Portweiterleitung über Router und pfSense an einen PC mit piVPN klappt nicht

[bax2000]

Hallo Forum!

Ich habe hier in meiner kleinen Firma wegen dem Corona-Virus das Problem das ich bald für vpn-Zugänge sorgen muß.
Das habe ich bisher nur mal privat mit einem RaspberryPi 4 und "pivpn" gemacht - das läuft hinter einem O2-Router auch ganz prima.

Hier habe ich allerdings erst seit gestern einen neuen Router bekommen - Zyxel VMG8324-B10A.
Dieses Teil ist angeblich von den Technikern in den "bridged mode" versetzt worden und es ist eine statische IP auf dem WAN-Interface.

Dieser Router bedient einen LAN-Port mit einem Netz 10.0.0.x - hat also selbst die 10.0.0.1 als Adresse und gibt der pfsense die 10.0.0.3.

Die pfsense bedient dann, wie schon seit Jahren meine Bürohardware mit hinterlegten IP's aus dem Bereich 192.168.1.x. Dieses Netz funktioniert wie es soll und auch der Internetzugang klappt.

Ich habe jetzt im Netz einen PC mit Ubuntu aufgesetzt und pivpn installiert und ein vpn-Profil erstellt.
Ich kann mich von außen aber nicht verbinden und vermute den Fehler in der nötigen Portweiterleitung.
Es geht dabei um den UDP-Port 1194.
Ich habe auf der pfsense unter "NAT" eine Portweiterleitung an den PC mit der IP 192.168.1.111 gemacht - siehe Anhang.

Auch auf dem Zyxel-Router habe ich eine Portweiterleitung von der statischen IP (WAN) auf die interne LAN-IP der pfsense (vom Router aus gesehen) gemacht - das ist die 10.0.0.3 - diese IP zeigt mir die pfsense auch für das WAN-Interface.

Ich hoffe Ihr könnt mir aufzeigen wo mein Fehler liegt. Mir drückt hier echt der Schuh weil mir die Zeit wegrennt.

Vielen Dank!

[JeGr]

Mal davon abgesehen, ob du im richtigen Forum für pfSense Fragen bist mir ist das ja gleich

Aber warum zum Geier nutzt du überhaupt noch extra hinter einer Sense nochmal irgenwas gebasteltes wie ein Pi-Dings für VPN? Warum nicht pfSense oder OPNsense ihren Job machen lassen, den sie superb können?

Und warum sehe ich da so eine verflucht alte Oberfläche von der pfSense? Warum ist die nicht geupdated auf dem neuesten Stand? Haltet verflixt nochmal eure Firewalls (egal welche) aktuell und gammelt nicht ewig auf steinalten Versionen rum nur "weil die stabil sind". Sie sind nicht stabil. Sie sind unsicher und obsolete und Jahre veraltet!

Grüße

[bax2000]

Ja, den Anschiss habe ich kommen sehen und wahrscheinlich auch verdient.

Momentan läuft die pfsense auf einem Alixboard was sich wohl nicht mehr so einfach updaten läßt - klappt zumindest nicht. Ich habe das vor langer Zeit auch nicht selbst installiert und bin eben gerade erst dabei diese Dinge zu lernen.
pivpn habe ich genutzt weil ich das schon am laufen habe - geht simpel und dauert keine 5 Minuten.

Neue Hardware für die pfSense habe ich schon geplant, aber momentan funzt das Netz eben noch in diesem veralteten Zusant.

Aber auch wenn alt, die Portweiterleitungen sollten doch reichen um das momentane Problem zu lösen, oder nicht?

Gruß!

[micneu]

Es wurde zwar schon gesagt, aber ich will es auch noch los werden. DU BIST HIER IM OPNsense Forum!!!!

Bestell dir mindesten ein APU Board, installiere dir ein OPNsense:
- du bist auf dem Aktuellen Stand
- wirst dich wundern wie schnell so eine Firewall sein kann

Dann kannst du dir ein OpenVPN installieren direkt auf der „OPNsense“. Ich wünsche dir noch viel spaß


System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

[bax2000]

Jaja....Ihr habt ja Recht!! Ich habe auf die Schnelle nach "Forum pfsense deutsch" gesucht und bin hier gelandet.
Nachdem ich dann noch "JeGr" als Mod gesehen habe, tja.....da dachte ich eben ich bin richtig 

Ok, ich habe mir jetzt mal einen ollen Xeon E3-1230 v3 geschnappt der hier seit Ewigkeiten rumsteht und habe Opnsense erstmalig installiert und so wie im Büro das LAN konfiguriert. Letztlich würde es in der Firma dann einen anderen DDNS-Eintrag geben, aber das ist ja zum Testen erstmal egal.

Könnte Ihr mir jetzt bitte (!!) einen zielführenden Link zur Konfiguration einer Roadwarrior-Config für OpenVPN geben? Mir läuft echt die Zeit davon und Ihr seht doch hoffentlich.......ich mache ja was Ihr mir "auftragt"

Gruß!

[bax2000]

Ok, habe jetzt nach dem TK-Tutorial die Roadwarrior-Konfiguration gemacht - mal abgesehen davon das viele Punkte nicht mehr aktuell sind - egal.

Letztlich wollte ich die Konfiguration auf ein iPhone exportieren - ging bisher immer problemlos mit der ovpn-Datei.

Das Archiv per iTunes wie beschrieben über Dateifreigabe will er nicht, die einzelne ovpn-Datei reicht nicht mehr.

Mal ehrlich.......das Projekt "pivpn" realisiert diesen ganzen "Quatsch" innerhalb von ein paar Klicks.

Was mache ich hier falsch? Warum klappt das nicht??

Gruss!

[micneu]

also ich kann bei mir die OpenVPN-Cliernt Konfig als eine datei exportieren (gut es öffnet sich ein Browserfenster mit dem inhalt der datei) dieses speicher ich als xxxxx.ovpn ab. und da ich nur apple produkte nutze einfach per airdrop auf das telefon übertragen. natürlich brauchst du noch die openvpn app

[bax2000]

Ok, also nach dem TK-Tutorial exportiere ich per VPN/Client Export/ die Datei für den entsprechenden User - ok!

Das ist eine zip-Datei mit 3 Dateien: *.ovpn, *.p12 und *-tls.key

Warum schreibst Du etwas von nur einer Datei? Das hätte ich ja wie bisher gern.

Gruß!

[micneu]

bei mir sieht das so aus

[bax2000]

Danke!
Dann mal hier was ich erhalte:

[micneu]

übrigens im export formular solltest du deinen dyndns namen eintragen oder deine EXTERNE ip wenn die fest ist.
beachte mein bild du musst auf file only stellen

[bax2000]

Das habe ich natürlich gemacht, also DDNS - stimmt auch, Aber Irendwas stört mich schon seit Jahren beim Thema vpn 
Ich mache jetzt mal Schluss und stresse Euch morgen weiter....

[micneu]

nicht vergessen den port an deinem WAN zu öffnen
siehe bild.
und zugriff aus dem OpenVPN auf das LAN