Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PFSense OPENVPN, kein Zugriff auf WAN

Mitglied: AK-47.2

AK-47.2 (Level 1) - Jetzt verbinden

15.09.2019 um 10:54 Uhr, 419 Aufrufe, 7 Kommentare

Liebes Forum,

ich habe leider weder in diesem Forum noch im Internet eine Lösung zu MEINEM Problem gefunden, oftmals lag es hier an anderen DNS-Servern, die benutzt werden oder meiner Meinung nach sinnfreien NAT-Regeln, die ich mal getestet habe jedoch keine Lösung brachten.

Aktuell habe ich ein Problem mit dem VPN der PFSense, bei dem ich eine Hilfestellung benötige.
Zuvor vielleicht ein paar Infos zum aktuellen Netzwerk.

Als Modem im Bridge-Modus wird der Draytek Vigor 165 verwendet, als Firewall mit Routing-Funktion die PFSense, die die Einwahl ins Internet per PPPoE übernimmt.
Es gibt im lokalen Netzwerk bis jetzt nur den 172.16.1.X Bereich, bei Verbindung per VPN bekommen die Clients eine Adresse aus dem Subnetz 172.16.100.X.

DHCP und DNS im lokalen Netzwerk übernimmt ein Windows Server, DHCP beim VPN macht die PFSense, primärer DNS -Server ist hier auch wieder der WIndows Server, sekundärer DNS ist wiederum die PFSense.
Wenn ich einen Client über den OPENVPN-Client per VPN verbinde habe ich Zugriff auf das lokale Netzwerk, kann jedoch in anderen IP-Netzen wie dem Internet keinen Zugriff erlangen.
Jetzt habe ich jedoch auch schon einiges ausprobiert und herumgetestet, bin jedoch mit meinem Latein am Ende und würde gerne mit Hilfe von Vorne anfangen.

Wie zuvor erläutert, ich bin Anfänger beim Thema VPN und hoffe ebenso auf einen Anfängerfehler, den ich leider übersehe.
In der hier geposteten Anleitung zum Thema VPN mit PFSense bin ich leider ebenfalls nicht schlauer geworden, vielleicht liegt aber auch nur ein Verständnisproblem vor.
Sollten Informationen fehlen könnt ihr ruhig schimpfen, diese reiche ich dann nach

Zum Schluss noch die Screenshots zu den Settings vom VPN-Server und den Firewall-Regeln.

1 - Klicke auf das Bild, um es zu vergrößern2 - Klicke auf das Bild, um es zu vergrößern3 - Klicke auf das Bild, um es zu vergrößern4 - Klicke auf das Bild, um es zu vergrößern5 - Klicke auf das Bild, um es zu vergrößern6 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Looser27
15.09.2019 um 12:27 Uhr
Moin,

nimm mal die Häkchen bei "Redirect Gateway" raus. Diese erzwingen den gesamten Traffic über den Tunnel.
Genau das willst Du aber nicht.

Gruß

Looser
Bitte warten ..
Mitglied: ChriBo
15.09.2019 um 12:29 Uhr
Hallo,
Es sieht soweit alles OK aus, bis auf: die benutzerdefinierten Optionen sind überflüssig.
auf dem Client:
was gibt eine "route -print" aus ?
was gibt ein nslookup www.administrator.de aus ?
was gibt ein tracert www.administrator.de aus ?
Mit den Informationen lässt sich die Ursche des Fehlers weiter eingrenzen

CH
Bitte warten ..
Mitglied: AK-47.2
15.09.2019 um 13:11 Uhr
7 - Klicke auf das Bild, um es zu vergrößern

Hier mal die tracert und nslookup Ergebnisse. DNS funktioniert auf jeden Fall und es scheint am Routing zu scheitern?
Die benutzerdefinierten Optionen nehme ich dann gleich raus
Bitte warten ..
Mitglied: AK-47.2
15.09.2019 um 13:16 Uhr
Aber sollte es nicht funktionieren den gesamten Traffic über den Tunnel laufen zu lassen und die PFSense als Gateway zu benutzen statt des "Auswärts-"Routers?
Bitte warten ..
Mitglied: aqui
15.09.2019, aktualisiert um 13:51 Uhr
Ja, das klappt natürlich. Du musst das aber in der OpenVPN Server konfig auch so einstellen (Default Gateway Redirect). Siehe dazu:
https://openvpn.net/community-resources/how-to/#redirect
Dann wird sämtlicher Traffic vom Client in den Tunnel geroutet.

