the.other
Goto Top

Pfsense openVPN (tcp) Clients werden nicht im dashboard angezeigt

Moinsen,
vielleicht nur Kosmetik:
unter pfsense 2.5 werden mir zwar verbundene openVPN Clients unter udp im dashboard gezeigt, nicht aber unter neu eingerichtetem openVPN mit tcp. Hier erscheint...nichts.
Allerdings besteht eine VPN Verbindung (unter tcp), ich komme auf die internen Netzwerksegmente, der Internettraffic wird durch den Tunnel geleitet. Von der Funktion her (auch gemäß Protokolleinträgen) alles okay. Es fehlt eben nur die Client-Auflistung...

TCP auf Port 443 für bessere Verfügbarkeit aus fremden WLANS (fall die üblichen Ports gesperrt sein sollten).

Mach ich was falsch? Gibts einen Haken, den ich übersehen habe? Kent ihr das auch?
Sorry, aber wegen Feiertag morgen stelle ich eine Freitagsfrage schon heute...
;)
Grüßle
th30ther

Content-ID: 665339

Url: https://administrator.de/forum/pfsense-openvpn-tcp-clients-werden-nicht-im-dashboard-angezeigt-665339.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

aqui
aqui 02.04.2021 aktualisiert um 12:59:41 Uhr
Goto Top
Nur so viel:
TCP Encapsulation ist immer ziemlich kontraproduktiv bei OpenVPN denn es verschlechtert durch den zusätzlichen Overhead massiv die Performance des VPNs. Ebenfalls kann es zu MTU bzw. MSS Problematiken kommen bei Fragementierung. Auch OpenVPN selber rät in seinen Tutorials dringenst von einer TCP Encapsulation ab. Du solltest dir also gründlich überlegen ob du das damit löst.
Ggf. wäre dann L2TP. Letzteres hätte den großen Vorteil das du keinerlei zusätzliche VPN Client Software benötigst sondern alles mit den onboard Clients erledigen kannst.
Was die fehlende Anzeige im Dashboard Widget anbetrifft zeigt die vermutlich nur UDP Sessions an. Die Frage ist ob das Widget ggf. schon vor der Encapsulation Umstellung konfiguriert war und das aus der aktiven Konfig gelesen hat.
Du solltest also ggf. das Widget nochmal löschen und mit der neuen Encapsulation neu anlegen. Normal zeigt es eigentlich alle Sessions an.
the.other
the.other 02.04.2021 um 19:48:43 Uhr
Goto Top
Moinsen @aqui,

hoffe, dir geht*s gut.

Ja, ich weiß (dank dir), dass TCP mit openVPN keine gute Lösung ist. Ich spiele auch eher rum, idR nutze ich udp dafür. Mir ging es nur eben darum, dass es aber vorkommt, dass keine VPN Verbindung aus fremden WLANs aufgebaut werden kann mit den üblich verdächtigen Lösungen und Ports, da diese immer öfter im fremden Netzwerk nicht freigegeben sind. Deshalb diese "Notlösung".

Die Anzeige im dashboard zeigt zwar auch eine Zeile für TCP an (der Server wird also erkannt, sowohl für udp als auch der für tcp), es wird auch der verbundene Client unter udp angezeigt. Nur bei tcp bleibt es eben leer...auch nach Neuanlegen des Widgets.

Ich werd jetzt nochmal mit L2TP probieren, auf wireshark hab ich aktuell ganz stumpf noch keine Lust.

Dank dir für die erneut schnelle und nette Antwort. Hab ein paar nette Ostertage!
aqui
Lösung aqui 03.04.2021 aktualisiert um 10:40:35 Uhr
Goto Top
da diese immer öfter im fremden Netzwerk nicht freigegeben sind.
Dann nimmst du UDP 443. Anfänger die solche Filter einrichten unterscheiden oft nicht zw. TCP und UDP. face-wink
Nur bei tcp bleibt es eben leer...auch nach Neuanlegen des Widgets.
Vermutlich dann ein Bug in der 2.5.0er beim OVPN Widget. Google ggf. mal im pfSense Forum.

Wenn's das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
the.other
the.other 03.04.2021 um 15:53:11 Uhr
Goto Top
Moinsen,
ja, das werd ich mal versuchen (mit udp 443), danke für den Tip.
Im pfsense / Netgear Forum schon gefragt (doppelt hält ja bekanntlich besser), noch keine Antwort...

Ich vermute auch einen bug, ist ja nicht der einzige, wenn man den Stimmen so glauben mag, gerade was VPN angeht...und wireguard (NICHT wireshark, sorry) ist auch erstmal wieder raus (welch Überraschung).
;)

Frohe Ostern und gelöst...

Grüßle
th30ther
aqui
aqui 04.04.2021 um 10:10:13 Uhr
Goto Top
...ist auch erstmal wieder raus (welch Überraschung).
Mmhhh..in meiner 2.5.0er Version (es gibt noch keinen Patch !) ist es aber immer noch drin und funktioniert fehlerlos ? Weisst du da mehr als andere ??? face-wink
the.other
the.other 04.04.2021 um 10:59:21 Uhr
Goto Top
Moinsen,
wenn ich nicht einem Aprilscherz aufgesessen bin:

https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsen ...

Hm...

Grüßle
th30ther
aqui
aqui 04.04.2021 um 11:11:33 Uhr
Goto Top
Ooopps....
the.other
the.other 04.04.2021 um 15:56:19 Uhr
Goto Top
Moinsen,
freue mich, dass ich als Hobbykelleradmin dich @aqui auch mal mit ner Neuigkeit überraschen durfte. Sofern ich deinen Beitrag richtig interpretiere...

;)

Grüßle
th30ther