OpenVPN S2S keine verbindung

micneu · May 04, 2019, 01:10:26 AM

Moin, ich habe gerade mal mit 2 x OPNsense 19.1.7 einen Test OpenVPN Site2Site.
Leider bekomme ich die verbindung nicht hin.
Ich glaube ich habe das noch nicht mit der Firewall raus obwohl ich das HowTo befolgt habe.
Hier meine Server Seite FW:

micneu · May 04, 2019, 01:11:01 AM

OpenVPN Server seite:

micneu · May 04, 2019, 01:11:36 AM

OpenVPN client Seite:

micneu · May 04, 2019, 01:13:10 AM

und hier OpenVPN connection Status vom Server:

micneu · May 04, 2019, 01:14:48 AM

hier der OpenVPN connection status vom client:
ich hier schein es das die verbindung nicht richtig aufgebaut wurde.

micneu · May 04, 2019, 01:24:20 AM

hier noch mal kurz das Netzt skizziert:

micneu · May 04, 2019, 01:40:02 AM

hier haben ich logs vom client:

Code Select


May 4 01:37:33 	openvpn[99128]: MANAGEMENT: Client disconnected
May 4 01:37:33 	openvpn[99128]: MANAGEMENT: CMD 'state all'
May 4 01:37:33 	openvpn[99128]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
May 4 01:37:29 	openvpn[99128]: MANAGEMENT: Client disconnected
May 4 01:37:29 	openvpn[99128]: MANAGEMENT: CMD 'state all'
May 4 01:37:29 	openvpn[99128]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
May 4 01:37:09 	openvpn[99128]: UDP link remote: [AF_INET]10.211.55.21:1194
May 4 01:37:09 	openvpn[99128]: UDP link local (bound): [AF_INET]10.211.55.22:1194
May 4 01:37:09 	openvpn[99128]: Socket Buffers: R=[42080->42080] S=[57344->57344]
May 4 01:37:09 	openvpn[99128]: TCP/UDP: Preserving recently used remote address: [AF_INET]10.211.55.21:1194
May 4 01:37:09 	openvpn[99128]: Preserving previous TUN/TAP instance: ovpnc1
May 4 01:37:09 	openvpn[99128]: Re-using pre-shared static key
May 4 01:37:09 	openvpn[99128]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 4 01:37:04 	openvpn[99128]: Restart pause, 5 second(s)

micneu · May 04, 2019, 01:41:22 AM

hier noch der Server log:

Code Select


May 4 01:40:22 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:40:22 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:40:22 	openvpn[97822]: MANAGEMENT: CMD 'state all'
May 4 01:40:22 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:40:11 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:40:11 	openvpn[97822]: MANAGEMENT: CMD 'quit'
May 4 01:40:11 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:40:11 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:39:09 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:39:09 	openvpn[97822]: MANAGEMENT: CMD 'quit'
May 4 01:39:09 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:39:09 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:38:08 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:38:08 	openvpn[97822]: MANAGEMENT: CMD 'quit'
May 4 01:38:08 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:38:07 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:37:17 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:37:17 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:37:17 	openvpn[97822]: MANAGEMENT: CMD 'state all'
May 4 01:37:17 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:37:15 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:37:15 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:37:15 	openvpn[97822]: MANAGEMENT: CMD 'state all'
May 4 01:37:15 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:37:06 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:37:06 	openvpn[97822]: MANAGEMENT: CMD 'quit'
May 4 01:37:06 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:37:06 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:36:05 	openvpn[97822]: Initialization Sequence Completed
May 4 01:36:05 	openvpn[97822]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
May 4 01:36:04 	openvpn[97822]: MANAGEMENT: Client disconnected
May 4 01:36:04 	openvpn[97822]: MANAGEMENT: CMD 'quit'
May 4 01:36:04 	openvpn[97822]: Peer Connection Initiated with [AF_INET]10.211.55.22:1194
May 4 01:36:04 	openvpn[97822]: MANAGEMENT: CMD 'status 2'
May 4 01:36:04 	openvpn[97822]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
May 4 01:36:04 	openvpn[97822]: UDPv4 link remote: [AF_UNSPEC]
May 4 01:36:04 	openvpn[97822]: UDPv4 link local (bound): [AF_INET]10.211.55.21:1194
May 4 01:36:04 	openvpn[97822]: Socket Buffers: R=[42080->42080] S=[57344->57344]

