mir auch die Firewall nichts, da diese das ja durchlassen soll), sollte das eigentlich kein Sicherheitsproblem bedeuten?
Ich hab's. Ich musste auf dem LAN Interface auch noch eine explizite allow Regel setzen. Warum der Traffic aber über die LAN-Schnittstelle kommt, ist mir nicht klar. Ich habe natürlich die Verbindung via LTE getestet, nicht WLAN.
Route auf der Fritz!Box ist eingerichtet
Ist in einem Kaskaden Design ja Quatsch und braucht man nicht.Ich musste auf dem LAN Interface auch noch eine explizite allow Regel setzen.
Das ist ebenso Quatsch wenn du dort eine allow LAN_net auf any Regel hast. Die deckt ja dann eh alles ab.Sehr wahrscheinlich hast du beim Regelwerk am LAN Port eine falsche Reihenfolge des Regelwerkes und schlicht und einfach vergessen das dort immer "First match wins" gilt. Sprich beim ersten positiven Hit im Regelwerk wird der Rest der Regeln nicht mehr ausgeführt.
Dazu müsste man aber einmal dein Regelwerk sehen was du hier ja leider nicht zeigst.
In dem Falle dann ein PEBKAC Problem und der übliche Anfänger Fehler wenn Regeln erstellt werden.
Aber egal...wenn's nun rennt wie es soll ist ja alles bella.
L2TP: Ich scheitere schon beim Zuweisen der Schnittstelle.
Das L2TP Plugin hast du über die Packet Verwaltung VORHER installiert?? Im Gegensatz zur pfSense ist das L2TP bei der OPNsense nicht im Default Setup enthalten und muss nachinstalliert werden.Alternativ nimmst du sonst die IKEv2 Variante. Die klappt out of the Box.
