VPN PfSense und Synology

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

19.02.2016, aktualisiert 20.02.2016, 6185 Aufrufe, 3 Kommentare

Moinsen zusammen!

ich versuche zunehmend verzweifelt, eine VPN Verbindung zwischen einer Synology Disk Station und einer PfSense zum laufen zu bringen, leider bisher erfolglos.

Geplant war: OpenVPN. Synology ist Server, PfSense ist Client. Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.

Also Fehlerbild: Ping von PfSense LAN-Interface auf Synology: Totesnstille. Ping von PfSense OpenVPN Interface auf Synology: Schnattert.

Finde ums verrecken keine Einstellung, die das bewerkstelligt.

Chris Buechler (wer den Namen kennt...) schrieb vor relativ kurzer Zeit zu einem ähnlichen Fall, dass man aufgrund der Besonderheiten des OpenVPN Protokolls unter "Client Specific Overrides" einen Eintrag "iroute" für das eigene Netz setzen muss. Hat leider nichts gebracht.

http://serverfault.com/questions/448163/trouble-with-site-to-site-openv ...

Auch wenn ich den Server auf der PfSense installiere und die Synology connecten lasse geht es nicht. Fehler: "TLS-Handshake failed". Verschiedene Settings probiert. Erfolglos. Leider im Netz nichts gefunden zu funktionierenden Beispielen.

Eine L2TP/IPSec Verbindung ginge ja auch, fällt aber flach, da ich auf der PfSense global für alle mobilen IPSec Verbindungen Einstellungen ändern muss, mit denen die vorhandenen Clients nicht mehr connecten könnten. (Es gibt nur eine "mobile Clients" Einstellung!)

Spasseshalber mal das olle PPTP ausprobiert: Siehe da, einfach zu konfigurieren (erinnert sich wer) und verbindet auf Anhieb. Das waren Zeiten...

Aber nun: Immer noch nix Netzlaufwerk auf Remote (Synology)

Auf der PfSense natürlich in den Rules PPTP und GRE gesetzt auf WAN. und auf dem PPTP auch eine Regel, die alles erlaubt. Nix. Totenstille. Nur auf dem Interface direkt wieder mal Antworten.

Wollen die mich vera... Ich weiss es grad nicht. Kann ja auch sein, dass ich auf dem dicksten aller Schläuche stehe.
Aber das ist nun wahrlich nicht meine erste VPN Verbindung und die "normale" IPSec Client Einwahl macht ja auch alles, was sie soll.

Evtl. liegt es ja auch daran, dass ich mit der Implementation der Zertifikatrsverwaltung grundsätzlich auf Kriegsfuss stehe, das ist überall komplizierter, als es sein müsste...

Ich weiss es nicht...

Sollte jemand aktiv eine VPN-Verbindung mit Synology und PfSense betreiben, wäre ich für Tips dankbar.

LG
Bug (vormals: Buc)
Mitglied: altmetaller
LÖSUNG 19.02.2016, aktualisiert 20.02.2016
Mal was zum Routing von OpenVPN: Das geschieht bei mir an zwei Stellen:

In der clientspezifischen ccd-Konfigurationsdatei (statische IP!) steht folgendes:

Damit sage ich dem OpenVPN-Serverdienst, auf welchem Client er die Route findet.

In der openvpn.conf habe ich folgendes stehen:

Damit sage ich dem OpenVPN-Serverdienst, dass er den Netzwerkstack vom Server anweisen soll, die Pakete zu Ihm rüberzurouten.

Vielleicht passt das ja zu deiner ursprünglichen Planung?
Bitte warten ..
Mitglied: the-buccaneer
20.02.2016 um 03:04 Uhr
Danke. Das war konstruktiver Input. So kompliziert war es aber am Ende gar nicht.

Mein Fehler war, der Synology in der Client-Einwahl das von der PfSense ausgestellte Client (User-) Zertifikat unterschieben zu wollen. Die will da aber das Serverzertifikat, da sie Clients gar nicht zertifikatbasiert authentifiziert. mindestens nicht über die GUI, man kann es ihr wohl via Shell aufzwingen.

Viel wichtiger ist, in den Logs auf der Pfsense herauszufinden, welche Algorithmen denn von der Synology unterstützt werden.

Es geht wohl nur: BF-CBC 128 bit, SHA-1 und DH 1024 für den Synology OpenVPN Client als Sicherheitseinstellungen.

Wenn man dann noch unter Remote Access: User Auth setzt, rennt das.

Und wenn die PfSense das Routing macht, finden auch all die kleinen UDP und TCP-Päckchen nach Hause. ;-) face-wink

Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist. Offensichtlich müsste man dem OpenVPN Server auf der Synology mitteilen, dass er den Range des "realen" Netzes hinter der virtuellen Client IP auf diese routen soll. Wo das geht, habe ich nicht gefunden. (s.o.)

So long

Bucanero
Bitte warten ..
Mitglied: aqui
23.02.2016, aktualisiert um 11:27 Uhr
Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Sollte nicht so sein und weisst auf einen Konfig Fehler hin ! Was sagt die Routing Tabelle der pfSense ?
Entscheidend ist wie du hier den Server konfiguriert hast, der muss ja per push Kommando die Route an den pfSense Client senden.
Zusätzlich muss auf der pfSense natürlich nch die Regeln auf dem virtuellen OVPN Interface angepasst sein !
Sieht ein bischen nach dem Fehlerbild so aus also ob du das vergessen hast..?
Ahhhrrg...OK ist ja alles gelöst... Wer lesen kann :-D face-big-smile
Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist.
OK, doch noch was...
Das ist kinderleicht. Knackpunkt ist hier WER das Default Gateway für die Clients ist. Ist das ein separater Router im Netz, braucht dieser eine statische Route auf den OVPN Server.
Ist OVPN Server und Router eins entfällt das natürlich.
Kann der separate Router keine statischen Routen musst du auf dem Client eine solche anlegen ala:
route add <ovpn_netz> mask <maske> <gateway_ip_adresse> -p

Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 21 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 16 StundenFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Hardware
COM-Ports verstellen sich immer wieder
gelöst hanheikVor 1 TagFrageHardware6 Kommentare

Hallo, an 3 neuen Windows 10-Rechnern sind Strichcode-Scanner (mit RS232-Schnittstelle) per USB-Com-Adapter angeschlossen. Die anzusprechende Schnittstelle COMx ist jeweils in der Kassensoftware hinterlegt. Leider ...