noobone
Goto Top

PFSense OpenVPN public IP

Hallo Zusammen,

wir haben als Firewall eine PFSense (v.2.2.6) am Laufen auf der OpenVPN für die externe Einwahl
eingerichtet ist. Den VPN-Usern wird eine feste VPN-IP (Netz 192.168.199.0) zugewiesen.
Den VPN-Zugang nutzen zum anderen auch Dienstleister von uns.
Jetzt trat das Problem auf, dass wenn sich Dienstleister A mit zwei verschiedenen User (vpn1 und vpn2)
einwählt, nur einer von den beiden richtig funktioniert, sprich, die Einwahl und Vergabe der IP klappt
korrekt nur der Zugriff auf die entsprechenden Server klappt nicht.
Die Einwahl der beiden User erfolgt natürlich über die selbe öffentliche IP.
Scheitert das Ganze hier dran?
Gibt's eine Einstellung, die man tätigen muss, dass zwei User der selben öffentlichen IP korrekt funktionieren?

Sollten noch Informationen gewünscht werden bitte Bescheid sagen

Danke im voraus.

Content-ID: 301939

Url: https://administrator.de/forum/pfsense-openvpn-public-ip-301939.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

skahle85
skahle85 15.04.2016 um 11:31:19 Uhr
Goto Top
Hallo,

an der gleichen öffentlichen IP liegt es nicht. Was sagen denn die logs vom pfsense und vom vpn client??
Ravers
Ravers 15.04.2016 aktualisiert um 11:36:04 Uhr
Goto Top
Hi,

wie sieht die Konfiguration aus?
evtl. nur eine Site2Site-Verbindung? Wobei verschieden User - klar, würd sich beißen - demnach wohl nicht. < also schnell vergessen

Wie sieht die Fehlermeldung aus?
Wie sehen die IP-Infos der einzelenen Clients dann aus, wenn beide verbunden sind?
Auffälligkeiten in den Log`s?

greetz
ravers
skahle85
skahle85 15.04.2016 aktualisiert um 11:40:25 Uhr
Goto Top
ich hab bei pfsense immer die konsole benutzt für das hinzufügen neuer benutzer und die configs dann per sftp runter geladen.
Vielleicht hilft das ja irgendwie weiter die Accounts neu zu erstellen.

user@pfsense:~$ cd easyrsa.domain/
user@pfsense:~/easyrsa.domain$ tcsh
pfsense:~/easyrsa.domain> source vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/user/easyrsa.domain/keys
 
 
pfsense:~/easyrsa.domain> ./build-key-pass VPN_USER
Generating a 1024 bit RSA private key
.........++++++
..............++++++
writing new private key to 'VPN_USER.key'  
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be ausered to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.  
-----
Country Name (2 letter code) [DE]:DE
State or Province Name (full name) [Berlin]:
Locality Name (eg, city) [Berlin]:
Organization Name (eg, company) [Organization]:
Organizational Unit Name (eg, section) :
Common Name (eg, your name or your server's hostname) [VPN_USER]:  
Name :
Email Address [mail@domain.de]:
Please enter the following 'extra' attributes  
to be sent with your certificate request
A challenge password :
An optional company name :
Using configuration from /home/user/easyrsa.domain/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows  
countryName           :PRINTABLE:'DE'  
stateOrProvinceName   :PRINTABLE:'Berlin'  
localityName          :PRINTABLE:'Berlin'  
organizationName      :PRINTABLE:'Organization'  
commonName            :T61STRING:'vpn_user'  
emailAddress          :IA5STRING:'mail@domain'  
Certificate is to be certified until Nov 18 12:14:26 2023 GMT (3650 days)
Sign the certificate? [y/n]:y
 
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
orcape
orcape 15.04.2016 um 11:54:32 Uhr
Goto Top
Hi,
wenn das Routing klappt, dann sollte das auch funktionieren.
Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Gruß orcape
skahle85
skahle85 15.04.2016 um 12:07:48 Uhr
Goto Top
Zitat von @orcape:
Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Hier klappt erst gar kein Verbinden zum Server (nach erfolgreicher VPN Einwahl), somit ist die Datenmenge völlig unrelevant. Generell spielt diese sowieso keine Rolle.
orcape
orcape 15.04.2016 um 12:56:59 Uhr
Goto Top
Hier klappt erst gar kein Verbinden zum Server (nach erfolgreicher VPN Einwahl),...
Dann sollte hier schon einmal die Server.conf auf den "Tisch". Interessant wären auch die Logs der pfSense.
NoobOne
NoobOne 15.04.2016 aktualisiert um 20:50:38 Uhr
Goto Top
Hallo Zusammen,

schon mal vielen Dank für die regen Antworten.
Die Ereignis-Logs schreiben nichts auffälliges, alles wie gehabt.

Ich hab das Szenario von mir daheim heute auch ausprobiert, da hatte ich das selbe Problem.
Sobald ich von der gleichen öffentlichen IP mit zwei verschiedenen Usern per VPN verbunden bin kann ich
mit dem zweiten User keine Verbindung z.B. per RDP auf einen Server herstellen, obwohl die Rule entsprechend
gesetzt ist.

Anbei meine Server.conf

dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local **publicIP**
tls-server
server 192.168.199.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env  
tls-verify "/usr/local/sbin/ovpn_auth_verify tls **'Firma**+Server+Cert' 1 "  
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.20.0 255.255.254.0"  
push "route 192.168.50.0 255.255.255.0"  
push "dhcp-option DOMAIN **domain**.local"  
push "dhcp-option DNS 192.168.21.24"  
push "dhcp-option DNS 192.168.21.14"  
push "dhcp-option WINS 192.168.21.24"  
push "dhcp-option WINS 192.168.21.14"  
duplicate-cn
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
persist-remote-ip
float

Habt ihr noch irgendwelche Ideen?
Würdet ihr eine andere VPN-Variante (Client-Server) bei der PFSense empfehlen?
Hier geht's zum einen zur Einwahl von uns (EDV) und von Dienstleistern.
orcape
orcape 16.04.2016 um 08:57:50 Uhr
Goto Top
Hi,
nur so 'ne Idee. Du fährst den Tunnel mit MTU 1500. Muss nicht sein, aber ich hatte selbst schon massiv Probleme damit, das der Tunnel zwar stand, ich aber keine Verbindung zustande bekam. Bei mir laufen die alle zwischen 1300 und 1450 stabil, wobei das wohl auch vom Provider und dem DSL abhängt.
Gruß orcape
Ravers
Ravers 16.04.2016 um 13:04:46 Uhr
Goto Top
Hi,

mit einer Side2Side-Verbindung hättest du "keine Probleme", aber nimmst dir halt etwas flexibilität, aber man kann ja auch beides laufen lassen.
Kann leider dein Szenario derzeit nicht nachstellen. Du schreibst auch nix zu den Fehlermeldungen.

greetz
ravers