136892
Jun 13, 2020, updated at 10:23:53 (UTC)
3445
8
0
PfSense OpenVPN von außen nicht erreichbar
Hallo,
ich möchte als VPN Lösung meine pfSense nutzen.
Zurzeit nutze ich auf basis auf Ubuntu ein fertiges Bash Script (GitHub) mit dem ich mich ohne Probleme Verbiden kann. Ich möchte diese Lösung nicht ,ehr einsetzten da z.B. das Passwort nicht abgefragt wird und sich direkt verbindet. (Sicherheitsrisiko).
Zum Thema:
Kurz vorne weg: Eine loke Verbindung zum VPN-Server funktioniert ohne Probleme.
Ich nutze eine statische IP-Adresse auf meiner FritzBox.
Ich habe auf der FritzBox den Port 1194 zu meiner pfSense (WAN Internface) weitergeleitet.
WAN Interface: 192.168.0.100
LAN Interface: 192.168.1.1
Dann bin ich zur pfSense und habe ein CA, ein Certificate für den OpenVPN Server und für den User der sich dann anmelden soll.
Hier sind die Firewall Regeln zu sehen:
WAN:
OpenVPN:
Hier ist ein ausschnitt meiner OpnenVPN Config:
Ich habe dann über USB-Tethering ein mobiles Netzwerk über das Android simuliert.
Hier versuche ich zum OpenVPN zu Verbinden:
Hier werde ich noch Firewall Logs hinzufügen:
Ich habe testweise unter dem WAN Interface unter "Reserved Networks" die "Block priavte Networks" und Block bogon Networks" zugelassen, aber kein Erfolg.
Eine frage die mir aufkommt ist, muss ich irgendwo meine öffentliche IP angeben damit er weis wohin er muss?
ich möchte als VPN Lösung meine pfSense nutzen.
Zurzeit nutze ich auf basis auf Ubuntu ein fertiges Bash Script (GitHub) mit dem ich mich ohne Probleme Verbiden kann. Ich möchte diese Lösung nicht ,ehr einsetzten da z.B. das Passwort nicht abgefragt wird und sich direkt verbindet. (Sicherheitsrisiko).
Zum Thema:
Kurz vorne weg: Eine loke Verbindung zum VPN-Server funktioniert ohne Probleme.
Ich nutze eine statische IP-Adresse auf meiner FritzBox.
Ich habe auf der FritzBox den Port 1194 zu meiner pfSense (WAN Internface) weitergeleitet.
WAN Interface: 192.168.0.100
LAN Interface: 192.168.1.1
Dann bin ich zur pfSense und habe ein CA, ein Certificate für den OpenVPN Server und für den User der sich dann anmelden soll.
Hier sind die Firewall Regeln zu sehen:
WAN:
OpenVPN:
Hier ist ein ausschnitt meiner OpnenVPN Config:
Ich habe dann über USB-Tethering ein mobiles Netzwerk über das Android simuliert.
Hier versuche ich zum OpenVPN zu Verbinden:
Hier werde ich noch Firewall Logs hinzufügen:
Ich habe testweise unter dem WAN Interface unter "Reserved Networks" die "Block priavte Networks" und Block bogon Networks" zugelassen, aber kein Erfolg.
Eine frage die mir aufkommt ist, muss ich irgendwo meine öffentliche IP angeben damit er weis wohin er muss?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 579097
Url: https://administrator.de/contentid/579097
Printed on: April 26, 2024 at 23:04 o'clock
8 Comments
Latest comment
Hi,
hast du auf dem WAN Inteface der pfSense UDP/1194 erlaubt ?
Mach danach mal eine deny any Regel und logge mit. Damit solltest du sehen ob überhaupt Traffic für das WAN Interface ankommt.
Ja: hinter einer Fritzbox müssen private Networks auf dem WAN Interface zugelassen sein.
CH
hast du auf dem WAN Inteface der pfSense UDP/1194 erlaubt ?
Mach danach mal eine deny any Regel und logge mit. Damit solltest du sehen ob überhaupt Traffic für das WAN Interface ankommt.
Ja: hinter einer Fritzbox müssen private Networks auf dem WAN Interface zugelassen sein.
CH
Hallo.
Sehe ich das richtig, dass Dein VPN Gateway die 192.168.0.100, also die PFSense sein soll?
Diese IP wird nichts ins Internet geroutet. Hast Du denn eine DynDNS Adresse in die Fritzbox oder auf der PFSense eingetragen?
Ohne das funktioniert das nicht, da Du ja in Deinem Setup von außen eine öffentliche IPv4 ansprechen musst.
