PfSense - VPN IPsec keine Verbindung von extern

Mitglied: Jensano

Jensano (Level 1) - Jetzt verbinden

28.12.2020, aktualisiert 11:32 Uhr, 996 Aufrufe, 12 Kommentare

Hallo liebe Forenmitglieder,

ich habe mich jetzt mal an meine VPN Konfiguration gemacht und Probleme bei der Verbindung von außerhalb.
Konfiguriert habe ich exakt nach dieser sehr guten Anleitung
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...

Meine Hardware Konfiguration
Telekom Glasfasermodem (Down=100MBít/s ; Up=50MBit/s) > pfSense als Router / Firewall mit PPPoE Einwahl.
Es ist somit keine Kaskade vorhanden und WAN der pfSense sollte über meine öffentliche IP Adresse erreichbar sein.

Problem
Als Test habe ich das Certifikat in ein iPhone installiert und dort den VPN Zugang konfiguriert.
Ich habe zwar keine statische IP aber für den Moment geht es ja auch mit der aktuelle zugewiesenen öffentlichen IP. Diese war 84.150.xxx.xxx.

Wenn ich mit dem iPhone noch mit meinem Hausnetz verbunden bin funktioniert das Verbinden über VPN. Das iPhone und auch die pfSense zeigt eine aktive Verbindung an. Trenne ich das iPhone jedoch vom Hausnetz und versuche mich somit über das iPhone Vodafone 3G Netz einzuwählen klappt es nicht.

In System / Advanced / Firewall & NAT ist zugelassen das VPN automatisch FIrewall Rules erstellen darf welche in /tmp/rules.debug folgendermaßen sichtbar sind.


Frage
  • Was kann ich falsch gemacht haben das ich keine VPN Verbindung von außerhalb bekomme?
  • Meine öffentliche IPv4 Address ist 84.150..., in den VPN Rules wird eine Gateway IPv4 mit 62.155... angezeigt. Was ist der Unterschied und macht das eventuell Probleme?


pfSense so wie im Tutorial konfiguriert. Hier noch einmal als Screenshots

Edit Phase 1
edit phase 1 - Klicke auf das Bild, um es zu vergrößern

Edit Phase 2
edit phase 2 - Klicke auf das Bild, um es zu vergrößern

Mobile Clients
mobile clients - Klicke auf das Bild, um es zu vergrößern

Preshared Keys
preshared keys - Klicke auf das Bild, um es zu vergrößern

Firewall Rule IPsec
firewall rule ipsec - Klicke auf das Bild, um es zu vergrößern

Konfiguration des Certifikates
Diese beiden (Server Zertifikat und die CA) habe ich dann auch in das iPhone importiert. Dies ist im Tutorial aber etwas wiedersprüchlich, da dort gesagt wird man soll das Serverzertifikat importieren, dann aber das man zum CA Reiter soll. Das Serverzertifikat ist jedoch unter certificates.
CA
screenshot_2020-12-28 pfsense mylocal - system certificate manager cas edit - Klicke auf das Bild, um es zu vergrößern
certificates
certificates - Klicke auf das Bild, um es zu vergrößern

Und die Konfiguration des VPN im iPhone (Serveradresse funktioniert natürlich nur solange wie diese aktuell ist)
iphone vpn - Klicke auf das Bild, um es zu vergrößern
Mitglied: Fenris14
28.12.2020 um 08:13 Uhr
Was hast du bei der Einrichtung des Zertifikats für SAN (Subject Alternative Names) hinterlegt? IP-Adresse vom WAN oder LAN? DNS?
Bitte warten ..
Mitglied: Jensano
28.12.2020, aktualisiert um 11:02 Uhr
Hallo Fenris,

das hatteich leider vergessen zu posten. Habe ich oben ergänzt. Ich habe
Common Name (etwas weiter oben als im Tutorial beschrieben) pfSense eingetragen
und unter Alternative Names habe ich die Kombinationen aus dem General Setup eingetragen. Also
  • pfSense
  • mylocal
  • pfSense.mylocal
IP Adresse nicht, da im Tut erwähnt wurde das man dies bei nicht statischer Adresse nicht braucht.
2020-12-28 10_58_44 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Fenris14
28.12.2020, aktualisiert um 14:13 Uhr
Könnte sein das genau das das Problem ist. Wenn du in deinem Zertifikat keinen DNS oder IP der WAN-Schnittstelle angibst und im IPhone dann die IP/DNS einrichtest. Kann das Zertifikat in diesem Fall nicht verifiziert werden.

