Hallo zusammen mein Opnsense läuft erst mal in einer kleinen Grund Konfiguration.
Ich würde gerne erst mal mein vpn Server weiter nutzen ich bekomme eine Verbindung aufgebaut und sieht auch so weit gut aus. Aber ich komm nicht an Server
In der Firewall blinkt nichts rot auf.
(https://uploads.tapatalk-cdn.com/20181008/98a807f54a082450a1eababe7657d0e7.png)
Gesendet von iPhone mit Tapatalk
Ich habe einiges versucht aber komme auf keine Lösung. Ich sende mal noch weitere Infos:
Firewall:NAT:Port Forward
If Proto Address Ports Address Ports IP Ports Description
WAN UDP * * WAN address 1194 (OpenVPN) PI_Treppe 1194 (OpenVPN) OpenVPN
Rules WAN
Proto Source Port Destination Port Gateway Description
IPv4 UDP * * PI_Treppe 1194 (OpenVPN) * NAT OpenVPN
routen am VPN PI
route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default opnsense.local 0.0.0.0 UG 202 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun2
10.8.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun1
192.168.10.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0
wo habe ich vergessen was einzutragen oder falsch eingetragen?
Edit: Ein Trace route von opensense an Client IP geht auch:
traceroute to 10.8.0.2 (10.8.0.2), 18 hops max, 40 byte packets
1 192.168.10.121 0.613 ms 0.400 ms 0.379 ms
2 * 10.8.0.2 97.508 ms 51.804 ms
DANKE für eure Hilfe.
Aloha!
> Firewall:NAT:Port Forward...
daran wirds wohl nicht scheitern, denn dein Mobile Screenshot zeigt ja eine aufgebaute Verbindung mit 10.8.0.2 - ergo hat sich der Client verbunden und eine IP bekommen.
> WAN UDP * * WAN address 1194 (OpenVPN) PI_Treppe 1194 (OpenVPN) OpenVPN
Wenn ich das lese muss ich mich fragen: HÄ?
Also was ich da rauslese ist, dass du OpenVPN weiterleitest auf einen PI(?) auf dessen OpenVPN Server?
Warum nutzt du nicht den der OPNsense?
Da du weiter Null Informationen lieferst, wie das LAN/WAN der OPNsense bzw. das LAN des PIs ist (192.168.10.x?) und welchen Server du erreichen willst mit der Bezeichnung "ich komm nicht an Server" - ist darüber hinaus leider alles weitere stumpfe Raterei.
Gruß
Quote from: JeGr on October 09, 2018, 11:14:55 AM
Aloha!
> Firewall:NAT:Port Forward...
daran wirds wohl nicht scheitern, denn dein Mobile Screenshot zeigt ja eine aufgebaute Verbindung mit 10.8.0.2 - ergo hat sich der Client verbunden und eine IP bekommen.
> WAN UDP * * WAN address 1194 (OpenVPN) PI_Treppe 1194 (OpenVPN) OpenVPN
Wenn ich das lese muss ich mich fragen: HÄ?
Also was ich da rauslese ist, dass du OpenVPN weiterleitest auf einen PI(?) auf dessen OpenVPN Server?
Warum nutzt du nicht den der OPNsense?
Da du weiter Null Informationen lieferst, wie das LAN/WAN der OPNsense bzw. das LAN des PIs ist (192.168.10.x?) und welchen Server du erreichen willst mit der Bezeichnung "ich komm nicht an Server" - ist darüber hinaus leider alles weitere stumpfe Raterei.
Gruß
Danke für die Anfrage welche Informationen fehlen. Der pi hat die iP 192.168.10.121 und betreibt einen eingerichteten OpenVPN. Zukünftig wird opnsense die anderen Server ablösen aber erst nach und nach.
Wan läuft über PPPOE mit öffentlicher iP.
