OPNsense Forum

International Forums => German - Deutsch => Topic started by: hekl on January 30, 2019, 01:02:38 pm

Title: Probleme mit OpenVPN / NAT
Post by: hekl on January 30, 2019, 01:02:38 pm

Hallo,

- ich möchte mich vorab schon mal für das unprofessionelle wirrwarr entschuldigen ;)

- Ich versuche aktuell von Unterwegs (also Handy etc.) via OpenVPN auf mein lokals Netzwerk zuzugreifen.

- DynDNS ist auf der OPNsense eingerichtet und funktioniert.

- In der OPNsense ist ein NAT eingerichtet weil aller LAN-Traffic nach aussen über ein (anderes) VPN läuft.

- Vor der OPNsense steht der Router vom Tel.Anbieter, der hat UDP 1194 freigegeben und zugeordnet an die WAN IP der OPNsense.

--> Problem: ich kriege keine Verbindung vom Handy (Android mit OpenVPN Connect).


Folgende Beobachtungen / Tests :

- Bin ich mit dem Handy im WLAN des Routers, kann ich mich problemlos verbinden (über die OPNsense WAN IP, nicht den DynDNS Namen). (Firewallregeln sind dafür eingerichtet.)

- Getestet habe ich auch einen Webserver im LAN, dafür habe ich im NAT eine Portweiterleitung eingerichtet. Zugriff von extern funktionierte. Daraus schließe ich also das die Portweiterleitung etc. im Router schon mal funktioniert.

- Ich habe mich an den beiden Anleitungen orientiert :
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten
https://docs.opnsense.org/manual/how-tos/sslvpn_client.html

--> Verbinde ich mich über die OPNsense WAN IP aus dem Router WLAN, tauchen auch im Firewall Protokoll einträge auf. Verbinde ich mich von extern, sehe ich überhaupt nichts. Daher meine Vermutung das es irgendwie am NAT liegen könnte. Ich habe dort schon diverse Portweiterleitungen ausprobiert, aber nichts hat zu etwas geführt.

Ich hoffe ich konnte es halbwegs darstellen um was es mir geht, sonst bitte fragen. Bin "nur" Laie, der froh ist das die OPNsense sonst so gut funktioniert und er viel bei lernen kann ;)

Code: [Select]

     WAN / Internet
               :
      .-----+-----.   
      |  Router  |  (Router vom Provider 192.168.32.1; Port UDP 1194 offen)
      '-----+-----'   (WLAN vom Router; 192.168.32.0/24)
            |
        WAN
            |
      .-----+------.   WAN 192.168.32.5  .------------.
      |  OPNsense  +-----------------+ OpenVPN Server| (tun = 192.168.100.0/24)
      '-----+------' 
            |
        LAN | 192.168.8.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Title: Re: Probleme mit OpenVPN / NAT
Post by: micneu on January 30, 2019, 03:44:59 pm

so wie ich dich verstehe testest du die WAN (192.168.32.5) die ist nur intern erreichbar.
du solltest im Router vom Tel.Anbieter dyndns einrichten (nicht in der Opnsense) oder den Router vom Tel.Anbieter
umkonfigureiren als bridge. das mit dem port ist so in ordnung (für mich so auf die schnelle)

Title: Re: Probleme mit OpenVPN / NAT
Post by: monstermania on January 30, 2019, 04:16:57 pm

Moin,
zunächst mal würde ich den dyndns auch nach Möglichkeit auf dem Router einrichten.
Grundsätzlich funktioniert das aber auch auf der OPNsense nach einem Router. Musste ich selbst eine Zeitlang so machen, da mein alter O2-Router kein dyndns unterstützte.
Allerdings muss dann dyndns auch als cron job eingerichtet werden, da per default auf der OPNsense nur alle 24h Stunden auf eine IP-Änderung geprüft wird.

Grundsätzliche Frage. Hast Du einen echten ipv4 Anschluss oder einen der sog. DSL-Lite Anschlüsse!?
Weil per DSL-Lite ist dein Router von außen nicht per ipv4 erreichbar.

Gruß
Dirk

Title: Re: Probleme mit OpenVPN / NAT
Post by: theq86 on January 30, 2019, 04:36:07 pm

Anm. d. Red. es heißt DS-Lite  ;)

Title: Re: Probleme mit OpenVPN / NAT
Post by: hekl on January 31, 2019, 08:37:09 am

Weder noch, es ist LTE (sitze im Ausland).

Allerdings - wie ich das sehe - bekomm ich immer die gleiche IP, zumindest habe ich min. die letzten 2 Wochen die gleiche  :D  Per ping ist es erreichbar, und der Webserver war auch über den DynDNS Namen und die IP erreichbar.

Habe den DynDNS jetzt aber mal auf dem Router eingerichtet, der kann ausschließlich No-Ip.com und hatte da die einrichtung bislang verweigert.
Vielleicht ist auch einfach UPD blockiert...man weiß ja nie. Bisher getestet mit netcat  (netcat -z -v -u IP 1194), da sagt er open.

Seit der dyndns auf dem Router läuft wird die VPN Verbindung vom Handy immerhin "direkt" abgelehnt. Vorher hat er anscheinend ~1 Minute versucht den Server zu erreichen....ich werd da mal grad weiter forschen.... 

Title: Re: Probleme mit OpenVPN / NAT
Post by: hekl on January 31, 2019, 09:16:54 am

Uuuuund : ich bin drin.

Anscheinend machte den unterschied wirklich der DynDNS auf dem Router ?!?
Habe den DynDNS auf der OPNsense noch deaktiviert und den Client-Export nochmal mit selbst eingetragenem Hostnamen gemacht.

Ich danke euch für diesen Tip :)

...wobei ichs trotzdem merkwürdig finde ;)  Jetzt muss ich noch die FW Regeln etwas anpassen das ich ins LAN komme, aber das schaff ich denke ich.
Vielen Dank!