peterklaus
Goto Top

PFSENSE VPN Android

Hallo Gemeinde,

seid Tagen komme ich nicht weiter... face-sad

zum Aufbau

(Android)--------Internet--------(Fritzbox1)--------(PFSENSE)---------(Fritzbox2)---------(WLAN/LAN)

PFSENSE(2.5.1) läuft auf einem APU-Bord

Mit OpenVPN kann ich mich per VPN-Tunnel mit der PFSENSE verbinden, kann die Oberfläche der PFSENSE und der Fritzbox2 aufrufen und andere Internetseiten nicht.
Ich schlussfolgere daraus, das der Tunnel funktioniert.

Die PFSENSE soll den gesamten Internetverkehr filtern(Handy und LAN), dies ist ja möglich meines Erachtens. Leider komme ich zwar bis ins eigene Netzwerk nur aber nicht wieder raus...

Dies liegt sicher an einer Regel der Firewall und da hapert es jetzt leider... Ich hab schon etliches gelesen und ausprobiert, komme aber jetzt nicht mehr weiter und wäre für den entscheidenden Hinweis, wo ich was einstellen muss, sehr dankbar.

Lg und schönen Sonntag erstmal

Content-ID: 666082

Url: https://administrator.de/contentid/666082

Ausgedruckt am: 26.11.2024 um 06:11 Uhr

117471
Lösung 117471 25.04.2021 um 10:01:52 Uhr
Goto Top
Hallo,

wenn die Firewall etwas blockt, steht das in den LOG-Dateien von der pfSense.

Die müsste man mal lesen... face-smile

Gruß,
Jörg
tech-flare
Lösung tech-flare 25.04.2021 um 10:16:18 Uhr
Goto Top
Hallo,

Warum dieses Konstrukt aus 2 FRITZ!Boxen und pfsense ?
aqui
Lösung aqui 25.04.2021 aktualisiert um 10:29:26 Uhr
Goto Top
Und warum OpenVPN wenn man es mit dem bordeigenen Android VPN Client viel eleganter lösen kann ?!
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
So oder so...
Der TO hat vermutlich 2 mögliche Fehler bei der OpenVPN Konfig begangen:
  • Er hat kein Gateway Redirect konfiguriert sondern Split Tunneling
  • Er hat vergessen eine entsprechende Firewall Regel anzulegen
Da er hier intelligenterweise keinerlei Screenshots oder Konfig Auszüge gepostet hat bleibt uns ja auch nur der übliche Blick in die Kristallkugel !
Sinnvoll ist auch mit den HE.net Tools https://play.google.com/store/apps/details?id=net.he.networktools&hl ... auf dem Smartphone ein paar Traceroute und nslookup Troubleshooting zu machen bei aktivem VPN Client um die Ursachen zu finden. Ein Blick ins Firewall Log kann auch nicht schaden.
Nur nebenbei: Ein Zugriff per VPN aufs LAN hinter der FB hängt davon ab wie diese konfiguriert ist. Wenn sie als Router arbeitet geht es wegen des nicht abschlatbaren NATs nicht. Arbeitet sie nur als reiner_WLAN_AP sprich Switch kann es klappen. Dazu fehlen aber ebenso nähere Infos und zwingen zum Raten. face-sad

Vielleicht helfen ihm ja noch 2 Grundlagen Tutorials zu dem Thema:
Merkzettel: VPN Installation mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
117471
117471 25.04.2021 um 16:26:42 Uhr
Goto Top
Hallo,

Zitat von @tech-flare:

Hallo,

Warum dieses Konstrukt aus 2 FRITZ!Boxen und pfsense ?

Stimmt. Das sehe ich ja jetzt erst. Ich hätte eher ein

(Android)--------(Fritzbox1)--------Internet--------(Fritzbox2)--------(PFSENSE)---------(WLAN/LAN)

erwartet face-smile

Gruß,
Jörg
PeterKlaus
PeterKlaus 25.04.2021 aktualisiert um 22:17:49 Uhr
Goto Top
Danke für die berechtigten "Nackenschläge" face-smile

Regeln sind wie auf den Bildern zu sehen eingestellt.

Die Fritzbox2 ist nur als Switch und Acces-Point nicht als Router konfiguriert.

Mit dem Handy soll es per VPN über Fritzbox1 und Pfsense ins eigene Netzwerk gehen und dann wieder zurück ins Internet über eine andere VPN-Verbindung zu Nord-VPN.

