Hilfe bei der OpenVPN Einrichtung

Started by mibru, November 14, 2020, 08:22:46 AM

Previous topic - Next topic
November 14, 2020, 08:22:46 AM Last Edit: November 14, 2020, 10:16:06 AM by mibru
Hallo,

ich habe mir auf einem APU Board die OPNsense in der Version 20.7.4-amd64 installiert. Auf dieser möchte ich nun eine VPN mittels OpenVPN einrichten. Bei der Einrichtung von OpenVPN bin ich nach einer Anleitung aus dem Thomas-Kren-Wiki gegangen.
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten
Die Firewallregeln sind alle noch auf Default, bis auf die Beiden Einträge aus dem Artikel. Im LAN läuft ein Pi-Hole als Werbeblocker, der auch als DNS-Server für DHCP eingetragen ist.
Mein Netzwerk sieht wie folgt aus.


      WAN / Internet
            :
            : Provider
            :
      .-----+-----.
      |  Router   |  Speedport Pro (DSL/LTE-> Telekom Hybrid, hier gibt es sonnst kein schnelles Internet)
      '-----+-----'
            |
        WAN | IP über DHCP (192.168.2.2)
            |
      .-----+------. 
      |  OPNsense  |
      '-----+------'   
            |
        LAN | 192.168.20.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (NAS / Pi-Hole/ Clients..)


Die Portweiterleitung (UDP 1194) vom Speedport und in der OPNSense habe ich eingerichtet. Lokale Adressen auf der WAN-Schnittstelle werden nicht blockiert.
Die Einrichtung des VPN-Server war erfolgreich, d.h ich kann vom Handy oder Laptop die Verbindung aufbauen, was mir auch in der Logdatei des Openvpn-Server auf der Sense angezeigt wird. Das Tunnelnetzwerk lautet 10.10.0.0/24 und beim Lokalen IPv4-Netz habe ich die 192.168.20.0/24 eingetragen und IPv6 ist deaktiviert. Ich komme aber einfach nicht in mein LAN.

Ich möchte mit der VPN von unterwegs auf mein LAN zugreifen können und den gesamten Internettraffic über meinen privaten Internetanschluss leiten, dabei sollte wenn möglich der Pi-Hole als DNS-Server fungieren.

Ich bin mit meinem Latein leider schon am Ende. Hat jemand eine Idee, wie ich das Problem lösen kann? Sollten noch Angaben fehlen, einfach bescheid sagen.

Vielen Dank
Mike

Hallo,

das sind ja 2 Schritte:
1. Zugriff auf das LAN herstellen
2. Zugriff über die VPN Verbindung ins Internet herstellen

Zu 1)
Wenn die VPN Verbindung steht: kannst Du vom Client die OPNsense pingen? Siehst Du im Firewall Live Log geblockte Pakete? Zeig doch mal Deine Firewall Regeln auf den OpenVPN Interface.

zu 2)
wenn 1) läuft, musst Du für 2) eigentlich nur dafür sorgen, dass der Client seinen Traffic komplett in den VPN Tunnel schiebt (Client-Config-Zeile: redirect-gateway def1) und auf der OPNsense dafür sorgen, dass der ausgehende Verkehr auch per Outbound NAT versorgt ist. Weiß nicht, ob das OpenVPN Netz automatisch in die NAT Regel aufgenommen wird.
,,The S in IoT stands for Security!" :)

November 14, 2020, 08:46:42 AM #2 Last Edit: November 14, 2020, 08:50:58 AM by micneu
danke für deinen netzwerkplan.
- bitte mal screenshots von deiner openvpn server konfiguration.
- kannst du denn von deinem pi wenn du NICHT mit dem lokalen wlan verbunden bis und dein vpn gestartet hast z.b. deine sense die webgui aufrufen?
- hast du irgend welche logs du du ins zeigen kannst
- bitte screenshot von deiner firewall regel aus dem lan und openvpn.

ich bin mir nicht mehr sicher, hast du den wizard genutz für das erstellen deiner openvpn verbindung, bin der meinung das der sogar die firewall regel für den port setzt.
- deinen dns server kannst du im wizard auch gleich mit angeben
- auch damit dein openvpn clinet die vpn verbindung als default gateway nutz kannst du im wizard angeben

was für eine leitung (bandbreite) hast du, die apu´s performen OpenVPN nicht so gut, hatte mal eine APU4d4 oder so ähnlich und die hat ziemlich abgekotzt an einer 100mbit/leitung?

was schafft den diese hybrid lösung von der telekom den für bandbreiten (down/up)?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

November 14, 2020, 11:39:09 AM #3 Last Edit: November 14, 2020, 12:13:50 PM by mibru
Hallo,

hat leider eine Weile gedauert mit den Screenshots ;)
Ich habe das Ganze jetzt noch mal mit dem Laptop und dem Handy als Hotspot getestet. Dabei habe ich festgestellt, das ich  meinen WLAN-AP (die Benutzeroberfläche) nach einer sehr,sehr langen Zeit erreiche, d.h die Oberfläche wird sehr spät und langsam aufgebaut. Benutzeroberflächen von anderen Geräten, wie auch die von der Sense, laufen in einen Time Out oder sind nicht erreichbar (evtl. wegen einem Time Out -> wird mir aber nicht im Browser angezeigt)

Das Anpingen durch den Tunnel funktioniert.

ohne VPN-Verbindung

~$ ping -c10 192.168.20.1
PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.

