OpenVPN und Firewall Problem

[jsander128]

Hi,

ich habe ein Problem mit OpenVPN und der Firewall. Ich habe den OpenVPN Server mit der Anleitung von Thomas Krenn eingerichtet. (https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten)

Jedoch bekomme ich auf dem Client nur einen Zeitüberschreitungs Fehler. Wenn ich im OPNsense die Firewall komplett deaktiviere, kann ich ohne Probleme eine VPN Verbindung aufbauen. Die WAN und OpenVPN Regeln, habe ich entsprechend der Anleitung eingerichtet.

Ich bin im Moment ein bisschen am verzweifeln. In den Logs ist nicht zu erkennen, das irgendwas blockiert wurde.

Vielen Dank schon mal.

[fabian]

Gib mal die VPN ports am VPN Server frei.

Wenn der Tunnel steht und du nicht durch kommst, würde ich mal ne Floating rule machen, und den Traffic zu erlauben.

[micneu]

Moin, kannst du mal deine Konfiguration von deinem OpenVPN Server Posten und die Firewall einstellung von deinem WAN interface.
Wie kommst du ins Internet, hast du an deinem WAN ein MODEM?

[jsander128]

Hi,

Gib mal die VPN ports am VPN Server frei.

Wenn der Tunnel steht und du nicht durch kommst, würde ich mal ne Floating rule machen, und den Traffic zu erlauben.

Bei aktivierter Firewall, kann ich keinen Tunnel aufbauen. Ich bekomme am Client nur einen Zeitüberschreitungsfehler.

Am WAN ist eine Unitymedia Connect Box angeschlossen. Aktuell habe ich den VPN Client mit an die Conect Box angeschlossen. Den Zugriff über das Internet wollte ich erst im zweiten Schritt einrichten.

Code Select Expand


                       WAN
                        :
                        : CableProvider (UnityMedia)
                        :
                 .------+------.
             WAN |    MODEM    |
                 | ConnectBox  |
                 '------+------'
                        |
               Ethernet |          .-------------.
                        +----------+  VPN Client |
                        |          '-------------'
                        |
                    LAN | 192.168.0.1/24
                        |
                   .----------.
                   | OPNsense |
  192.168.0.143/24 '----+-----'
                        |
                    LAN | 192.168.1.1/24
                        |
                  .-----+------.
                  | LAN-Switch |
                  '-----+------'
                        |
                ...-----+-----...
                (Clients/Servers)


WAN Firewall Regel:

Code Select Expand


Aktion:             Erlauben
Schnittstelle:      WAN
Richtung:           in
TCP/IP Version:     IPv4+IPv6
Protokoll:          TCP
Quelle:             jegliche
Ziel:               WAN Adresse
Zielportbereich:    OpenVPN


VPN Server Konfiguration:

Code Select Expand


Servermodus:            Remotezugriff SSL/TLS + Benutzerauthentifizierung
Backend:                Lokale Datenbank
Protkoll:               TCP
Gerätemodus:            tun
Schnittstelle:          WAN
Lokaler Port:           1194
Zertifikatseinstellungen ...
IPv4 Tunnelnetzwerk:    10.15.0.0/24
Lokales IPv4-Netzwerk:  192.168.1.0/24
Adresspool:             ausgewählt


Die Kryptografischen Einstellungen habe ich weg gelassen, wenn diese relevant sind werde ich diese noch ergänzen.

[chemlud]

Sicher das der openVPN CLIENT auch versucht TCP zu verwenden? Standard ist doch eher UDP...

[jsander128]

Ja der Client nutzt TCP. Ich habe die gesamte Konfiguration auch schon mit UDP getestet, mit dem gleichen Ergebnis.
Wenn ich die Firewall deaktiviere, funktioniert der VPN Tunnel (tcp und udp). Aktiviere ich die Firewall wieder, funktioniert der Zugriff nicht mehr.

[chemlud]

...dann müsste auch etwas im log sein (für die default block rule. loggt die bei dir?).

Notfalls noch mal frisch anfangen und als (fast) erstes den Tunnel definieren...

[micneu]

Verstehe ich das richtig:
- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Kannst du mal bitte die einstellung deines WAN-Interface schicken?
Ich bin ein Visueller Mensch. ich habe das gefühl deine WAN Firewall regel ist nicht richtig, nur so als text erkenne ich nicht was da falsch is (ich schaue lieber bilder von der konfig)
ich hänge mal meine Firewall regel für OpenVPN als bild an.

[jsander128]

...dann müsste auch etwas im log sein (für die default block rule. loggt die bei dir?).

Auf dem WAN-Interface habe ich den Punkt "Blockiere private Netze" deaktiviert. Im Log taucht nur die selbst angelegte VPN Regel mit "allow" auf.

- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Genau der Kabel Router ist mein Internet Zugang.

Ich habe meine Firewall-Regel als Bild angehängt. Aber auf den ersten Blick, sieht das identisch aus (ausgenommen Port und Protokoll).

[chemlud]

Verstehe ich das richtig:
- an deinem WAN der OPNsense hast du ein Kabel Router mit der IP: 192.168.0.1?

Kannst du mal bitte die einstellung deines WAN-Interface schicken?
Ich bin ein Visueller Mensch. ich habe das gefühl deine WAN Firewall regel ist nicht richtig, nur so als text erkenne ich nicht was da falsch is (ich schaue lieber bilder von der konfig)
ich hänge mal meine Firewall regel für OpenVPN als bild an.

...Klassiker: source und destination port verwechselt?

[chemlud]

Im Log taucht nur die selbst angelegte VPN Regel mit "allow" auf.

..dann würde ich nochmal frisch anfangen...

[jsander128]

...Klassiker: source und destination port verwechselt?

Ich habe folgende Einstellung:

Quelle: *
Port: *
Ziel: WAN Adresse
Port: 1194 (OpenVPN)

[micneu]

ich wusste das da was nicht stimmt.... na dann viel spaß noch

[jsander128]

Das ist die Einstellung, die ich im Moment habe und die nicht funktioniert.

[banym]

Mach bitte nochmal ein paar Screenshots von deiner OpenVPN Konfig, den Regeln auf WAN und den Interface Einstellungen.

Danke.