pipen1976
Goto Top

PfSense Firewall VPN Zugang mit Windows 10 Boardmittel

Hallo,

ich habe einen VPN Zugang nach der Anleitung von aqui erstellt. Wenn ich mich jetzt an der pfSense von einem Windows 10 Rechner anmelde dann kann ich nicht auf die Netzlaufwerke bzw. auf andere Netzgeräte zugreifen. Wenn ich den VPN nochmals trenne und mich dann gleich nochmal an der pfSense anmelde dann funktioniert komischer Weise der Zugriff auf die Netzlaufwerke bzw. Netzgeräte. Hat jemand eine Erklärung für den Fehler?

Gruß Christian

Content-ID: 417676

Url: https://administrator.de/forum/pfsense-firewall-vpn-zugang-mit-windows-10-boardmittel-417676.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

aqui
aqui 14.02.2019 um 15:27:14 Uhr
Goto Top
Kannst du wenn du nicht zugreifen kannst den Server der die Laufwerke zur Verfügung stellt anpingen bzw. anderweitig (RDP, HTTP etc.) erreichen ?
Sollte das klappen ist es kein IP basiertes Verbindungsproblem sondern dann eher was in Richtung Windows. Ist das Ziel irgendwas in einer Domäne ggf. mit Rechte Problematiken usw. ?
Bekommst du irgendeine Fehlermeldung im Falle des Zugriffs Fehlers ?
Testweise auch mal das VPN Log angesehen ob da was verdächtiges steht ?
pipen1976
pipen1976 15.02.2019 um 07:15:47 Uhr
Goto Top
Nein ich kann nichts anpingen bzw. RDP oder über HTTP verbinden. Die Laufwerke sind in der Domäne, es ändert aber nichts wenn ich auf ein Ziel auserhalb der Domäne zugreifen möchte. Bei der Verbindung mit dem Laufwerk bekomme ich diese Meldung
fehler
Mir wurde auch schon berichtet das es auch funktioniert wenn man ca. 5 Minuten wartet.
Ich habe den Log einmal kopiert. Einmal der Log bei der ersten Anmeldung und einmals den Log bei der zweiten Anmeldung.
Log1
Log2
aqui
aqui 15.02.2019 aktualisiert um 09:53:20 Uhr
Goto Top
Nein ich kann nichts anpingen bzw. RDP oder über HTTP verbinden.
Das ist dann eher ein sicheres Indiz dafür das das VPN gar nicht zustande gekommen ist ! Dann gibt es ja keinerlei IP Connectivity. Es liegt dann also de facto NICHT am SMB/CIFS also dem File Sharing sondern an der allgemeinen IP Connectivity.
Das kann vielerlei Gründe haben. Typisch sind Firewall oder Rechte Probleme beim Client. Oder fehlende und falsche Firewall Regeln. Letzteres kann man aber ausschliessen wenn es klappt und eine VPN Verbindung zustande kommt.
Sehr auffällig sind in den Logs die extrem häufigen Zertifikats Requests die mit einem Zertifikats Fehler abbrechen. Das ist sehr ungewöhnlich und deutet ggf. auf einen Fehler bei der Zertifikats Erstellung hin oder das noch irgendwo alte Zertifikate vielleicht aus Vorab Tests mit gleichem Namen vorhanden sind.
Das solltest du im Zert Manager unter Windows mal genau checken und ggf. diese alten Zertifikate dann unbedingt löschen. Gut möglich das das der Auslöser ist.
Hast du auch mal das Winblows Log diesbezüglich überprüft ?!

Hast du das testweise mal mit einem anderen Client OS versucht, z.B. Dialin mit iPhone, Androiden oder Mac ?
Ist das Verhalten da identisch ?
Wenn es nur beim Windows Client auftritt, dann ist es vermutlich rein nur auf den Windows Client bezogen.
pipen1976
pipen1976 15.02.2019 um 10:53:48 Uhr
Goto Top
Wenn ich mal etwas Zeit habe dann schaue ich mir das nochmals an. Komisch ist das es nach ca. 5 Minuten oder gleich nach dem 2x anmelden funktioniert. Ich habe die Problematik auf verschiedenen Windows Clients. Bei Android Geräten mit strongSwan funktioniert es einwandfrei ohne Probleme. Ich habe jetzt den VPN Zugang kurzerhand auf OpenVPN umgestellt. OpenVPN läuft ohne Probleme.
ChriBo
ChriBo 15.02.2019 um 12:06:15 Uhr
Goto Top
Hallo,
hast du ein DNS Problem ausgeschlossen?
d.h. hast du mal versucht dich über die IP anstelle über den Namen zu verbinden ?

Gruß
CH
aqui
aqui 15.02.2019 aktualisiert um 13:14:09 Uhr
Goto Top
Guter Punkt ! Irgend sowas muss es sein wie DNS.
Wenn allerdings das Pingen, RDP und HTTP mit der nackten IP gemacht wurde und das auch nicht klappte ist es kein DNS Problem.
Die grundsätzliche Frage ob du VPN Split Tunneling gemacht hast oder nicht ist ebenso eine wichtige Frage die leider nicht beantwortet wurde face-sad
Also ob du sämtlichen Traffic in den Tunnel geroutet hast (Gateway Redirect) oder nur die remoten Netze.
Ein Punkt der auch bei Open VPN zählt. Hier wäre wie auch bei IPsec die Konfig für eine zielführende Antwort wichtig gewesen.
Also ob du Gateway Redirection gemacht hast oder nicht ??
Wenn nicht, besteht die Gefahr das der DNS Server dann weg ist und internen Namensauflösungen nicht klappen. Für Laien sieht das dann so aus das nichts geht weil die meist nur Namens und nicht IP orientiert arbeiten in der Regel.

Aber OK wenn du nun einen Workaround hast, gut. Nachteil ist dann natürlich das du wieder mit 3rd Party VPN Software arbeiten musst auf allen Endgeräten.