PFSENSE VPN Android

Mitglied: cooperraser

cooperraser (Level 1) - Jetzt verbinden

25.04.2021 um 09:51 Uhr, 590 Aufrufe, 11 Kommentare

Hallo Gemeinde,

seid Tagen komme ich nicht weiter... :( face-sad

zum Aufbau

(Android)--------Internet--------(Fritzbox1)--------(PFSENSE)---------(Fritzbox2)---------(WLAN/LAN)

PFSENSE(2.5.1) läuft auf einem APU-Bord

Mit OpenVPN kann ich mich per VPN-Tunnel mit der PFSENSE verbinden, kann die Oberfläche der PFSENSE und der Fritzbox2 aufrufen und andere Internetseiten nicht.
Ich schlussfolgere daraus, das der Tunnel funktioniert.

Die PFSENSE soll den gesamten Internetverkehr filtern(Handy und LAN), dies ist ja möglich meines Erachtens. Leider komme ich zwar bis ins eigene Netzwerk nur aber nicht wieder raus...

Dies liegt sicher an einer Regel der Firewall und da hapert es jetzt leider... Ich hab schon etliches gelesen und ausprobiert, komme aber jetzt nicht mehr weiter und wäre für den entscheidenden Hinweis, wo ich was einstellen muss, sehr dankbar.

Lg und schönen Sonntag erstmal
Mitglied: altmetaller
25.04.2021 um 10:01 Uhr
Hallo,

wenn die Firewall etwas blockt, steht das in den LOG-Dateien von der pfSense.

Die müsste man mal lesen... :-) face-smile

Gruß,
Jörg
Bitte warten ..
Mitglied: tech-flare
25.04.2021 um 10:16 Uhr
Hallo,

Warum dieses Konstrukt aus 2 FRITZ!Boxen und pfsense ?
Bitte warten ..
Mitglied: aqui
25.04.2021, aktualisiert um 10:29 Uhr
Und warum OpenVPN wenn man es mit dem bordeigenen Android VPN Client viel eleganter lösen kann ?!
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
So oder so...
Der TO hat vermutlich 2 mögliche Fehler bei der OpenVPN Konfig begangen:
  • Er hat kein Gateway Redirect konfiguriert sondern Split Tunneling
  • Er hat vergessen eine entsprechende Firewall Regel anzulegen
Da er hier intelligenterweise keinerlei Screenshots oder Konfig Auszüge gepostet hat bleibt uns ja auch nur der übliche Blick in die Kristallkugel !
Sinnvoll ist auch mit den HE.net Tools https://play.google.com/store/apps/details?id=net.he.networktools&hl ... auf dem Smartphone ein paar Traceroute und nslookup Troubleshooting zu machen bei aktivem VPN Client um die Ursachen zu finden. Ein Blick ins Firewall Log kann auch nicht schaden.
Nur nebenbei: Ein Zugriff per VPN aufs LAN hinter der FB hängt davon ab wie diese konfiguriert ist. Wenn sie als Router arbeitet geht es wegen des nicht abschlatbaren NATs nicht. Arbeitet sie nur als reiner_WLAN_AP sprich Switch kann es klappen. Dazu fehlen aber ebenso nähere Infos und zwingen zum Raten. :-( face-sad

Vielleicht helfen ihm ja noch 2 Grundlagen Tutorials zu dem Thema:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-openvp ...
https://administrator.de/knowledge/openvpn-server-installieren-pfsense-f ...
Bitte warten ..
Mitglied: altmetaller
25.04.2021 um 16:26 Uhr
Hallo,

Zitat von @tech-flare:

Hallo,

Warum dieses Konstrukt aus 2 FRITZ!Boxen und pfsense ?

Stimmt. Das sehe ich ja jetzt erst. Ich hätte eher ein

(Android)--------(Fritzbox1)--------Internet--------(Fritzbox2)--------(PFSENSE)---------(WLAN/LAN)

erwartet :-) face-smile

Gruß,
Jörg
Bitte warten ..
Mitglied: cooperraser
25.04.2021, aktualisiert um 22:17 Uhr
Danke für die berechtigten "Nackenschläge" :) face-smile

Regeln sind wie auf den Bildern zu sehen eingestellt.

Die Fritzbox2 ist nur als Switch und Acces-Point nicht als Router konfiguriert.

Mit dem Handy soll es per VPN über Fritzbox1 und Pfsense ins eigene Netzwerk gehen und dann wieder zurück ins Internet über eine andere VPN-Verbindung zu Nord-VPN.