Die Firewall Regel am OpenVPN Tunnel Interface ist etwas sinnfrei. Erst erlaubst du nur den Traffic von überall her aufs lokale LAN Netz. Dann mit der Schrotschussregel sowieso alles.
Die erste Regel ist dann mehr oder minder überflüssig und kann komplett gelöscht werden wenn du erstmal mit der Schrotschuss Regel any zu any leben willst !
Bitte warten ..
Mitglied: AK-47.2
15.09.2019 um 22:06 Uhr
Da hast du natürlich Recht, die Regel stammt noch aus der "Bastelstunde" mit zum Teil auch abenteurlichen NAT-Regeln, aber was versucht man in der Not nicht doch alles. Ich habe sie rausgenommen.

Also, wenn ich dich bzw. den Artikel jetzt richtig verstanden habe, sollte ich die CFG wie folgt anpassen?
9 - Klicke auf das Bild, um es zu vergrößern

Wenn ich das tue, kann ich mich nicht mehr beim VPN-Client anmelden, da der TLS-Handshake failed, bekomme also einen TLS-Error.

Hast du eine Idee, was ich da jetzt verbockt habe?
Bitte warten ..
Mitglied: aqui
16.09.2019, aktualisiert um 09:30 Uhr
mit zum Teil auch abenteurlichen NAT-Regeln,
Solche NAT Regeln braucht man niemals. Der Default ist allemal genug.
Besser also du resettest das Teil nochmal auf den Werkszustand und fängst sauber neu an
den Artikel jetzt richtig verstanden habe, sollte ich die CFG wie folgt anpassen?
Nein !
Denke mal bitte selber etwas nach ! Was steht da ??
Du pushst einmal die Route ins 172.16.1.0er Netz an den Client und danach pushst du zusätzlich dann nochmal die Default Route an den Client.
Dieser Unsinn wird vermutlich auch dir selber klar, oder ??
Wozu also die 172.16.1er Route pushen wenn man so oder so die Default Route pusht die ALLES routet...?! Ersteres ist also überflüssger Blödsinn !
Der Rest ist OK.
kann ich mich nicht mehr beim VPN-Client anmelden
Wen oder was musst du beim VPN "Client" anmelden ??? Unverständlich...sorry.
TLS Handshake weist ja auch auf eine falsche OpenVPN Konfig !!
Ggf. bitte hier nochmal die genauen Steps lesen und genau danach verfahren:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
PfSense WAN-Zugriff
Frage von teamwagnerLAN, WAN, Wireless9 Kommentare

Hallo zusammen ich bräuchte Hilfe bei der Einrichtung von pfSense im Zusammenspiel mit einer FritzBox 7490. Ich habe schon ...

Netzwerke

PfSense openVPN Server - Client - WAN - Routing

gelöst Frage von icegetNetzwerke2 Kommentare

Hallo liebe Community, folgendes Setup: pfSense. Aktuellste Version. OpenVPN Server installiert. Über diesen verbinden sich meine Clients. (mein Plan: ...

Firewall

PFsens Open VPN Verbindung

Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Firewall

Pfsense OpenVPN - Zugriff auf VLAN

gelöst Frage von Alexander86Firewall9 Kommentare

Guten Morgen zusammen, ich war bisher nur aktiver und interessierter Mitleser. Leider komme ich nun an einer Stelle nicht ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 1 TagOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 2 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 2 TagenMicrosoft Office6 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 2 TagenFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Was tun, wenn der Chef seine eigenen IT-Regeln nicht durchsetzt?
gelöst Frage von Bl0ckS1z3Sicherheitsgrundlagen24 Kommentare

Hallo Admins, im Zuge der DSGVO haben wir in unserem Unternehmen mit dem Datenschutzbeauftragten ein neues IT-Nutzerhandbuch erstellt. Hier ...

Windows 10
Win 10 - Seltsame popups die nerven
Frage von BigSnakeyeWindows 1022 Kommentare

Hallöchen! An einem Win 10 Notebook habe ich Probleme mit extrem nervigen Popups rechts unten in der Ecke. Dort ...

CPU, RAM, Mainboards
Kein Bild mit neuem Mainboard
Frage von Ghost108CPU, RAM, Mainboards21 Kommentare

Hallo zusammen, habe einen PC mit 4 RAM Riegeln, einer Intel CPU 1151 Socket und einem Mainboard Asus B150M-A/M.2 ...

TK-Netze & Geräte
Rufnummernportierung am Festnetz wird vom Anbieter nicht unterstützt - Was kann man da machen
Frage von StefanKittelTK-Netze & Geräte19 Kommentare

Hallo, ein Kunde von mir hat mehrere Standort. Die meisten haben DSL/Kabel und sind per Telefon bei NFON (VOIP). ...