Heißt das nun, dass Du eine statische öffentliche IP hast?
Gruß
Radiogugu
Sehe ich das richtig, dass Dein VPN Gateway die 192.168.0.100, also die PFSense sein soll?
Diese IP wird nichts ins Internet geroutet. Hast Du denn eine DynDNS Adresse in die Fritzbox oder auf der PFSense eingetragen?
Ohne das funktioniert das nicht, da Du ja in Deinem Setup von außen eine öffentliche IPv4 ansprechen musst.
Zitat von @136892:
Ich nutze eine statische IP-Adresse auf meiner FritzBox.
Ich nutze eine statische IP-Adresse auf meiner FritzBox.
Heißt das nun, dass Du eine statische öffentliche IP hast?
Gruß
Radiogugu
Ja ich habe eine statische öfentliche IP Adresse
Das VPN gateway sollte dann die 192.168.0.100 sein.
Auf dem WAN interface habe ich in der Firewall den Port 1194 zugelassen. Ich habe auch mal alles auf "any" gesetzt.
Das VPN gateway sollte dann die 192.168.0.100 sein.
Auf dem WAN interface habe ich in der Firewall den Port 1194 zugelassen. Ich habe auch mal alles auf "any" gesetzt.
Hast du bei der Portweiterleitung der Fritz!Box auch darauf geachtet 1194 UDP zu wählen?
Außerdem muss in der Openvpn Config natürlich die öffentliche IP oder der DynDNS Host eingetragen werden, sobald du von "draußen" kommst.
Außerdem muss in der Openvpn Config natürlich die öffentliche IP oder der DynDNS Host eingetragen werden, sobald du von "draußen" kommst.
Das Remote Gateway in der OpenVPN Konfiguration muss logischerweise die öffentliche IP sein. Sonst versuchst Du Dich von extern auf die 192.168.0.100 zu verbinden, was nicht gehen kann.
Hast Du denn auch das UDP Protokoll ausgewählt?
Gruß
Radiogugu
Hast Du denn auch das UDP Protokoll ausgewählt?
Gruß
Radiogugu
Ich habe auf der FritzBox den Port 1194 zu meiner pfSense (WAN Internface) weitergeleitet.
Was denn ?? TCP oder UDP ?? OpenVPN verwendet Default UDP 1194Das Remote Gateway in der OpenVPN Konfiguration muss logischerweise die öffentliche IP sein.
Kollege @radiogugu meint hier richtigerweise vermutlich die Konfig des OpenVPN Clients. Hier muss die VPN Ziel IP Adresse natürlich auf die öffentliche IP der FritzBox an deren WAN Port zeigen. Nur die ist ja aus dem Internet IP technisch "sichtbar" und sie recht dann den OVPN Traffic durch die Port Weiterleitung an die Firewall (WAN Port) weiter.Du betreibst die pfSense ja in einer Router_Kaskade. Was dort sehr oft falsch gemacht wird ist das in einem Kaskaden Design (und NUR da !) das RFC 1918 Filtern vom WAN Port entfernt werden muss !
Hast du das beachtet ?!
Ferner musst du eine Firewall Regel am WAN Port erstellen, die eingehende UDP 1194 Pakete auf die "WAN_IP_Address" als Destination erlaubt.
Dann funktioniert das auch sofort fehlerfrei !
All das erklärt dir das hiesige pfSense OpenVPN Tutorial im Detail:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hättest du es wirklich mal gelesen hättest du die Frage nicht stellen müssen !
Weitere OpenVPN Grundlagen, wie immer, hier:
Merkzettel: VPN Installation mit OpenVPN
Ich habe den UDP Port 1194 unter meiner FirtzBox weitergeleitet.
Danke das du dazu eine Anleittung gemacht hast habe ich nicht gesehen
Ich habe den Haken unter dem WAN Interface "Block private Networks..." entfernt.
Das Problem war doch die öffentliche IP.
Die wurde jetzt noch in der config eingetragen und schon ging es.
Vielen Dank euch!
Danke das du dazu eine Anleittung gemacht hast habe ich nicht gesehen
Ich habe den Haken unter dem WAN Interface "Block private Networks..." entfernt.
Das Problem war doch die öffentliche IP.
Die wurde jetzt noch in der config eingetragen und schon ging es.
Vielen Dank euch!
Ich habe den Hacken
Hacken ???Sowas nutzt man doch meistens nur im Garten oder hat es unten am Fuß ??
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Oder meintest du:
https://www.duden.de/rechtschreibung/Haken