istike2
28.10.2011, aktualisiert am 18.10.2012
view12627
view6
0
Goto Top

Statischer Route für OpenVPN auf pfSense

gelöstFrageWindows NetzwerkMicrosoft
Hallo,

ich habe jetzt anhand dieses Threads OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

eine OpenVPN-Verbindung aufgebaut. Hier ist der Log des Clients:


Fri Oct 28 18:49:10 2011 OpenVPN 2.2.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] [IPv6 payload 20110521-1 (2.2.0)] built on May 21 2011
Fri Oct 28 18:49:10 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Oct 28 18:49:10 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Oct 28 18:49:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Oct 28 18:49:10 2011 Control Channel Authentication: using 'pfsense-udp-1194-tls.key' as a OpenVPN static key file
Fri Oct 28 18:49:10 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:10 2011 LZO compression initialized
Fri Oct 28 18:49:10 2011 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Oct 28 18:49:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Oct 28 18:49:10 2011 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Oct 28 18:49:10 2011 Local Options hash (VER=V4): '272f1b58'
Fri Oct 28 18:49:10 2011 Expected Remote Options hash (VER=V4): 'a2e63101'
Fri Oct 28 18:49:10 2011 UDPv4 link local (bound): [undef]:1194
Fri Oct 28 18:49:10 2011 UDPv4 link remote: xxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:10 2011 TLS: Initial packet from xxxxxxxxxxxxxx:1194, sid=xxxxxxxxxxxxx
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=1, /C=DE/ST=Deutschland/L=xxxxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY X509NAME OK: /C=DE/ST=Deutschland/L=xxxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:10 2011 VERIFY OK: depth=0, /C=DE/ST=Deutschland/L=xxxxxxxxx/O=xxxxxxxxxxxxxxx=xxxxxxxxxxxxxxxxxxxxxxxxx/CN=internal-ca
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 28 18:49:11 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 28 18:49:11 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Oct 28 18:49:11 2011 [internal-ca] Peer Connection Initiated with xxxxxxxxxxxxxxxxx:1194
Fri Oct 28 18:49:13 2011 SENT CONTROL [internal-ca]: 'PUSH_REQUEST' (status=1)
Fri Oct 28 18:49:13 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.1.1.0 255.255.255.0,route 172.16.0.1,topology net30,ping 10,ping-restart 60,ifconfig 172.16.0.6 172.16.0.5'
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 28 18:49:13 2011 OPTIONS IMPORT: route options modified
Fri Oct 28 18:49:13 2011 ROUTE default_gateway=xxxxxxxxxxxxxxxx --> hier stand meine externe IP-Adresse!
Fri Oct 28 18:49:13 2011 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 28 18:49:13 2011 open_tun, tt->ipv6=0
Fri Oct 28 18:49:13 2011 TAP-WIN32 device [LAN-Verbindung 9] opened: \\.\Global\{F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}.tap
Fri Oct 28 18:49:13 2011 TAP-Win32 Driver Version 9.8
Fri Oct 28 18:49:13 2011 TAP-Win32 MTU=1500
Fri Oct 28 18:49:13 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.0.6/255.255.255.252 on interface {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC} [DHCP-serv: 172.16.0.5, lease-time: 31536000]
Fri Oct 28 18:49:13 2011 Successful ARP Flush on interface [44] {F14C7A5C-2979-4FC2-9C28-DC21F003B2DC}
Fri Oct 28 18:49:18 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 10.1.1.0 MASK 255.255.255.0 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 C:\WINDOWS\system32\route.exe ADD 172.16.0.1 MASK 255.255.255.255 172.16.0.5
Fri Oct 28 18:49:18 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 28 18:49:18 2011 Route addition via IPAPI succeeded [adaptive]
Fri Oct 28 18:49:18 2011 Initialization Sequence Completed


Ich erreichen aus meinem lokalen Netz (192.168.1) über (172.16.1) das Remote-Lan (10.1.1). Ich kann auch die GUI von pfSense aufrufen über 10.1.1.250.

Ich erreiche aber keinen anderen Klient im Remote-LAN.

Anhand dieses Threads OpenVPN-Problem DHCP geht, PING nicht (siehe unten!)

würde ich denken, dass ein statischer Route fehlt. Bei pfSense dürfte man so etwas nicht erstellen:

"Note: Do not enter static routes for networks assigned on any interface of this firewall. Static routes are only used for networks reachable via a different router, and not reachable via your default gateway.
" (Siehe System / Static Routes) Ich habe außerdem die IP des Remote-Netzes beim Erstellen des OpenVPN-Servers festgelegt. Es sollte also reichen.

Hat jemand eine Idee was nocht fehlt.

Danke für die Hilfe.


Gr. I.
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 175484

Url: https://administrator.de/forum/statischer-route-fuer-openvpn-auf-pfsense-175484.html

Ausgedruckt am: 15.04.2025 um 12:04 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 28.10.2011, aktualisiert am 18.10.2012 um 18:48:56 Uhr
Goto Top
Typisches Indiz dafür das du vermutlich die Firewall Rule auf dem OpenVPN Port vergessen hast !?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Du musst also insgesamt 2 Firewall regeln erstellen !
Einmal auf dem WAN Port. Das klappt ja bei dir... UND auf dem OpenVPn Port !
Zeigen die Default Gateways der Rechner im lokalen LAN auf die pfSense ?
Da du aus einem Fremdnetz kommt sind die lokalen Firewalls der Endgeräte im LAn entspr. angepasst ? Sonst immer von remote die LAN IP der pfSense anpingen..
Im Zweifelsfall immer ins Firewall Log sehen was geblockt ist.
Auf dem remoten Client checken mit "route print" ob die Routen richtig propagiert werden auf das OVPN Interface.
Traceroute und Pathping sind wie immer deine Freunde....