micneu · May 04, 2019, 01:44:19 AM

wenn ich die firewall regel in Floating auf der Server seite so wie auf dem bild setze, so klappt es?
die beiden OPNsense sind in einer Virtuellen umgebung. hoffe nicht das es daran liegt

micneu · May 04, 2019, 10:10:39 AM

was ist der unterschied wenn ich die firewall auf dem WAN interface
entweder mit "this firewall" oder mit "wan adress" machen?
liegt es daran?

hbc · May 04, 2019, 12:00:21 PM

Quote from: micneu on May 04, 2019, 10:10:39 AM
was ist der unterschied wenn ich die firewall auf dem WAN interface
entweder mit "this firewall" oder mit "wan adress" machen?
liegt es daran?

This firewall sind alle Interface-Adressen, die der Firewall zugeordnet sind - auch CARP; WAN Adress ist - wie der Name sagt - nur die WAN Adresse. Ersteres hat folglich in einer WAN-Regel nichts zu suchen.

Warum arbeitest Du mit Floating? Das braucht man eigentlich nur in speziellen Fällen. Regeln auf Interface WAN reichen hier. Und in der Skizze steht eine 10.x.x.x/24 Adresse als Internet. Spätestens Dein Provider verwirft diese, da RFC1918 nicht im Internet gerouted werden.

micneu · May 04, 2019, 12:07:21 PM

danke für diese erklärung...
aber auch mit "wan adress" klappt es nur wenn ich es in die Floating packe
warum, was mache ich falsch?

hbc · May 04, 2019, 12:09:45 PM

Quote from: micneu on May 04, 2019, 12:07:21 PM
danke für diese erklärung...
aber auch mit "wan adress" klappt es nur wenn ich es in die Floating packe
warum, was mache ich falsch?

Schau in deinen Live View. Da wird wohl noch was geblockt.

micneu · May 04, 2019, 03:35:48 PM

ich habe im live view nichts entdeckt, wenn ich nach dem port 1194 versuch zu filtern, bekomme ich keine anzeige
hier ein teil meines logs vom server:

micneu · May 08, 2019, 12:14:11 PM

übrigens ist bei meinen test aufgefallen das wenn ich bei meiner WAN Regel für OVPN den Port weglasse das ich dann der tunnel funktioniert.

OpenVPN S2S keine verbindung

micneu

May 04, 2019, 01:10:26 AM Last Edit: May 04, 2019, 12:09:26 PM by micneu

micneu

May 04, 2019, 01:11:01 AM #1

micneu

May 04, 2019, 01:11:36 AM #2

micneu

May 04, 2019, 01:13:10 AM #3

micneu

May 04, 2019, 01:14:48 AM #4

micneu

May 04, 2019, 01:24:20 AM #5

micneu

May 04, 2019, 01:40:02 AM #6

micneu

May 04, 2019, 01:41:22 AM #7

micneu

May 04, 2019, 01:44:19 AM #8 Last Edit: May 04, 2019, 10:03:57 AM by micneu

micneu

May 04, 2019, 10:10:39 AM #9

hbc

May 04, 2019, 12:00:21 PM #10 Last Edit: May 04, 2019, 12:07:58 PM by hbc

micneu

May 04, 2019, 12:07:21 PM #11

hbc

May 04, 2019, 12:09:45 PM #12

micneu

May 04, 2019, 03:35:48 PM #13

micneu

May 08, 2019, 12:14:11 PM #14