Deshalb brauchst du entweder ein DynDNS oder eine feste IP, sonst geht es nicht. Dies muss dann wiederum als SAN im Zertifikat konfiguriert werden. In dem Tutorial von aqui steht auch explizit drin, alle möglichen Varianten eintragen! Intern ist es wiederum kein Problem, da du es ja mit "pfsense" ansprichst.
Bitte warten ..
Mitglied: Jensano
28.12.2020 um 15:10 Uhr
Ich habe jetzt zusätzlich bei Alternative Names im Server Certificate die IP Adresse die ich gerade immer noch öffentlich habe eingetragen. Das Zertifikat dann noch mal bei iPsec ausgewählt aber auch damit geht es nicht.
Muss ich denn bei den ganzen Common Names z.B. auch unter Ca was beachten?
Bitte warten ..
Mitglied: aqui
28.12.2020 um 17:41 Uhr
Was steht denn bei dir im pfSense VPN Log wenn du dich mit dem Client verbinden willst ???
Das wäre ja zuerst der erste Anlaufpunkt ?!
Ggf. sollte du das Log VORHER löschen mit Klick auf
reset - Klicke auf das Bild, um es zu vergrößern
Sinnvoll ist auch vorher die Log Reihenfolge zu ändern, damit du nie neuesten Messages immer oben hast:
reihe - Klicke auf das Bild, um es zu vergrößern
Der Logoutput sagt in der Regel im Klartext wo der Fehler ist !
Bitte warten ..
Mitglied: Jensano
28.12.2020, aktualisiert um 19:06 Uhr
Edit:
Ich habe jetzt mal PFBlocker deaktiviert und irgendwie kamen dann Logs mit einer Verbindung. Siehe unten.
Das iPhone zeigt aber über 4G nun kein VPN Zeichen an. Auch kann ich über meinen iPhone Dateibrowser nicht auf meinen Hausserver zugreifen. Er zeigt aber in den Einstellungen im iPhone unter VPN "Verbunden" an.



Ich erhalte keine Logs wenn ich mich mit meinem iPhone versuche über das 4G Netz mit der pfSense zu verbinden. Das iPhone sagt
VPN Connection
The VPN server did not respond

Wenn ich während des Versuches zu connecten den Log aktualisiere kommt da nichts hinzu. Jedoch kommt da auch so andauernd was hinzu wenn ich nicht versuche zu verbinden.
Welcher Log ist jedoch gemeint?
Ich gucke unter Status / System Logs / VPN Da steht nichts drin.
unter Status / System Logs / IPsec steht folgendes:
log ohne pfblocker - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
28.12.2020, aktualisiert um 20:15 Uhr
Das iPhone zeigt aber über 4G nun kein VPN Zeichen an.
Welches iPhone Modell hast du ?
Bedenke das ältere Modelle kein DH Group 14 und SHA256 supporten. Dann solltest du besser auf DH Group 2 gehen. Siehe dazu auch die Anmerkung im Tutorial !
Im Zweifel kannst du auch auf L2TP umstellen, was etwas toleranter ist.
https://administrator.de/knowledge/pfsense-opnsense-client-vpn-l2tp-prot ...
Bitte warten ..
Mitglied: Jensano
29.12.2020, aktualisiert um 10:13 Uhr
iPhone 6s mit iOS 14.3
Scheint ein jahrelanger Bug zu sein das das VPN Zeichen im Mobilen Netz nicht angezeigt wird. Sobald man in ein WLAN geht ist das Zeichen wieder da. DasiPhone zeigt unter den Einstellungen eine aktive VPN Verbindung an und auch die pfSense meldet das mein VPN User online ist.
Da ich nun mit HE.NET Tools meinen Server aus dem 4G über VPN anpingen konnte, habe ich es auch geschafft mit meinem Filebrowser auf dem iPhone auf ihn zuzugreifen - nach dem ich mal Mobile Daten für ihn im iPhone erlaubt habe 🤦‍♂️

