OPNsense Forum

Hi,

ich habe ein Problem mit OpenVPN und der Firewall. Ich habe den OpenVPN Server mit der Anleitung von Thomas Krenn eingerichtet. (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten))

Jedoch bekomme ich auf dem Client nur einen Zeitüberschreitungs Fehler. Wenn ich im OPNsense die Firewall komplett deaktiviere, kann ich ohne Probleme eine VPN Verbindung aufbauen. Die WAN und OpenVPN Regeln, habe ich entsprechend der Anleitung eingerichtet.

Ich bin im Moment ein bisschen am verzweifeln. In den Logs ist nicht zu erkennen, das irgendwas blockiert wurde.

Vielen Dank schon mal.

Gib mal die VPN ports am VPN Server frei.

Wenn der Tunnel steht und du nicht durch kommst, würde ich mal ne Floating rule machen, und den Traffic zu erlauben.

Moin, kannst du mal deine Konfiguration von deinem OpenVPN Server Posten und die Firewall einstellung von deinem WAN interface.
Wie kommst du ins Internet, hast du an deinem WAN ein MODEM?

Hi,

Quote from: fabian on December 31, 2019, 08:45:12 PM
Gib mal die VPN ports am VPN Server frei.

Wenn der Tunnel steht und du nicht durch kommst, würde ich mal ne Floating rule machen, und den Traffic zu erlauben.

Bei aktivierter Firewall, kann ich keinen Tunnel aufbauen. Ich bekomme am Client nur einen Zeitüberschreitungsfehler.

Am WAN ist eine Unitymedia Connect Box angeschlossen. Aktuell habe ich den VPN Client mit an die Conect Box angeschlossen. Den Zugriff über das Internet wollte ich erst im zweiten Schritt einrichten.


                       WAN
                        :
                        : CableProvider (UnityMedia)
                        :
                 .------+------.
             WAN |    MODEM    |
                 | ConnectBox  |
                 '------+------'
                        |
               Ethernet |          .-------------.
                        +----------+  VPN Client |
                        |          '-------------'
                        |
                    LAN | 192.168.0.1/24
                        |
                   .----------.
                   | OPNsense |
  192.168.0.143/24 '----+-----'
                        |
                    LAN | 192.168.1.1/24
                        |
                  .-----+------.
                  | LAN-Switch |
                  '-----+------'
                        |
                ...-----+-----...
                (Clients/Servers)


WAN Firewall Regel:

Aktion:             Erlauben
Schnittstelle:      WAN
Richtung:           in
TCP/IP Version:     IPv4+IPv6
Protokoll:          TCP
Quelle:             jegliche
Ziel:               WAN Adresse
Zielportbereich:    OpenVPN


VPN Server Konfiguration:

Servermodus:            Remotezugriff SSL/TLS + Benutzerauthentifizierung
Backend:                Lokale Datenbank
Protkoll:               TCP
Gerätemodus:            tun
Schnittstelle:          WAN
Lokaler Port:           1194
Zertifikatseinstellungen ...
IPv4 Tunnelnetzwerk:    10.15.0.0/24
Lokales IPv4-Netzwerk:  192.168.1.0/24
Adresspool:             ausgewählt


Die Kryptografischen Einstellungen habe ich weg gelassen, wenn diese relevant sind werde ich diese noch ergänzen.

Sicher das der openVPN CLIENT auch versucht TCP zu verwenden? Standard ist doch eher UDP...

Ja der Client nutzt TCP. Ich habe die gesamte Konfiguration auch schon mit UDP getestet, mit dem gleichen Ergebnis.
Wenn ich die Firewall deaktiviere, funktioniert der VPN Tunnel (tcp und udp). Aktiviere ich die Firewall wieder, funktioniert der Zugriff nicht mehr.

...dann müsste auch etwas im log sein (für die default block rule. loggt die bei dir?).

Notfalls noch mal frisch anfangen und als (fast) erstes den Tunnel definieren...

Verstehe ich das richtig:
- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Kannst du mal bitte die einstellung deines WAN-Interface schicken?
Ich bin ein Visueller Mensch. ich habe das gefühl deine WAN Firewall regel ist nicht richtig, nur so als text erkenne ich nicht was da falsch is (ich schaue lieber bilder von der konfig)
ich hänge mal meine Firewall regel für OpenVPN als bild an.

