daniel.hufer
Goto Top

Portweiterleitung über 2 Router?

hi,

folgende Konstsllation habe ich:

WAN, o2Router --> Fritzbox --> Pfsense

OpenVPN ist richtig auf der pfsense eingerichet, und vom o2 Router aus getestet.
Port 8888 TCP ist in Fritzbox als Portfreigabe für Pfsense eingerichtet. Das selbe habe ich
in der o2 Box auch gemacht, also port 8888 TCP frei gegeben.
Vom Internet komme ich aber leider nicht druch. Mache ich da ein Fehler, oder werden die Pakete
grundsätzlich nur einmal weiter geleitet?

Content-Key: 537351

Url: https://administrator.de/contentid/537351

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: ChriBo
ChriBo 19.01.2020 um 21:17:04 Uhr
Goto Top
Hi,
Bist du dir mit Port 8888 und TCP sicher?
"Standard" für OpenVPn wäre: =2router UDP/1194 ->Fritzbox UDP/1194, dann Fritzbox UDP/1194 -> pfSense UDP/1194
auf der pfSense Regel auf der WAN seite nicht vergessen und "Block RFC 1918" nicht aktivieren.

Gruß
CH
Mitglied: Daniel.Hufer
Daniel.Hufer 19.01.2020 um 21:26:42 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
Bist du dir mit Port 8888 und TCP sicher?
Port ist eigentlich egal, denn kann ich in OpenVPN selber wählen, vpn alleine geht ja.

Habe es auch mit 443 TCP probiert, geht auch, aber von außen komme ich nicht durch? Die o2 Box leitet es wohl
nicht druch?
Mitglied: aqui
aqui 19.01.2020 um 21:49:47 Uhr
Goto Top
Das selbe habe ich in der o2 Box auch gemacht, also port 8888 TCP frei gegeben.
Wie ??
Das musst du in Schritten machen:
  • O2 Router muss TCP 8888 auf das Koppelinterface (WAN) der FritzBox forwarden.
  • FritzBox muss TCP 8888 auf den WAN Port der pfSense forwarden.
Wichtig:
Blocken der RFC 1819 IP Netze auf dem WAN Port der pfSense muss entfernt werden ! (Haken entfernen !)
Regel zum Passieren von TCP 8888 von any auch die WAN IP Adresse pfSense muss eingerichtet sein !

Nochwas:
TCP als Encapsulation zu verwenden ist höchst unglücklich und sollte man niemals machen. Auch das offizielle OVPN HowTo rät dringenst davon ab.
Der Overhead ist immens und meist geht das einher mit MTU Probleme. Die VPN Performance ist damit grottenschlecht. Deshalb sollte man immer UDP als Encapsulation wählen wann immer möglich.
Die o2 Box leitet es wohl nicht druch?
Das kann man immer ganz einfach selber testen.
Ziehe die FritzBox ab und stecke einen PC mit aktivem Wireshark und gleicher IP wie die FritzBox an.
Dann machst du von extern einen OVPN Connect Versuch.
Jetzt muss der Wireshark dir eingehende OVPN TCP 8888 Pakete anzeigen von deiner öffentlichen IP des Clients.
Siehst du nix, funktioniert das Port Forwarding der O2 Kiste nicht !
Genau so kannst du auch hinter der FritzBüx testen !
Alles Wissenswerte zum Thema Port Forwarding in Router Kaskaden wie immer hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Du solltest dich auch mal ernsthaft fragen was der Blödsinn 2 Router VOR der pfSense Firewall zu kaskadieren soll !
Unsinnige Durchlauferhitzer ! Einen kannst du davon entsorgen, was dann auch die Fehlerproblematik erheblich reduziert ! Und... UDP verwenden !