Danke für das Tutorial - Endlich Zugriff von überall auf mein Heimnetz

Einige Frage noch
  • Ich wollte das sämtlicher Traffic des iPhone über mein Heimnetz geht. Vom Grundsatz her dachte ich das muss ich irgendwoe auf dem iPhone einstellen. Deinem Tut entnehme ich da anderes. Wo wird diese Entscheidung getroffen was das iPhone über sein eigenes Netz überträgt und was über das VPN also mein Heimnetz?
  • Wenn ich in meinem Heimnetz bin werden über "Port Forward" sämtliche DNS Verbindungen (also an Port 53) an meine pfSense geleitet. Also kann kein Rechner in meinem Netz selber einen eigenen DNS Server anfragen außer den ich auf der pfSense eingerichtet habe. Unter Mobile Clients gibt es ja "Provide a DNS server list to clients". Ist das dann überhaupt nötig? Oder gehen vom iPhone DNS Anfragen über das 4G Netz direkt raus?
  • In welchem Netz ist mein iPhone und auf welches Netz darf es zugreifen? Man gibt einmal bei Mobile User "Provide a virtual IP address to clients". Dann "Provide a list of accessible networks to clients" Unter Phase 2 dann "Network reachable by mobile IPsec clients." Das hört sich irgendwie doppel gemoppelt an. Einmal sage ich ihm welche Networks accessible sind und danach welche Network reachable sind.
  • Was ist wenn ich zwei VLAN von VPN erreichbar machen möchte? ich kann ja nur eines dort auswählen?
  • Mit dem folgenden Zitat sagts du einmal welche Netzte von der pfSense in den Tunnel sollen (erreichbar sind) aber beim nächsten Punkt geht es um den Traffic der von meinem iPhone (Client) kommen würde. Wie sind diese beiden Aussagen zu trennen? Das Feld wird doch nur für eine Seite pfSense oder iPhone (Client) da sein. P.S. mit 0.0.0.0/0 ist mein Server nicht mehr erreichbar. Ich kann gar nichts mehr anpingen im Heimnetz.
Zitat von @aqui:

  • Das Local Network setzt man jetzt wie gewünscht. Normal ist immer “LAN subnet”, also das lokale LAN an der pfSense. Sollen weitere lokale Netzwerke an der pfSense (ggf. VLANs) in den Tunnel geroutet werden, dann werden sie hier eingetragen. (Bsp: 192.168.0.0 /16 routet alle 192.168er Netze in den VPN Tunnel)
  • ACHTUNG: Wer den gesamten Client Traffic in den Tunnel routen will setzt “Local Network” auf “Network”, und gibt 0.0.0.0 als Adresse und /0 für das Subnet ein.

