[Gelöst] OpenVPN Standard-Rules

Started by dboo81, January 15, 2021, 12:23:41 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 15, 2021, 12:23:41 PM Last Edit: January 16, 2021, 10:45:21 AM by dboo81
Hallo zusammen

Mein Router/Firewall ist seit heute Morgen OPNsense und ich experimentiere nun ein bisschen rum.

Unter anderem hab ich mir mal OpenVPN eingerichtet (für Zugriff via Android-Smartphone).
Zum erstellen des Servers hab ich den Wizard genutzt (ich weis, das ist peinlich, aber mal so zum KnowHow ansammeln indem man schaut was der Wizard einem so konfigurieren lässt, find ich das ganz praktisch).
Am Schluss des Wizards kann man zwei Firewall-Regeln automatisch erstellen lassen, und zwar:

Traffic from clients to server
Firewall Rule: Add a rule to permit traffic from clients on the Internet to the OpenVPN server process.

Traffic from clients through VPN
OpenVPN rule: Add a rule to allow all traffic from connected clients to pass across the VPN tunnel.

Ich habe mir beide Regeln erstellen lassen.
Nach Abschluss der Konfiguration (inkl. OpenVPN-Client) und Import der Konfig in die Android-App, konnte allerdings keine Verbindung aufgebaut werden.
Gemäss Log der Android-App konnte der Server schon gar nicht kontaktiert werden.
Also hab ich mich auf die Suche nach den automatisch erstellten Regeln gemacht, und konnte lediglich unter "Firewall / Rules / OpenVPN" eine vom Wizard erstellte Regel finden, sonst nirgends.

Dann habe ich mir mal von https://docs.opnsense.org/manual/how-tos/sslvpn_client.html Schritt 2 angeschaut, und gesehen das dort eine Rule auf dem WAN-Interface erstellt wird (was eigentlich aus meiner Sicht noch Sinn macht, der Wizard aber doch eigentlich hätte erledigen sollen).

Also habe ich mir auch eine entsprechende WAN-Rule erstellt.
Jetzt kann ich die Verbindung herstellen.

Da ich OpenVPN zukünftig komplett ohne Wizard erstellen möchte, bleibt die Frage:
Finde ich eine automatisch erstellte Regel nicht, und das man WAN-Zugriff manuell freigeben muss ist normal?
Oder funktioniert der Wizard nicht richtig und die zwei Rules gemäss Anleitung reichen aus?

Da die oben verlinkte Anleitung ja eigentlich ausreichen sollte um OpenVPN einzurichten, tippe ich eigentlich auf einen defekten Wizard.

Gruss und Danke
dboo81
January 15, 2021, 12:33:04 PM #1
Quote from: dboo81 on January 15, 2021, 12:23:41 PMZum erstellen des Servers hab ich den Wizard genutzt (ich weis, das ist peinlich, aber mal so zum KnowHow ansammeln indem man schaut was der Wizard einem so konfigurieren lässt, find ich das ganz praktisch).



Wir waren alle irgendwann mal Anfänger. Da ist nichts peinliches dabei.


Quote from: dboo81 on January 15, 2021, 12:23:41 PM
Da ich OpenVPN zukünftig komplett ohne Wizard erstellen möchte, bleibt die Frage:
Finde ich eine automatisch erstellte Regel nicht, und das man WAN-Zugriff manuell freigeben muss ist normal?
Oder funktioniert der Wizard nicht richtig und die zwei Rules gemäss Anleitung reichen aus?



Na theoretisch reichen die 2 Regeln aus.
Einmal dass du mit dem Server eine Verbindung aufbauen kannst und einmal dass dein Client auf das komplette (interne) Netzwerk zugreifen darf. Ob das Sinnvoll ist oder nicht, liegt an deiner Netzwerkstruktur. Für den Anfang zum testen macht man damit zumindest nichts falsch.


Ob der Wizard wirklich defekt ist, kann ich nicht sagen. Vermute es jedoch weniger...
Habe diesbezüglich eine Idee... Wie hast du die Interfaces konfiguriert? Hast du das Default WAN Interface gelöscht bzw. gar nicht erst angelegt? Geh mal auf Interfaces und dann auf dein WAN interface. Was steht im URL hinter "?if="? Wenn hier "optXXX" steht dann kann es evtl. daran liegen...


Gruß
January 15, 2021, 01:39:26 PM #2
Quote from: superwinni2 on January 15, 2021, 12:33:04 PM

Na theoretisch reichen die 2 Regeln aus.
Einmal dass du mit dem Server eine Verbindung aufbauen kannst und einmal dass dein Client auf das komplette (interne) Netzwerk zugreifen darf. Ob das Sinnvoll ist oder nicht, liegt an deiner Netzwerkstruktur. Für den Anfang zum testen macht man damit zumindest nichts falsch.


Danke, das ist schon mal schön zu hören.
Zugriff auf das komplette Netzwerk passt für diesen Fall schon so.


Quote from: superwinni2 on January 15, 2021, 12:33:04 PM

Wie hast du die Interfaces konfiguriert? Hast du das Default WAN Interface gelöscht bzw. gar nicht erst angelegt? Geh mal auf Interfaces und dann auf dein WAN interface. Was steht im URL hinter "?if="? Wenn hier "optXXX" steht dann kann es evtl. daran liegen...


Die Interfaces hab ich gleich beim Aufstarten der Live-Version (via Serial) definiert.
Danach hab ich mit dem User "installer" eingeloggt und die Installation ausgeführt. Die hat dann die Konfig übernommen.
igb0=WAN, igb1=LAN

Der Link von meinem WAN-Interface lautet ".../interfaces.php?if=wan"


Gruss
dboo81
Print
Go Up Pages1
User actions