Quote...dann müsste auch etwas im log sein (für die default block rule. loggt die bei dir?).

Auf dem WAN-Interface habe ich den Punkt "Blockiere private Netze" deaktiviert. Im Log taucht nur die selbst angelegte VPN Regel mit "allow" auf.

Quote- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Genau der Kabel Router ist mein Internet Zugang.

Ich habe meine Firewall-Regel als Bild angehängt. Aber auf den ersten Blick, sieht das identisch aus (ausgenommen Port und Protokoll).

Quote from: micneu on January 01, 2020, 07:59:38 PM
Verstehe ich das richtig:
- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Kannst du mal bitte die einstellung deines WAN-Interface schicken?
Ich bin ein Visueller Mensch. ich habe das gefühl deine WAN Firewall regel ist nicht richtig, nur so als text erkenne ich nicht was da falsch is (ich schaue lieber bilder von der konfig)
ich hänge mal meine Firewall regel für OpenVPN als bild an.

...Klassiker: source und destination port verwechselt?

QuoteIm Log taucht nur die selbst angelegte VPN Regel mit "allow" auf.

..dann würde ich nochmal frisch anfangen...

Quote...Klassiker: source und destination port verwechselt?

Ich habe folgende Einstellung:

Quote
Quelle: *
Port: *
Ziel: WAN Adresse
Port: 1194 (OpenVPN)

ich wusste das da was nicht stimmt.... na dann viel spaß noch

Das ist die Einstellung, die ich im Moment habe und die nicht funktioniert.

Mach bitte nochmal ein paar Screenshots von deiner OpenVPN Konfig, den Regeln auf WAN und den Interface Einstellungen.

Danke.

Sorry für die späte Antwort.

Mir ist jetzt nichts ins Auge gesprungen, was auf anhieb falsch wäre.
Bitte schalte aber mal die Hardwareunterstützung und die Komprimierung für den Test aus.

Ansonsten würde ich auf dem OpenVPN Interface mal ein Paket-Caputure laufen lassen wenn ein Client verbunden ist, und evtl. dort dann noch zum Testen erstmal eine ANY to ANY, obwohl die Regel die du hast "eigentlich" gut aussieht.

Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Das sollte ggf. mal mit nem Handy getestet werden.

PS: Ich kann mich dunkel an irgendwelche Probleme mit rdrand erinnern die spezielle CPUs betreffen. Es kann sein, dass du das besser nicht nutzt wenn deine betroffen ist.

Ach stimmt, wenn ich mir das Netzwerkdiagram angeschaut hätte wäre es klarer geworden wo der Hase im Pfeffer liegt.

-Update-

Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?

Quote from: fabian on January 08, 2020, 10:17:28 PM
Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Der VPN-Client befindet sich im WAN Netzwerk.

Quote from: banym on January 09, 2020, 01:54:54 PM
Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?

Der Client hat eine IP aus dem 192.168.0.0/24 Netz. Die Regeln für RFC1918 und Bogon sind auf der WAN Schnittstelle deaktiviert.

Foto vom WAN-Interface bitte.

Mach mal bitte auf dem WAN Interface der OPNsense ein Packet-Capture während eines Verbindungsvesuchs und davon dann ach einen Screenshot der Pakete. Der Übersichtlichkeit halber bitte nur UDP 1149 auswählen.

Dann sollte man die Pakete vom Client auf die FW ja sehen.

Ein Bild von der WAN Konfiguration habe ich angehängt.

Protokoll:

WAN re1 15:51:53.523828 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:53.524575 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:53.524817 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:55.829423 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.829578 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.837648 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:55.837899 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:55.838023 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:58.599468 ARP, Request who-has 192.168.0.143 tell 192.168.0.17, length 46
WAN re1 15:51:58.599496 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:58.599599 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:59.323692 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.323844 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.331948 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:59.332205 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:59.332325 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:52:07.217954 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:07.218339 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:07.218460 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.195749 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:23.196052 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.196207 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98