Bitte warten ..
Mitglied: aqui
29.12.2020, aktualisiert um 15:04 Uhr
Scheint ein jahrelanger Bug zu sein das das VPN Zeichen im Mobilen Netz nicht angezeigt wird.
Nein ! Funktioniert hier mit einem 6, 8er und X mit der pfSense Konfig fehlerlos.
Das 6s sollte auch AES 256 und DH Group 14 supporten.
DasiPhone zeigt unter den Einstellungen eine aktive VPN Verbindung an und auch die pfSense meldet das mein VPN User online ist.
Mehr kann man nicht verlangen....works as designed ! 😉
Endlich Zugriff von überall auf mein Heimnetz
Glückwunsch ! 👏 So sollte es sein !
Zu den Fragen:
1.)
Das kommt immer etwas auf den Client und den Server an. Wenn du ein Redirect an der pfSense konfigurierst dann sendet auch der Apple iOS Client generell alles in den Tunnel.
2.)
Das ist völliger Quatsch und eine absolute Fehlkonfiguration. DNS (53) hat im Port Forwarding absolut NICHTS zu suchen. Normal lernt die Firewall dynamisch vom Provider per DHCP Client oder PPPoE ihren DNS Server. Arbeitet sie in einer Kaskade wird der DNS Server (in der Regel dann der davor kaskadierte Router) statisch als DNS eingetragen.
Zudem muss man zwingend den DNS Prozess richtig einstellen auf der Firewall:
  • DNS Forwarder DEaktivieren
  • Dann den DNS Resolver AKTIVIEREN
  • und zwingend dort den Forwarding Mode aktivieren
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Ansonsten ignoriert die Firewall sämtliche DNS Server und fragt statisch immer fest die Root Server !!
Port Forwarding mit DNS ist also generell völliger Quatsch und grundsätzlich falsch.
3.)
In welchem Netz dein iPhone ist siehst du in den TCP IP Settings des Telefons und HE.NET Tools. In welche Netze du darfst kann dir hier ja keiner beantworten, da du es versäumt hast hier mal dein Regelwerk zu posten. Ohne dein pfSense Regelwerk zu kennen braucht man ja die berühmte Kristallkugel um diese Frage zu beantworten, denn das Regelwerk bestimmst DU allein ja selber...
4.)
Was ist wenn ich zwei VLAN von VPN erreichbar machen möchte?
Da gibt es 2 Optionen:
  • Einmal dein oben angesprochens Gateway Redirect. Also alles in den Tunnel zu routen und damit dann auch alle VLANs erreichbar zu machen.
  • Zum anderen trägst du in den Phase 2 SAs des IPsec Setups einfach noch dein 2tes VLAN ein.
Besser ist aber immer in den SA Credentials eine größere Subnetz Maske zu verwenden und die VLANs intelligent zu subnetten.
Beispiel: Alle deine VLANs haben einen /24er Prefix und liegen im Bereich 172.16.x.0 wobei x die VLAN ID ist. Dann kannst du in der IPsec SA einfach einen 16 Bit Prefix angeben beim remoten Netz also 172.16.0.0 /16 (255.255.0.0) und dann wird sämtlicher Traffic in alle 172.16er Netze in den Tunnel geroutet also alle deine VLANs.
Bitte warten ..
Mitglied: Jensano
29.12.2020, aktualisiert um 14:57 Uhr
2.)
Da gibt es sogar extra Netgate Docs zu.
  • Deaktivieren von Allow DNS Server list to be overiden by DHCP/PPP on WAN (Damit genau nicht die des Providers genommen werden)
  • Deaktivieren von DNS Forworder (Wie du geschrieben hast)
  • DNS Resolver mit Forwarding Mode aktivieren
  • Jetzt könnte aber ein Rechner nicht den per Default zugewiesenen DNS Server meiner pfSense nehmen, sondern man trägt in Windows z.B. selber einen anderen ein. Um das zu verhindern musst du doch ein Portforwarding einstellen. Sprich wenn der Rechner gerne den Google DNS kontaktieren will und das natürlich über Port 53, dann fang ich das ab und leite diese Anfrage an meinen DNS auf der pfSense weiter. Wie in der Netgate doc.

3.)
Das meinte ich etwas anders. In den Rules Firewall Rules für IPsec der pfSense ist ein simples "Any" konfiguriert. Ja jetzt kann man einfach antworten das man damit überall hin darf, was ja auch richtig ist. Ich möchte das aber als Kombination aus Was dürfte ich und Was ist verfügbar sehen. Dazu würde ich gerne diese Einzelheiten verstehen:
  • Provide a virtual IP address to clients Was würde sein wenn ich das nicht mache? Was hat das für einen Zweck für meine Verbindung?
  • Provide a list of accessible networks to clients Wozu macht man das? Was hat man davon? Wenn der Client auf ein Netz zugreifen darf dann reicht das doch. Ich weis das ja. Aber warum muss man explizit dies dem Client mitteilen? Wenn ich das abhake kann ich trotzdem meinen Server zu Hause anpingen welcher im VLAN was ich unter Phase 2 eingestellt habe sitzt.
  • Unter Phase 2 dann "Network reachable by mobile IPsec clients" Verstehe ich das richtig das dies jetzt von der pfSense Seite aus in den Tunnel geroutet wird? Und wenn dann auch noch in den Firewall Rules von IPsec die Verbindung zu diesem Netzt erlaubt ist, kann ich drauf zugreifen?
  • Unter Phase 2 dann "Network reachable by mobile IPsec clients" Noch mal dazu. Ich sage damit doch schlicht welche Netze von der pfSense in den Tunnel geroutet werden und damit von den Clienten erreichbar sein könnten. Du beschreibst aber einmal das ich damit den gesamten Verkehr vom Client (iPhone also) über die pfSense leiten kann. Die Einstellung ist doch aber nur dafür da was von der pfSense Seite aus geroutet wird oder nicht?