--- 192.168.20.1 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 221ms


mit VPN-Verbindung

~$ ping -c10 192.168.20.1
PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
64 bytes from 192.168.20.1: icmp_seq=1 ttl=64 time=68.8 ms
...
64 bytes from 192.168.20.1: icmp_seq=9 ttl=64 time=149 ms
64 bytes from 192.168.20.1: icmp_seq=10 ttl=64 time=96.3 ms

--- 192.168.20.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 23ms
rtt min/avg/max/mdev = 67.171/99.413/148.793/28.775 ms

~$ ping -c10 10.10.0.1
PING 10.10.0.1 (10.10.0.1) 56(84) bytes of data.
64 bytes from 10.10.0.1: icmp_seq=1 ttl=64 time=188 ms
...
64 bytes from 10.10.0.1: icmp_seq=9 ttl=64 time=175 ms
64 bytes from 10.10.0.1: icmp_seq=10 ttl=64 time=173 ms

--- 10.10.0.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 19ms
rtt min/avg/max/mdev = 65.096/130.


In den Logs sehe ich keine Blockaden  die mit dem  IP-Bereich des Tunneldevice in Verbindung stehen. Die Client IP 10.10.0.6 hatte Vebindungen (grün) im LAN.

Der Hybridanschluss bringt 50MBit/10MBit (Down/Up) +DSL6000.
Mit Screenshots kann ich nicht dienen. Ich scheitere gerade am Hochladen der PNG's, d.h ich weis nicht so recht wie ich das machen soll.



Ich warte gerne, also bei deiner Internet Leitung wir die apu nicht überfordert. Ich könnte mir vorstellen das da dein Hybrid dir in die Quere kommt.


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

November 14, 2020, 05:07:50 PM #5 Last Edit: November 14, 2020, 05:11:35 PM by mibru
So hier nun endlich die Screenshots:

ServerKonfiguration











Firewall-Regeln:







Ich musste die Bilder über einen externen Anbieter hier einstellen. Über Attachments kann ich nichts hochladen. Keine Ahnung wo der ich da einen Fehler mache.

nochmal, wenn du die openvpn wizzard nutzt wird alles wichtige erstellt.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

gut dann fange ich noch einmal von vorn an. danke für den hinweis.

Und hat es jetzt geklappt?


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

Quote from: micneu on November 15, 2020, 12:31:27 PM
Und hat es jetzt geklappt?

Ich konnte den VPN-Tunnel aufbauen und der Traffic war ins LAN und Internet möglich. Der Verbindungstest habe ich mit einem Laptop und dem Handy als Hotspot gemacht. Direkter Traffic durch den Tunnel war nicht möglich, Time Out bei Verbindungen ins LAN.
Anpingen ins LAN hatte die selben Laufzeiten wie ich weiter oben geschrieben. Anpingen einer Webseite (www.chip.de) hatte zum Teil Laufzeiten von > 400ms.
Vielleicht stimmt deine Vermutung, dass das Zusammenspiel Speedport/OPNSense nicht richtig funktioniert. Eine Wireguardverbindung (testweise) mit einem Gl.iNet GL-AR750S (ist ein kleiner Router) am Speedport und vor der Sense funktioniert problemlos.
Ich habe hier noch einen PI rumliegen, auf dem ich mir einen Openvpn-Server aufsetze werde. Den hänge ich dann an den Speedport. Damit kann ich dann wenigsten meinen Internettraffic über meinen Anschluss laufen lassen, wenn ich öffentliche WLAN-Netze nutze.  Die Lösung ist nicht perfekt, da ich das LAN nicht erreiche und ein weiteres Gerät betreibe.



Hast du so Sicherheits kritische Anwendungen die unbedingt über dein VPN laufen müssen?


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100

Quote from: micneu on November 16, 2020, 07:57:16 AM
Hast du so Sicherheits kritische Anwendungen die unbedingt über dein VPN laufen müssen?


Gesendet von iPhone mit Tapatalk Pro
Eigentlich nicht. Mir geht es vorrangig darum, wichtige Internetsachen (z.b. Bankverbindungen im Urlaub) nicht über öffentliche Netze laufen zu lassen. Ein angenehmer Nebeneffekt ist der Werbeblocker Pi-Hole, der natürlich dann immer seinen Dienst tut, auch auf dem Handy. So eine Kombination Openvpn und Pi-hole hatte ich schon mal auf einem Raspi im Einsatz.

Jetzt kommt bestimmt von dir die Frage nach dem Sinn der Sense, ich könnte sie ja einfach weglassen. Der Telekomrouter ist sehr gut, wenn er läuft. Problem dabei, er hängt sich manchmal auf oder macht einen Neustart ohne ersichtlichen Grund. Dabei kommen manche Geräte im LAN durcheinander, TV-Aufnahmen brechen ab usw.