LAN ist 192.168.10.x/24
DHCP und DNS Läufen noch auf einem anderen Server 192.168.10.111
Was nicht läuft über VPN vom iPhone siehe Screen interne Webseiten aufrufen oder ssh Verbindungen aufbauen zudem Servern im (noch) LAN
Ich tippe auf ein Routen Problem nur sehe nicht wo
Gesendet von iPhone mit Tapatalk
Dein Problem wird höchstwahrscheinlich dein DHCP Server sein, da der auch noch auf einer anderen Kiste läuft. Ich mutmaße mal, der DHCP gibt allen Kisten im Netz die .10.x der Sense als Default Gateway? Dein eingewählter Client hat die 10.8.x - ist lokal nicht bekannt -> Default Route wird genutzt -> OpnSense. Die kennt die Route nicht, 10.x wird nicht ins WAN geroutet, Paket verworfen und somit Game Over.
Entweder musst du für das per VPN vergebene Netz jetzt auf jedem Client/Server die Route manuell setzen, dass der PI für das Netz zuständig ist oder auf der OPNsense eine statische Router für 10.8.x.0/24 auf den Pi erstellen, damit der Kram wieder dort ankommt.
Das ist übrigens auch mit ein Grund (asymmetrisches Routing und Probleme dadurch), warum man es meist vermeidet, VPN auf extra Kisten zu packen, da man sonst genau diese Routen Pflegerei mit am Start hat (zumindest in kleinen Netzen, in großen ist das eh eine andere Geschichte).
Gruß
Danke für die umfassende Erläuterung.
Der dhcp Server hat als SGW die Opnsense eingetragen. Ich glaube langsam wird mir auch klar warum der VPN nicht funktioniert und iP Telefonie auf der fritzbox nicht gescheit will. Komisch ist nur sobald die fritzbox die Stelle der opnsense einnimmt also dsl aufbaut und auch die iP bekommt x.10.254 läuft VPN. Oh beim Schreiben die Lösung der VPN sendet dann ja alle Paket an fritzbox und die ins netzt .
Nun muss ich mir mal überlegen wie ich den dhcp Server configurieren muss das alles funktioniert. Wenn ich die fritzbox wieder gegen opnsense Tausche [emoji848][emoji848]
Edit:
Einstellung dhcp Server
(https://uploads.tapatalk-cdn.com/20181009/3c9ce101ac7237a23f853ebc2727e0e9.jpg)
Wo bzw wie trage ich statische Routen bei opnsense ein?
Gesendet von iPhone mit Tapatalk
Warum machst dus dir so schwer?
1) OpenVPN auf den Sense
2) DNS/DHCP auf die Sense
Fertig und gut ist. Warum sollen das 2 andere Kisten unnötig machen?
Ansonsten auf der OPNsense das Netz der VPN Verbindung 10.8.x.x auf den PI zeigen lassen. Dann ist gut.
Einfach unter System / Gateways / Single den PI anlegen und dann unter System / Routes / Configuration die Route anlegen.
Zu 1
Habe noch keine Anleitung gefunden die auch Verbindung von meinem Handy zulässt. Die Anleitungen die ich getestet habe, bekam ich keine Verbindung wegen nicht unterstützten Zertifikaten.
Zu2
Später soll es so sein wen die Geräte in die passenden Netze gezogen sind.
Danke für die Information mit der Route werde ich später oder morgen testen und mich mit dem Ergebnis zurück melden.
Gesendet von iPhone mit Tapatalk
1) Nicht unterstützte Zertifikate? Da gibt es eigentlich jetzt keinen Grund zu, es sei denn das Server Zert wurde ggf. falsch ausgestellt (kein Server Flag o.ä.) aber das ganze ist via Wizard oder auch selbst relativ einfach zusammengeklickt. Und wenn es mit Zertifikat partout nicht geht, kann man auch erstmal nur mit User/PW testen.
2) Gut, dann sollte der DHCP auf jeden Fall aus sein.