P.S.: Anonymisier besser den Output oben etwas mehr denn dort stehen Teile deiner Zertifikate die nicht jeder lesen muss !
istike2
istike2 28.10.2011 um 22:14:49 Uhr
Goto Top
Danke sehr. Daran lag es. Bei dem LAN Rule war Destination falsch gesetzt... face-smile

Jetzt kann ich im Browser alle interne GUIs aufrufen (Drucker, Mailserver).

Was noch nicht geht: Freigegeben Verzeichnisse als Netzwerklaufwerk einbinden bzw, die PCs erscheinen nicht unter "Netzwerk"...

Woran kann es liegen?

Gr. I.
aqui
aqui 29.10.2011, aktualisiert am 18.10.2012 um 18:48:56 Uhr
Goto Top
Das ist ein immerwährender Klassiker hier... da solltest du mal die Suchfunktion benutzen !!
Die Netzwerkumgebung wird ohne Domain Controller über UDP Broadcasts im Netzwerk bekannt gemacht. (Name Service).
Wie jeder Netzwerker weiss forwardet ein Router per se aber keine UDP Broadcasts über seine IP Segmente.
Folglich kannst du also die Netzwerk Umgebung nicht "sehen".
Du kommst aber weiterhin problemlos auf die freigegebenen Shares mit Start --> Ausführen \\<ip-adresse>\<share> oder über den Winblows Datei Explorer mit Verbinden und indem du dort dann die IP Adresse des Rechners angibst der das Share freigibt.
Damit du nicht immer die IPs angeben musst kannst du dir die Hostnamen zu den IPs der Rechner und Drucker die die Shares oder Drucker freigeben auch statisch eintragen. So kannst du wieder mit den Namen arbeiten.
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Noch eleganter kannst du das auch über die pfSense direkt lösen, denn in den erweiterten Einstellungen des VPN erlaubt sie auch NetBios Broadcasts (In den TCP NetBios Settings), funktioniert also als sog.UDP Helperund kann so die ungeliebten UDP Broadcasts auch über den VPN Tunnel übertragen.
Damit "siehst" du dann auch wieder die Netzwerkumgebung, hast aber den UDP Broadcast Overhead auf dem VPN Tunnel.
Wenn du damit leben kannst dann kannst du das auch so machen.
Such die die schönste Variante für dich aus !
Um weiteren Threads vorzubeugen: Denk daran bei den Rechnern die CIFS Shares oder Drucker freigeben die lokale Winblows Firewall im DienstDatei und Druckerfreigabe// auf das VPN IP Netz für den Zugriff freizugeben (Bereich) !
istike2
istike2 29.10.2011 um 15:29:29 Uhr
Goto Top
Danke sehr Aqui,

Ich habe am Ende die Option "Enable NetBIOS over TCP/IP".

Du hast wohl dieses gemeint. Ich habe nichts anderes gefunden.

cd3c1de3661d1a842429d3802e8888f0

Gr. I.
aqui
aqui 30.10.2011 um 11:36:19 Uhr
Goto Top
Ja, Bingo ! Richtig. Langsam solltest du dein pfSense aber mal kennen !!
Damit sollte es klappen. Die "Scope" ID sollte freibeliben. Ggf. musst du mit den Node Typen etwas rumspielen aber der "b-node" sollte in einem reinen Broadcast Netz klappen.
Bedenke das es imemr etwas dauert bis die Umgebung sich "aufbaut" (Laut MS Knowledgebase kann es bis zu 40 Min. dauern)
istike2
istike2 31.10.2011 um 14:12:48 Uhr
Goto Top
Danke sehr... Irgendwie wird es schon klappen...

Da wir unsere Domäne auflösen möchten gehe ich mal davon aus, dass wir den pfSense-Router als DNS-Server einrichten müssten. Zum vollständigen Einrichten des neuen Netztes müssen alle PCs in demselben Workgroup sein (auf beiden Seten der VPN) und als primäre DNS-Server-IP muss die des pfSense überall eingetragen werden, oder?

Außerdem müsste Port 53 in FW freigegeben werden oder geschiet die Weiterleitung der DNS-Infos zwischen VPN und LAN automatisch'?

Gr. I.
gelöstFrageWindows NetzwerkMicrosoft
Mehr von istike2istike2Hilfe - Ansible AWX muss neugestartet werdenistike2 - 3 Kommentareistike2Apache ReverseProxy auf Webserver-Folderistike2 - 3 Kommentareistike2Atlassian Crowd als Systemctl Service einrichten und automatisch startbar machenistike2 - 2 Kommentareistike2"Onprem"KI (LLM) im eigenen Unternehmen verwenden - Praxiserfahrungen?istike2 - 2 Kommentare
Heiß diskutiert
BitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 29 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 28 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 25 KommentareHappyHannesPing Spikes im HeimnetzHappyHannes - 17 KommentareYan2021Verhindern, dass ständig eine Verknüpfung auf dem Desktop erscheintYan2021 - 15 KommentarekpunktSQL 2022 Standard richtig lizensieren (wieder mal)kpunkt - 15 KommentareStefanKittelIdeen für ein zukünftiges IT-Setup für mich sammelnStefanKittel - 14 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareludibubiKein Zugriff über RDP auf Win11-Rechner. Anmeldung nicht möglichludibubi - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentareFischi71Exchange Online 3 BenutzerFischi71 - 12 KommentaredertowaMicrosoft 365 Family Abonnementteilung außer Gefecht?dertowa - 12 Kommentare