OPNsense blockt UDP Datenpakete trotz pass Regel (VPN)

[LukeMcM]

Hallo,

wie oben beschrieben habe ich ein Problem mit OPNsense in Verbindung mit OpenVPN.
Kurz zu den Gegebenheiten:

Die OPNsense läuft hinter meinem DSL Router.
Das WAN hat die Adresse 192.168.X.0/24 und das LAN die Adresse 192.168.Y.0/24

Auf dem Router wird der Port 1194 (UDP) erfolgreich an die OPNsense weitergeleitet.
Die VPN Verbindung erfolgt über die DynDNS Adresse. Das funktioniert auch soweit, sie wird richtig aufgelöst.
(Das gleiche Szenario habe ich in der Vergangenheit schon einmal erfolgreich mit einem RasPi als OpenVPN Server realisiert.)

Der VPN Server auf der OPNsense wurde strikt nach Dokumentation des opnsense wikis erstellt (ohne 2FA Authentifizierung).


Alle laut Doku erforderlichen Firewall Regeln wurden angelegt.


Nun das Problem:

Verbinde ich mich per Android Smartphone via OpenVPN erhalte ich beim Client eine Timeout Meldung (Poll Server Timeout).
Im Firewall Log der OPNsense kann ich sehen, dass auf dem WAN Interface alle eingehenden UDP Verbindungen auf Port 1194 trotz der im WAN angelegten Firewall Regel durch eine "Default Deny Rule" geblockt werden.
Ich kann mir allerdings keinen Reim darauf machen, wo diese Regel verzeichnet sein soll.
Auf dem WAN Interface gibt es genau eine Regel:

Proto: IPv4 UDP; Source: *; Port: *; Destination: *; Port: 1194(OpenVPN); Gateway: *; PASS

Auch "Block private Networks" ist auf dem WAN Interface ist deaktiviert.

Als ich dann aus Verzweiflung auf jedem Interface alles freigegeben habe, war im Protokoll weder eine zugelassene noch eine abgelehnte Verbindung zu sehen.

Mache ich hier etwas grundsätzlich falsch und sehe den Wald vor lauter Bäumen nicht oder ist das ein tieferliegendes Problem?


Ich bin für jede Hilfe dankbar!

[franco]

Hi,

Unter Advanced kann man bei der VPN Regel das State Tracking auf "sloppy" oder "none" stellen. alls das nicht hilft greift die Pass Regel nicht korrekt. Falls es hilft ist irgendwo ein Loop im Setup.


Grüsse
Franco

[LukeMcM]

Hallo Franco,

vielen Dank für die Antwort!

Das habe ich auch schon probiert, aber leider ohne Erfolg.
Ich habe schon ziemlich viel Zeit in Recherche investiert und den VPN Server schon zweimal neu (inkl. CA und Certs) aufgesetzt.  Zudem ist es nicht das erste mal, dass ich das mache. Vorher halt immer mit pfsense.
Ich bin wirklich am verzweifeln. Glaube ich werde die OPNsense mal auf "Werkseinstellungen" zurücksetzen.

[micneu]

Sorry die Frage, ich hatte es mal das nach vielen Versuchen es nicht wollte, nach einem erbot ging es danach. Hast du deine. Box mal neugestartet?


Gesendet von iPad mit Tapatalk Pro

[LukeMcM]

Hallo micneu,

die Frage ist durchaus berechtigt!

Aber ich habe sowohl die Box (APU2D4 Board) mit OPNsense als auch den Router (mehrmals) neugestartet.

[chemlud]

Screenshots von den FW-Regeln auf WAN und openVPN? ;-)

Die Konfiguration des Servers ggf.?

[LukeMcM]

Leider nicht schneller dazu gekommen, aber hier die Screenshots:

[fabian]

Kannst du mal versuchsweise Destination auf "This Firewall" stellen - ist ein Kernel-Alias für alle der Firewall zugewiesenen IP-Adressen.

[chemlud]

Hmmm, das How-to sagt

"Dynamic IP" leave unchecked...

https://wiki.opnsense.org/manual/how-tos/sslvpn_client.html

Sonst sehe nur noch dein lokales Netzwerk, ist das wirklich das eingetragene /24? 

[LukeMcM]

Hmmm, das How-to sagt

"Dynamic IP" leave unchecked...

https://wiki.opnsense.org/manual/how-tos/sslvpn_client.html

Sonst sehe nur noch dein lokales Netzwerk, ist das wirklich das eingetragene /24?

Ja ist es wirklich.

Habe den Haken jetzt rausgenommen (war im Standard drin) und auch den erwähnten Vorschlag mit der Destination "this Firewall" eingestellt, allerdings ohne Erfolg. Pakete werden weiterhin geblockt. 

[micneu]

ich habe mir deinen ersten post nochmal durchgelesen, hast du unter Interface --> "Dein WAN Interface"
den hacken bei "Block private network" entfernt?

[LukeMcM]

@micneu

Ja, habe ich.

[LukeMcM]

Ich weiß nicht, ob es was damit zu tun hat, aber beim einloggen auf die OPNsense wurde mir heute eine Fehlermeldung angezeigt (siehe Screenshot).

Was mich daran auch wundert ist, das vor der Meldung die TimeZone auf "Amsterdam" steht, obwohl sie in den General Settings auf "Berlin" eingestellt ist.

[franco]

https://github.com/opnsense/core/commit/79c657675bd

Wirkt sich aber nicht auf das Setup aus. Ein Nebeneffekt von PHP 7.2 in 19.1.5.


Grüsse
Franco