4.) Verstanden. Ist ja logisch. Ich kann ja einfach einen zweiten Eintrag bei Phase 2 erstellen und somit VLAN 50 und VLAN 70 z.B. in den Tunnel routen.
Bitte warten ..
Mitglied: aqui
29.12.2020 um 15:14 Uhr
(Damit genau nicht die des Providers genommen werden)
Aber genau DIE will man ja wegen der geringen Laufzeiten verwenden. Schnüffel DNS ala Google 8.8.8.8 macht ja kein normaler Mensch.
Und auch wenn solange man den Resolver bzw. Forwarder nicht customized wird gar nichts benutzt weder statisch noch DHCP oder PPPoE sondern immer rein nur die Root Server die in der Firmware hardgecodet sind.
Port Forwarding hat mit dem DNS Setup nicht das Geringste zu tun. Das ist sogar fatal wenn man damit ein Loch in die Firewall bohrt.
ein Rechner nicht den per Default zugewiesenen DNS Server meiner pfSense nehmen, sondern man trägt in Windows z.B. selber einen anderen ein.
Mit "per Default" meinst du per DHCP ?? Dort trägt sofern man es nicht cistomized die pfSense ja immer sich selber ein. Clients bekommen also immer die lokale pfSense IP als DNS, logisch, denn die Firewall arbeitet als DNS Proxy.
Wenn man das verhindern will das lokale Clients sich selber böse DNS Server eintragen sei es statisch oder wie auch immer, dann erzeugt man ein entsprechendes Regelwerk am LAN Port indem man UDP oder TCP 53 Traffic rein nur auf die pfsense IP zulässt ihn aber zu anderen Destinationen blockt.
Fertisch !!!
Noch viel besser macht man das mit einem DNS Filter auf der pfSense wie pfBlocker NG
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Oder mit einem PiHole im lokalen Netz als DNS Server:
https://administrator.de/knowledge/raspberry-pi-zero-w-pi-hole-adblocker ...
Port Forwarding für Port 53 ist der falsche Weg und zudem völlig unsinnig weil das nix mit DNS zu tun hat.
Provide a virtual IP address to clients Was würde sein wenn ich das nicht mache? Was hat das für einen Zweck für meine Verbindung?
Ein IP Client braucht ja nun einmal eine gültige IP Adresse um überhaupt kommunizieren zu können in einem IP Netz. Wie sollte es ohne gehen ??
Lass es mal weg, dann siehst du doch was passiert... ;-) face-wink
Provide a list of accessible networks to clients Wozu macht man das? Was hat man davon?
Security
Verstehe ich das richtig das dies jetzt von der pfSense Seite aus in den Tunnel geroutet wird?
Richtig verstanden...
Bitte warten ..
Mitglied: Jensano
29.12.2020, aktualisiert um 21:14 Uhr
Was hat dann aber Network reachable by mobile IPsec clients damit zu tun was com Clienten durch das VPN geht?
Wie geschrieben wenn ich da 0.0.0.0/0 eintrage kann ich gar nichts mehr vom iPhone aus auf meiner pfSense Seite erreichen.

Geht zwar am Thema vorbei aber zum DNS
Ich finde das mit dem Forwarding hat die Vorteile das DNS immer so funktioniert wie ich es will. Wenn ich das per Rule blocke dann geht es doch einfach nicht wenn jemand den nicht erlaubten Weg nutzen sollte oder ein Programm das einfach selber macht. Auch mit pfblocker wird das geblockt. Mit Forwarding bleibt die Funktion erhalten, wird jedoch immer auf den von mir vorgegeben Weg geleitet.
Ja per Default wird für den DNS Server die Subnetadresse genutzt.
System / General Setup / DNS Server Settings
Da habe ich die quad9 Server gnommen. Die beherschen auch auch DNS over TLS was ich ebenfalls im DNS Resolver aktiviert habe. Keine Ahnung ob das die Provider DNS Server auch können. Bei mir funktioniert das tadellos.
Wie gesagt kommen die Beschreibungen aus den Netgate docs wo ich mich lange eingelesen habe. Hier meine Konfig dazu.
2020-12-29 20_26_32 - Klicke auf das Bild, um es zu vergrößern

2020-12-29 20_27_44 - Klicke auf das Bild, um es zu vergrößern

2020-12-29 21_13_38 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 10 StundenFrageWindows Server15 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...