OpenVPN und Firewall Problem

Started by jsander128, December 31, 2019, 06:07:25 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
January 08, 2020, 12:42:45 PM #15
Sorry für die späte Antwort.
January 08, 2020, 08:59:47 PM #16
Mir ist jetzt nichts ins Auge gesprungen, was auf anhieb falsch wäre.
Bitte schalte aber mal die Hardwareunterstützung und die Komprimierung für den Test aus.

Ansonsten würde ich auf dem OpenVPN Interface mal ein Paket-Caputure laufen lassen wenn ein Client verbunden ist, und evtl. dort dann noch zum Testen erstmal eine ANY to ANY, obwohl die Regel die du hast "eigentlich" gut aussieht.
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
January 08, 2020, 10:17:28 PM #17
Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Das sollte ggf. mal mit nem Handy getestet werden.

PS: Ich kann mich dunkel an irgendwelche Probleme mit rdrand erinnern die spezielle CPUs betreffen. Es kann sein, dass du das besser nicht nutzt wenn deine betroffen ist.
January 09, 2020, 01:54:54 PM #18 Last Edit: January 09, 2020, 02:02:11 PM by banym
Ach stimmt, wenn ich mir das Netzwerkdiagram angeschaut hätte wäre es klarer geworden wo der Hase im Pfeffer liegt.

-Update-

Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
January 10, 2020, 02:13:47 PM #19
Quote from: fabian on January 08, 2020, 10:17:28 PM
Mir fällt da sehr wohl was auf:

Die FW-Regel ist am WAN definiert. Das bedeutet von intern kommt man nicht drauf.

Der VPN-Client befindet sich im WAN Netzwerk.

Quote from: banym on January 09, 2020, 01:54:54 PM
Jetzt kommen mir doch noch ein paar mehr Fragen.

Sein WAN auf der OPNsense müsste ja eine IP 192.168.0.1 haben und wenn ein Client aus dem 192.168.0.0/24 Netz kommt, müsste die Regel doch passen und er sollte den OpenVPN Server erreichen?

Blockt auf dem WAN evtl. doch die RFC1918 oder Bogon-Networks Regel den Zugriff?


Der Client hat eine IP aus dem 192.168.0.0/24 Netz. Die Regeln für RFC1918 und Bogon sind auf der WAN Schnittstelle deaktiviert.
January 10, 2020, 02:17:32 PM #20
Foto vom WAN-Interface bitte.

Mach mal bitte auf dem WAN Interface der OPNsense ein Packet-Capture während eines Verbindungsvesuchs und davon dann ach einen Screenshot der Pakete. Der Übersichtlichkeit halber bitte nur UDP 1149 auswählen.

Dann sollte man die Pakete vom Client auf die FW ja sehen.
Twitter: banym
Mastodon: banym@bsd.network
Blog: https://www.banym.de
January 10, 2020, 04:01:10 PM #21
Ein Bild von der WAN Konfiguration habe ich angehängt.

Protokoll:
Code Select

WAN re1 15:51:53.523828 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:53.524575 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:53.524817 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:51:55.829423 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.829578 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:55.837648 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:55.837899 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:55.838023 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:58.599468 ARP, Request who-has 192.168.0.143 tell 192.168.0.17, length 46
WAN re1 15:51:58.599496 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:58.599599 ARP, Reply 192.168.0.143 is-at 00:01:2e:93:ab:5b, length 28
WAN re1 15:51:59.323692 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.323844 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 86
WAN re1 15:51:59.331948 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:51:59.332205 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:51:59.332325 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 94
WAN re1 15:52:07.217954 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:07.218339 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:07.218460 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.195749 IP 192.168.0.17.42108 > 192.168.0.143.1194: UDP, length 86
WAN re1 15:52:23.196052 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
WAN re1 15:52:23.196207 IP 192.168.0.143.1194 > 192.168.0.17.42108: UDP, length 98
Print
Go Up Pages 1 2
User actions