AirVPN als VPN - leider mit Problemen

Started by D0bby, October 31, 2020, 03:28:13 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 31, 2020, 03:28:13 PM
Moin

ich habe auf meiner pfSense in letzter Zeit ein paar kleine bugs gehabt, weshalb ich den wechsel zu OPNsense gewagt habe.
Nun hat soweit erstmal auch alles geklappt, nur das ich meinen VPN noch nicht richtig einstellen konnte.

Mein Ziel bestimmten traffic und VLANs über den VPN laufen lassen und den rest über mein normales WAN.
Die Verbindung zu AirVPN steht - Connection Status ist "up" und unter den Logs war es auch zu lesen.

Das Interface hat auch eine Adresse.

Nun kommen wir zu dem Teil, was bei mir ein Buch mit sieben Siegeln ist - NAT.
Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Soweit so gut - dann läuft schon mal das normale Internet ohne Probleme.
Aber egal an welchen Guide ich mich halte (die haben meist alles andere NAT settings) immer wenn ich über die Firewall Rules LAN das Gateway auf vpn stelle, kommt entweder "die Verbindung ist unsicher" oder "opnsense dnsrebind attack".

Ich hoffe ihr könnt mir helfen - keine lust wieder pfsense aufzuspielen :)
October 31, 2020, 06:07:01 PM #1
Eigentlich musst du auf dem gewünschten VLan Interface die Regel (evtl.ja eine allow Any). Das Gateway (ganz unten) auf deine VPN Gegenseite stellen.

Entweder wurde ein Gateway schon automatisch angelegt.
Sonst unter Gateways eins anlegen mit der Remote Tunnel IP der jeweiligen VPN


Also Portweiterleitungen braucht du dafür eigentlich garnicht
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
October 31, 2020, 07:54:10 PM #2
Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces  "natted". So wie im Screenshot.

Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).

,,The S in IoT stands for Security!" :)
October 31, 2020, 07:56:02 PM #3
welcher screenshot?

Und danke euch beiden schonmal :)
October 31, 2020, 07:56:14 PM #4
Quote from: Gauss23 on October 31, 2020, 07:54:10 PM
Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces  "natted". So wie im Screenshot.

Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
October 31, 2020, 07:58:34 PM #5
Quote from: lfirewall1243 on October 31, 2020, 07:56:14 PM
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?

Er schrieb:
Quote from: D0bby on October 31, 2020, 03:28:13 PM
Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?
,,The S in IoT stands for Security!" :)
October 31, 2020, 07:59:05 PM #6
Quote from: D0bby on October 31, 2020, 07:56:02 PM
welcher screenshot?

Und danke euch beiden schonmal :)

Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png

Nicht gesehen?
,,The S in IoT stands for Security!" :)
October 31, 2020, 07:59:29 PM #7
Quote from: Gauss23 on October 31, 2020, 07:58:34 PM
Quote from: lfirewall1243 on October 31, 2020, 07:56:14 PM
Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?

Er schrieb:
Quote from: D0bby on October 31, 2020, 03:28:13 PM
Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?
Ah das mit manuell hatte ich überlesen.
Dann klar :)
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
October 31, 2020, 08:00:58 PM #8
Quote from: Gauss23 on October 31, 2020, 07:59:05 PM

Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png

Nicht gesehen?

doch gerade eben :)
November 01, 2020, 09:17:57 AM #9
Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"

Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?


Code Select
2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'
November 01, 2020, 09:29:03 AM #10
Quote from: D0bby on November 01, 2020, 09:17:57 AM
Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"

Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?


Code Select
2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'
Hat dein VPN Provider sowas wie ein SSL Proxy am laufen der die Verbindung aufbricht?
Oder läuft dein eigener Proxy ?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
November 01, 2020, 09:30:52 AM #11
AirVPN - ich denke nicht. Bin mir aber nicht sicher.

Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/
November 01, 2020, 09:32:10 AM #12
Code Select
WAN LAN net * * * WAN address * NO Lan NAT    
vpn LAN net * * * vpn address * NO vpn NAT    
WAN LAN net * * 500 WAN address * YES Lan NAT 500 ISAKMP

so sieht aktuell mein NAT aus.
November 01, 2020, 09:35:51 AM #13
Quote from: D0bby on November 01, 2020, 09:30:52 AM
AirVPN - ich denke nicht. Bin mir aber nicht sicher.

Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/
Okay
Kenne airvpn selbst nicht. Laut Google gibt es aber immer Mal wieder Themen bezüglich HTTPS und Zertifikaten.

Ist das ein eigener Server den du als Gegenstelle aufsetzt oder ein Online Service wie z.B. NordVPN und Co?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
November 01, 2020, 09:41:31 AM #14
Mach mal ein Screenshot von deinen
-Firewall Rules
-NAT Rules
- Outbound NAT
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1 2
User actions