Zweck: den Datenverkehr von Handy und LAN filtern. Die Filter kommen dann noch
regeln openvpn
regeln wan
nat
screenshot_20210425-202646_network scanner
regeln lan
magicteddy
Lösung magicteddy 26.04.2021 um 06:51:22 Uhr
Goto Top
Moin,

und jetzt noch Deine OpenVPN Config und man könnte tatsächlich helfen face-wink
Aber setz auf der pfSense mal in Deiner OpenVPN Config unter Custom Options

push "redirect-gateway";
und wenn dann die Namensauflösung noch nicht klappt:
push "dhcp-option DNS 1.1.1.1"

-teddy
aqui
aqui 26.04.2021 aktualisiert um 10:21:50 Uhr
Goto Top
über eine andere VPN-Verbindung zu Nord-VPN.
Oha... zu solchen Security Gruseldingen ist ja mittlerweile alles gesagt:
Was haltet ihr von VPN?
Für vernünftige Menschen ein NoGo...aber egal...andere Baustelle.
Aber setz auf der pfSense mal in Deiner OpenVPN Config unter Custom Options
Dafür gibt es in OpenVPN Setup der pfSense einen Haken so das es nicht erforderlich ist.
und jetzt noch Deine OpenVPN Config und man könnte tatsächlich helfen
Genau DAS ist der Knackpunkt ! face-wink
Man kann hier nur raten das das interne OpenVPN Netz vermutlich in irgendeiner der Firewall Regeln hängen bleibt oder der DNS Server für den Tunnel nicht richtig gesetzt wurde so das DNS Auflösungen scheitern.
Essentiell wäre hier mal die Konfig, wie oben schon richtig bemerkt, und mit dem o.a. HE.net Tools mal ein Traceroute vom aktiven OVPN Client auf eine öffentliche IP wie z.B. 8.8.8.8
Alles grundelgende Troubleshootimng Schritte auf die man auch ohne Thread mit dem gesunden Administrator IT Verstand kommt. face-wink
So bleibt auch uns mal wieder nur die Kristallkugel...
PeterKlaus
PeterKlaus 26.04.2021 aktualisiert um 12:16:14 Uhr
Goto Top
Danke schonmal für eure Mühe!!!

Es scheint mir, das die Regel der OpenVPN den Verkehr nach draussen nicht durchläßt...
erweiterte
openvpn regel
tunnel
algemein
krypto1
krypto2
client
117471
117471 26.04.2021 um 12:10:37 Uhr
Goto Top
Hallo,

ich bin ehrlich. Als ich NordVPN gelesen habe, war ich raus.

Ganz abgesehen davon, dass es von NordVPN sicher auch einen Android-Client gibt der das Ganze überflüssig macht.

Gruß,
Jörg
aqui
aqui 26.04.2021 aktualisiert um 12:48:21 Uhr
Goto Top
Ganz abgesehen davon
Eine IP Adresse als DNS Domain Namen ist natürlich völliger Quatsch. Das sollte man natürlich auf den lokal verwendeten Domain Namen abändern !
Das Routing ist soweit OK. Redirect ist aktiviert was den Client Traffic komplett in den Tunnel routet. Soweit so gut...
Der States Output ist wenig hilfreich.
Viel sinnvoller und zielführender wäre ein HE.net Tools Ping Screenshot vom Androiden bei aktivem OVPN Client auf die 8.8.8.8 und ob das klappt.
Ebenso ein nslookup z.B. auf www.heise.de
Hilfreich, sollte beides scheitern, ggf.auch ein Screenshot des Firewall Logs !!
ACHTUNG:
Hier sollte man vorher in den Log Settings zwingend die Anzeige Reihenfolge ändern:
log
Und...
Die Logs vorher löschen damit man dort nicht zuviel überflüssigen Müll sieht der VOR dem Ping und nslookup Check geloggt wurde !
reset
Simpelste Standard Troubleshooting Schritte auf die man eigentlich auch von selbst mit dem gesunden IT Verstand kommen sollte...
PeterKlaus
PeterKlaus 26.04.2021 um 12:44:39 Uhr
Goto Top
Hallo, den gibt es nur kann ich darüber nicht den datenverkehr filtern, eine Firewall für android hatte ich geht leider nur eine VPN-Verbindung auf dem Handy

Und ein freies Android ohne Google ist noch nicht richtig produktiv
PeterKlaus
PeterKlaus 16.05.2021 um 21:16:57 Uhr
Goto Top
Einen wunderschönen guten Abend,

Ich bedanke mich bei allen Beteiligten für die Inspiration und Hilfestellung.
Eventuell habe ich mich zu Anfang nicht aussagekräftig ausgedrückt...

Meine Lösung meines "Problems"...

Problemstellung war ja Firewall im Heimnetz, welche per VPN nach irgendwo ins Internet geht...
Vom Android per OpenVPN aufs/ins Heimnetz, und auch über die Firewall(also über den VPN-Tunnel) wieder ins Internet mit der öffentlichen IP des VPN am Ende

Alles laut verschiedener Anleitungen(mehrmals) durchgeführt und eingerichtet, nur nicht das gewünschte Resultat erreicht...

Bis ich dann die automatisch erstellten Routen rausgenommen habe... seit dem funktioniert es Perfekt.

Eine kleine Anmerkung habe ich noch...
Eine "Warum machst Du das so oder so, geht doch besser so...." gleich zu Beginn ist meines Erachtens nicht Zielorientiert.

Trotzalledem wie gesagt, bin ich Euch sehr dankbar und auch diesem Forum im allgemeinen.

Ich wünsche euch noch ein schönen Sonntagabend!!!