Pfsense openVPN (tcp) Clients werden nicht im dashboard angezeigt
Moinsen,
vielleicht nur Kosmetik:
unter pfsense 2.5 werden mir zwar verbundene openVPN Clients unter udp im dashboard gezeigt, nicht aber unter neu eingerichtetem openVPN mit tcp. Hier erscheint...nichts.
Allerdings besteht eine VPN Verbindung (unter tcp), ich komme auf die internen Netzwerksegmente, der Internettraffic wird durch den Tunnel geleitet. Von der Funktion her (auch gemäß Protokolleinträgen) alles okay. Es fehlt eben nur die Client-Auflistung...
TCP auf Port 443 für bessere Verfügbarkeit aus fremden WLANS (fall die üblichen Ports gesperrt sein sollten).
Mach ich was falsch? Gibts einen Haken, den ich übersehen habe? Kent ihr das auch?
Sorry, aber wegen Feiertag morgen stelle ich eine Freitagsfrage schon heute...
;)
Grüßle
th30ther
vielleicht nur Kosmetik:
unter pfsense 2.5 werden mir zwar verbundene openVPN Clients unter udp im dashboard gezeigt, nicht aber unter neu eingerichtetem openVPN mit tcp. Hier erscheint...nichts.
Allerdings besteht eine VPN Verbindung (unter tcp), ich komme auf die internen Netzwerksegmente, der Internettraffic wird durch den Tunnel geleitet. Von der Funktion her (auch gemäß Protokolleinträgen) alles okay. Es fehlt eben nur die Client-Auflistung...
TCP auf Port 443 für bessere Verfügbarkeit aus fremden WLANS (fall die üblichen Ports gesperrt sein sollten).
Mach ich was falsch? Gibts einen Haken, den ich übersehen habe? Kent ihr das auch?
Sorry, aber wegen Feiertag morgen stelle ich eine Freitagsfrage schon heute...
;)
Grüßle
th30ther
8 Antworten
- LÖSUNG aqui schreibt am 02.04.2021 um 12:58:31 Uhr
- LÖSUNG th30ther schreibt am 02.04.2021 um 19:48:43 Uhr
- LÖSUNG aqui schreibt am 03.04.2021 um 10:39:50 Uhr
- LÖSUNG th30ther schreibt am 03.04.2021 um 15:53:11 Uhr
- LÖSUNG aqui schreibt am 04.04.2021 um 10:10:13 Uhr
- LÖSUNG th30ther schreibt am 04.04.2021 um 10:59:21 Uhr
- LÖSUNG aqui schreibt am 04.04.2021 um 11:11:33 Uhr
- LÖSUNG th30ther schreibt am 04.04.2021 um 15:56:19 Uhr
- LÖSUNG aqui schreibt am 04.04.2021 um 11:11:33 Uhr
- LÖSUNG th30ther schreibt am 04.04.2021 um 10:59:21 Uhr
- LÖSUNG aqui schreibt am 04.04.2021 um 10:10:13 Uhr
- LÖSUNG th30ther schreibt am 03.04.2021 um 15:53:11 Uhr
- LÖSUNG aqui schreibt am 03.04.2021 um 10:39:50 Uhr
- LÖSUNG th30ther schreibt am 02.04.2021 um 19:48:43 Uhr
LÖSUNG 02.04.2021, aktualisiert um 12:59 Uhr
Nur so viel:
TCP Encapsulation ist immer ziemlich kontraproduktiv bei OpenVPN denn es verschlechtert durch den zusätzlichen Overhead massiv die Performance des VPNs. Ebenfalls kann es zu MTU bzw. MSS Problematiken kommen bei Fragementierung. Auch OpenVPN selber rät in seinen Tutorials dringenst von einer TCP Encapsulation ab. Du solltest dir also gründlich überlegen ob du das damit löst.
Ggf. wäre dann WireGuard eine bessere Lösung für dich oder L2TP. Letzteres hätte den großen Vorteil das du keinerlei zusätzliche VPN Client Software benötigst sondern alles mit den onboard Clients erledigen kannst.
Was die fehlende Anzeige im Dashboard Widget anbetrifft zeigt die vermutlich nur UDP Sessions an. Die Frage ist ob das Widget ggf. schon vor der Encapsulation Umstellung konfiguriert war und das aus der aktiven Konfig gelesen hat.
Du solltest also ggf. das Widget nochmal löschen und mit der neuen Encapsulation neu anlegen. Normal zeigt es eigentlich alle Sessions an.
TCP Encapsulation ist immer ziemlich kontraproduktiv bei OpenVPN denn es verschlechtert durch den zusätzlichen Overhead massiv die Performance des VPNs. Ebenfalls kann es zu MTU bzw. MSS Problematiken kommen bei Fragementierung. Auch OpenVPN selber rät in seinen Tutorials dringenst von einer TCP Encapsulation ab. Du solltest dir also gründlich überlegen ob du das damit löst.
Ggf. wäre dann WireGuard eine bessere Lösung für dich oder L2TP. Letzteres hätte den großen Vorteil das du keinerlei zusätzliche VPN Client Software benötigst sondern alles mit den onboard Clients erledigen kannst.
Was die fehlende Anzeige im Dashboard Widget anbetrifft zeigt die vermutlich nur UDP Sessions an. Die Frage ist ob das Widget ggf. schon vor der Encapsulation Umstellung konfiguriert war und das aus der aktiven Konfig gelesen hat.