Zweck: den Datenverkehr von Handy und LAN filtern. Die Filter kommen dann noch
nat - Klicke auf das Bild, um es zu vergrößernregeln lan - Klicke auf das Bild, um es zu vergrößernregeln openvpn - Klicke auf das Bild, um es zu vergrößernregeln wan - Klicke auf das Bild, um es zu vergrößernscreenshot_20210425-202646_network scanner - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: magicteddy
26.04.2021 um 06:51 Uhr
Moin,

und jetzt noch Deine OpenVPN Config und man könnte tatsächlich helfen ;-) face-wink
Aber setz auf der pfSense mal in Deiner OpenVPN Config unter Custom Options

push "redirect-gateway";
und wenn dann die Namensauflösung noch nicht klappt:
push "dhcp-option DNS 1.1.1.1"

-teddy
Bitte warten ..
Mitglied: aqui
26.04.2021, aktualisiert um 10:21 Uhr
über eine andere VPN-Verbindung zu Nord-VPN.
Oha... zu solchen Security Gruseldingen ist ja mittlerweile alles gesagt:
https://administrator.de/forum/haltet-vpn-649679.html
Für vernünftige Menschen ein NoGo...aber egal...andere Baustelle.
Aber setz auf der pfSense mal in Deiner OpenVPN Config unter Custom Options
Dafür gibt es in OpenVPN Setup der pfSense einen Haken so das es nicht erforderlich ist.
und jetzt noch Deine OpenVPN Config und man könnte tatsächlich helfen
Genau DAS ist der Knackpunkt ! ;-) face-wink
Man kann hier nur raten das das interne OpenVPN Netz vermutlich in irgendeiner der Firewall Regeln hängen bleibt oder der DNS Server für den Tunnel nicht richtig gesetzt wurde so das DNS Auflösungen scheitern.
Essentiell wäre hier mal die Konfig, wie oben schon richtig bemerkt, und mit dem o.a. HE.net Tools mal ein Traceroute vom aktiven OVPN Client auf eine öffentliche IP wie z.B. 8.8.8.8
Alles grundelgende Troubleshootimng Schritte auf die man auch ohne Thread mit dem gesunden Administrator IT Verstand kommt. ;-) face-wink
So bleibt auch uns mal wieder nur die Kristallkugel...
Bitte warten ..
Mitglied: cooperraser
26.04.2021, aktualisiert um 12:16 Uhr
Danke schonmal für eure Mühe!!!

Es scheint mir, das die Regel der OpenVPN den Verkehr nach draussen nicht durchläßt...
algemein - Klicke auf das Bild, um es zu vergrößernclient - Klicke auf das Bild, um es zu vergrößernerweiterte - Klicke auf das Bild, um es zu vergrößernkrypto1 - Klicke auf das Bild, um es zu vergrößernkrypto2 - Klicke auf das Bild, um es zu vergrößerntunnel - Klicke auf das Bild, um es zu vergrößernopenvpn regel - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: altmetaller
26.04.2021 um 12:10 Uhr
Hallo,

ich bin ehrlich. Als ich NordVPN gelesen habe, war ich raus.

Ganz abgesehen davon, dass es von NordVPN sicher auch einen Android-Client gibt der das Ganze überflüssig macht.

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
26.04.2021, aktualisiert um 12:48 Uhr
Ganz abgesehen davon
Eine IP Adresse als DNS Domain Namen ist natürlich völliger Quatsch. Das sollte man natürlich auf den lokal verwendeten Domain Namen abändern !
Das Routing ist soweit OK. Redirect ist aktiviert was den Client Traffic komplett in den Tunnel routet. Soweit so gut...
Der States Output ist wenig hilfreich.
Viel sinnvoller und zielführender wäre ein HE.net Tools Ping Screenshot vom Androiden bei aktivem OVPN Client auf die 8.8.8.8 und ob das klappt.
Ebenso ein nslookup z.B. auf www.heise.de
Hilfreich, sollte beides scheitern, ggf.auch ein Screenshot des Firewall Logs !!
ACHTUNG:
Hier sollte man vorher in den Log Settings zwingend die Anzeige Reihenfolge ändern:
log - Klicke auf das Bild, um es zu vergrößern
Und...
Die Logs vorher löschen damit man dort nicht zuviel überflüssigen Müll sieht der VOR dem Ping und nslookup Check geloggt wurde !
reset - Klicke auf das Bild, um es zu vergrößern
Simpelste Standard Troubleshooting Schritte auf die man eigentlich auch von selbst mit dem gesunden IT Verstand kommen sollte...
Bitte warten ..
Mitglied: cooperraser
26.04.2021 um 12:44 Uhr
Hallo, den gibt es nur kann ich darüber nicht den datenverkehr filtern, eine Firewall für android hatte ich geht leider nur eine VPN-Verbindung auf dem Handy

Und ein freies Android ohne Google ist noch nicht richtig produktiv
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...