OpenVPN und Firewall Problem

[jsander128]

Sorry für die späte Antwort.

[banym]

Mir ist jetzt nichts ins Auge gesprungen, was auf anhieb falsch wäre.
Bitte schalte aber mal die Hardwareunterstützung und die Komprimierung für den Test aus.

Ansonsten würde ich auf dem OpenVPN Interface mal ein Paket-Caputure laufen lassen wenn ein Client verbunden ist, und evtl. dort dann noch zum Testen erstmal eine ANY to ANY, obwohl die Regel die du hast "eigentlich" gut aussieht.
 

[fabian]

Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Das sollte ggf. mal mit nem Handy getestet werden.

PS: Ich kann mich dunkel an irgendwelche Probleme mit rdrand erinnern die spezielle CPUs betreffen. Es kann sein, dass du das besser nicht nutzt wenn deine betroffen ist.

[banym]

Ach stimmt, wenn ich mir das Netzwerkdiagram angeschaut hätte wäre es klarer geworden wo der Hase im Pfeffer liegt.

-Update-

Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?

[jsander128]

Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Der VPN-Client befindet sich im WAN Netzwerk.

Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?

Der Client hat eine IP aus dem 192.168.0.0/24 Netz. Die Regeln für RFC1918 und Bogon sind auf der WAN Schnittstelle deaktiviert.

[banym]

Foto vom WAN-Interface bitte.

Mach mal bitte auf dem WAN Interface der OPNsense ein Packet-Capture während eines Verbindungsvesuchs und davon dann ach einen Screenshot der Pakete. Der Übersichtlichkeit halber bitte nur UDP 1149 auswählen.

Dann sollte man die Pakete vom Client auf die FW ja sehen.

[jsander128]

Ein Bild von der WAN Konfiguration habe ich angehängt.

Protokoll:

Code: [Select]

WAN re1 15:51:53.523828 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:53.524575 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:53.524817 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:55.829423 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.829578 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.837648 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:55.837899 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:55.838023 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:58.599468 ARP, Request who-has 192.168.0.143 tell 192.168.0.17, length 46
WAN re1 15:51:58.599496 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:58.599599 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:59.323692 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.323844 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.331948 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:59.332205 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:59.332325 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:52:07.217954 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:07.218339 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:07.218460 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.195749 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:23.196052 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.196207 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98