Du solltest also ggf. das Widget nochmal löschen und mit der neuen Encapsulation neu anlegen. Normal zeigt es eigentlich alle Sessions an.
LÖSUNG 02.04.2021 um 19:48 Uhr
Moinsen @aqui,
hoffe, dir geht*s gut.
Ja, ich weiß (dank dir), dass TCP mit openVPN keine gute Lösung ist. Ich spiele auch eher rum, idR nutze ich udp dafür. Mir ging es nur eben darum, dass es aber vorkommt, dass keine VPN Verbindung aus fremden WLANs aufgebaut werden kann mit den üblich verdächtigen Lösungen und Ports, da diese immer öfter im fremden Netzwerk nicht freigegeben sind. Deshalb diese "Notlösung".
Die Anzeige im dashboard zeigt zwar auch eine Zeile für TCP an (der Server wird also erkannt, sowohl für udp als auch der für tcp), es wird auch der verbundene Client unter udp angezeigt. Nur bei tcp bleibt es eben leer...auch nach Neuanlegen des Widgets.
Ich werd jetzt nochmal mit L2TP probieren, auf wireshark hab ich aktuell ganz stumpf noch keine Lust.
Dank dir für die erneut schnelle und nette Antwort. Hab ein paar nette Ostertage!
hoffe, dir geht*s gut.
Ja, ich weiß (dank dir), dass TCP mit openVPN keine gute Lösung ist. Ich spiele auch eher rum, idR nutze ich udp dafür. Mir ging es nur eben darum, dass es aber vorkommt, dass keine VPN Verbindung aus fremden WLANs aufgebaut werden kann mit den üblich verdächtigen Lösungen und Ports, da diese immer öfter im fremden Netzwerk nicht freigegeben sind. Deshalb diese "Notlösung".
Die Anzeige im dashboard zeigt zwar auch eine Zeile für TCP an (der Server wird also erkannt, sowohl für udp als auch der für tcp), es wird auch der verbundene Client unter udp angezeigt. Nur bei tcp bleibt es eben leer...auch nach Neuanlegen des Widgets.
Ich werd jetzt nochmal mit L2TP probieren, auf wireshark hab ich aktuell ganz stumpf noch keine Lust.
Dank dir für die erneut schnelle und nette Antwort. Hab ein paar nette Ostertage!
LÖSUNG 03.04.2021, aktualisiert um 10:40 Uhr
da diese immer öfter im fremden Netzwerk nicht freigegeben sind.
Dann nimmst du UDP 443. Anfänger die solche Filter einrichten unterscheiden oft nicht zw. TCP und UDP. Nur bei tcp bleibt es eben leer...auch nach Neuanlegen des Widgets.
Vermutlich dann ein Bug in der 2.5.0er beim OVPN Widget. Google ggf. mal im pfSense Forum.Wenn's das denn war bitte
https://administrator.de/faq/32
nicht vergessen.
LÖSUNG 03.04.2021 um 15:53 Uhr
Moinsen,
ja, das werd ich mal versuchen (mit udp 443), danke für den Tip.
Im pfsense / Netgear Forum schon gefragt (doppelt hält ja bekanntlich besser), noch keine Antwort...
Ich vermute auch einen bug, ist ja nicht der einzige, wenn man den Stimmen so glauben mag, gerade was VPN angeht...und wireguard (NICHT wireshark, sorry) ist auch erstmal wieder raus (welch Überraschung).
;)
Frohe Ostern und gelöst...
Grüßle
th30ther
ja, das werd ich mal versuchen (mit udp 443), danke für den Tip.
Im pfsense / Netgear Forum schon gefragt (doppelt hält ja bekanntlich besser), noch keine Antwort...
Ich vermute auch einen bug, ist ja nicht der einzige, wenn man den Stimmen so glauben mag, gerade was VPN angeht...und wireguard (NICHT wireshark, sorry) ist auch erstmal wieder raus (welch Überraschung).
;)
Frohe Ostern und gelöst...
Grüßle
th30ther
LÖSUNG 04.04.2021 um 10:10 Uhr
...ist auch erstmal wieder raus (welch Überraschung).
Mmhhh..in meiner 2.5.0er Version (es gibt noch keinen Patch !) ist es aber immer noch drin und funktioniert fehlerlos ? Weisst du da mehr als andere ??? LÖSUNG 04.04.2021 um 10:59 Uhr
Moinsen,
wenn ich nicht einem Aprilscherz aufgesessen bin:
https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsen ...
Hm...
Grüßle
th30ther
wenn ich nicht einem Aprilscherz aufgesessen bin:
https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsen ...
Hm...
Grüßle
th30ther
LÖSUNG 04.04.2021 um 11:11 Uhr
Ooopps....
LÖSUNG 04.04.2021 um 15:56 Uhr
Moinsen,
freue mich, dass ich als Hobbykelleradmin dich @aqui auch mal mit ner Neuigkeit überraschen durfte. Sofern ich deinen Beitrag richtig interpretiere...
;)
Grüßle
th30ther
freue mich, dass ich als Hobbykelleradmin dich @aqui auch mal mit ner Neuigkeit überraschen durfte. Sofern ich deinen Beitrag richtig interpretiere...
;)
Grüßle
th30ther