Problem mit OpenVPN

Started by kruemelmonster, September 24, 2024, 02:09:04 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 24, 2024, 02:09:04 PM
Hallo,

ich versuche gerade, mir einen OpenVPN-Zugang zu installieren. Die "Gegenstelle" ist momentan mein Android-Telefon mit OpenVPN Connect.

Mittlerweile bin ich soweit, dass die Verbindung aufgebaut und stabil gehalten wird. Es wird bei jedem Verbindungsaufbau die gleiche Client-IP 10.10.10.2/24 vergeben. Eigentlich sollte es die 10.10.10.10/24 sein.

Ich erreiche keinerlei Systeme in meinem lokalen Netz, obwohl ich eine entsprechende FW-Regel angelegt habe. Weder mit IP noch mittels DNS. Habe auf meinen Vlan's jeweils ausgehend alles blockiert und gebe nur das Notwendige frei. Daran sollte es nicht liegen.

Kann mir jemand weiterhelfen, was ich wo korrekt einstellen muss?
Dankeschön.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
September 24, 2024, 02:58:13 PM #1
Nimm mal die andere OVPN App von Arne Schwabe.
Die App die du verwendest ist eigentlich für Connect Server gedacht, keine Ahnung ob der die routen entsprechend erstellt...
i am not an expert... just trying to help...
September 24, 2024, 11:11:07 PM #2
Quote from: kruemelmonster on September 24, 2024, 02:09:04 PM
Es wird bei jedem Verbindungsaufbau die gleiche Client-IP 10.10.10.2/24 vergeben. Eigentlich sollte es die 10.10.10.10/24 sein.
quote]

Ich verstehe nicht, was die Client Konfig soll, die der Screenshot zeigt. Auf der OPNsense läuft ja nur ein Server?
Eine bestimmte IP lässt sich dann mit einem "Client Specific Override" erreichen.


Quote from: kruemelmonster on September 24, 2024, 02:09:04 PM
Ich erreiche keinerlei Systeme in meinem lokalen Netz, obwohl ich eine entsprechende FW-Regel angelegt habe.

Eventuell blockieren deine lokalen Geräte selbst den Zugriff, weil er aus einem anderen Subnetz kommt. Das wäre das Standardverhalten.

Du kannst das auf der OPNsense mit Interfaces > Diagnostics > Ping testen.
Mach einen Ping auf ein betroffenes Gerät. Sollte klappen.
Gib dann als Quelladresse 10.10.10.1 (OpenVPN Server) ein und pinge nochmals. Wenn dieser nun fehlschlägt, blockiert es höchstwahrscheinlich das Zielgerät selbst.
September 25, 2024, 11:12:51 AM #3
Quote from: tiermutter on September 24, 2024, 02:58:13 PM
Nimm mal die andere OVPN App von Arne Schwabe.
Die App die du verwendest ist eigentlich für Connect Server gedacht, keine Ahnung ob der die routen entsprechend erstellt...

Die hatte ich als erstes installiert. Aber ich habe nicht herausgefunden, welches Dateiformat ich für den Import der Konfiguration benötige. Und das per Hand zu machen, fehlt mir schlicht das Wissen. Leider kann man nirgens so recht nachlesen, wie das ganze funktioniert und was man wo wie und warum einstellen muss. Zumindest nichts in deutscher Sprache.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
September 25, 2024, 11:22:37 AM #4 Last Edit: September 25, 2024, 12:04:57 PM by kruemelmonster
Quote from: viragomann on September 24, 2024, 11:11:07 PM
Quote from: kruemelmonster on September 24, 2024, 02:09:04 PM
Es wird bei jedem Verbindungsaufbau die gleiche Client-IP 10.10.10.2/24 vergeben. Eigentlich sollte es die 10.10.10.10/24 sein.
Ich verstehe nicht, was die Client Konfig soll, die der Screenshot zeigt. Auf der OPNsense läuft ja nur ein Server?
Eine bestimmte IP lässt sich dann mit einem "Client Specific Override" erreichen.

Ich denke, dazu ist die client-spezifische Konfiguration doch da? Ich habe unter Wireguard mehrere Clients im gleichen Subnetz mit jeweils fester IP und separaten FW-Regeln. Ich lebe in dem Wahn, das so etwas unter OpenVPN auch machbar ist.

Was mir auch aufgefallen ist - OpenVPN hat kein Interface. Laut Dokumentation sollte eines vorhanden sein.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
September 25, 2024, 12:13:20 PM #5
Okay, ich hatte nicht erkannt, dass die "Client_Konfig" tatsächlich der CSO ist.
Wenn der Client die da vorgegebene IP nicht erhält, wird der CSO vermutlich nicht angewandt, und Grund dafür dürfte sein, dass der OpenVPN Server den Client nicht erkennt.
Dann solltest die den Common Name überprüfen.

Ob der Client erkannt wird, ist im Server Log zu sehen. Dazu aber erst den Log Level auf 4 hochstellen.

Ich wusste gar nicht, dass OPNsense automatisch ein Interface für Wireguard Instanzen erstellt. Das Interface könntest du auch manuell einer VPN Instanz zuweisen, es ist aber nur in ganz bestimmten Situationen wirklich erforderlich, bspw. wenn du etwas per Filterregeln auf die Remoteseite routen möchtest.

Gemein haben die VPNs, dass eine Interfacegruppe generiert wird. Auf dieser kannst du ebenso Regeln erstellen, wenn kein spezifisches Interface benötigt wird.

Was das Interface mit dem DNS Serve zu tun hat, verstehe ich nicht. In der Server-Konfiguration kann man einen oder mehrere DSN eintragen. Die werden dann auf den Client gepusht.
Im CSO kann man das für eine spezifischen Client überschreiben.
Ob der Client dann diesen auch anwendet, hängt von dessen Konfiguration ob.
Print
Go Up Pages1
User actions