AirVPN als VPN - leider mit Problemen

[D0bby]

Moin

ich habe auf meiner pfSense in letzter Zeit ein paar kleine bugs gehabt, weshalb ich den wechsel zu OPNsense gewagt habe.
Nun hat soweit erstmal auch alles geklappt, nur das ich meinen VPN noch nicht richtig einstellen konnte.

Mein Ziel bestimmten traffic und VLANs über den VPN laufen lassen und den rest über mein normales WAN.
Die Verbindung zu AirVPN steht - Connection Status ist "up" und unter den Logs war es auch zu lesen.

Das Interface hat auch eine Adresse.

Nun kommen wir zu dem Teil, was bei mir ein Buch mit sieben Siegeln ist - NAT.
Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Soweit so gut - dann läuft schon mal das normale Internet ohne Probleme.
Aber egal an welchen Guide ich mich halte (die haben meist alles andere NAT settings) immer wenn ich über die Firewall Rules LAN das Gateway auf vpn stelle, kommt entweder "die Verbindung ist unsicher" oder "opnsense dnsrebind attack".

Ich hoffe ihr könnt mir helfen - keine lust wieder pfsense aufzuspielen

[lfirewall1243]

Eigentlich musst du auf dem gewünschten VLan Interface die Regel (evtl.ja eine allow Any). Das Gateway (ganz unten) auf deine VPN Gegenseite stellen.

Entweder wurde ein Gateway schon automatisch angelegt.
Sonst unter Gateways eins anlegen mit der Remote Tunnel IP der jeweiligen VPN


Also Portweiterleitungen braucht du dafür eigentlich garnicht

[Gauss23]

Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces  "natted". So wie im Screenshot.

Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).

[D0bby]

welcher screenshot?

Und danke euch beiden schonmal

[lfirewall1243]

Du brauchst einfach nur eine NAT Regel, die Traffic was auf dem VPN Interface aufschlägt, auf die IP des Interfaces  "natted". So wie im Screenshot.

Und natürlich brauchst Du auf dem Quell-Interface (z.B. LAN) eine Regel, die Traffic zu diesem Interface umleitet und akzepiert (wie lfirewall1243 schon schrieb).

Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?

[Gauss23]

Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?

Er schrieb:

Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?

[Gauss23]

welcher screenshot?

Und danke euch beiden schonmal

Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png

Nicht gesehen?

[lfirewall1243]

Sollte das nicht automatisch ablaufen wenn die Regel mit dem Gateway gesetzt ist ?

Er schrieb:

Ich stelle die Einstellung auf Manuelles NAT:

Dann LAN / Loopback / 127.0.0.0 auf Ineterface WAN
Nat Adresse WAN
Und einmal alles einmal mit staticport 500

Er hat auf manuell umgestellt und muss sie daher auch manuell anlegen. Selbst im Hybrid Modus musste ich das immer manuell erledigen. Woher soll die OPNsense wissen, dass das ein Interface ist, welches man NATten muss?

Ah das mit manuell hatte ich überlesen.
Dann klar

[D0bby]

Bei mir am Post hing: Bildschirmfoto 2020-10-31 um 19.52.36.png

Nicht gesehen?

doch gerade eben

[D0bby]

Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"

Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?

Code: [Select]

2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'

[lfirewall1243]

Ich versuch es gerade wieder - aber leider ohne Erfolg. Sobald ich mich switche von WAN auf vpn Gateway kommt nur noch im browser "dies ist keine sichere Verbindung"

Daher hier mal der openVPN log - evtl ist das oben doch ein fehler?

Code: [Select]

2020-11-01T09:13:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:37 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:27 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:17 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:13:07 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:57 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:47 openvpn[17753]: TCP/UDP: Incoming packet rejected from [AF_INET]*****:443[2], expected peer address: [AF_INET]*****:443 (allow this incoming source address/port by removing --remote or adding --float)
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client disconnected
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'status 2'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: CMD 'state all'
2020-11-01T09:12:45 openvpn[17753]: MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock
2020-11-01T09:12:41 openvpn[17753]: Initialization Sequence Completed
2020-11-01T09:12:41 openvpn[17753]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpnc1 1500 1553 10.27.240.211 255.255.255.0 init
2020-11-01T09:12:41 openvpn[17753]: /sbin/route add -net 10.27.240.0 10.27.240.1 255.255.255.0
2020-11-01T09:12:41 openvpn[17753]: /sbin/ifconfig ovpnc1 10.27.240.211 10.27.240.1 mtu 1500 netmask 255.255.255.0 up
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device /dev/tun1 opened
2020-11-01T09:12:41 openvpn[17753]: TUN/TAP device ovpnc1 exists previously, keep at program end
2020-11-01T09:12:41 openvpn[17753]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2020-11-01T09:12:41 openvpn[17753]: Data Channel: using negotiated cipher 'AES-256-GCM'

Hat dein VPN Provider sowas wie ein SSL Proxy am laufen der die Verbindung aufbricht?
Oder läuft dein eigener Proxy ?

[D0bby]

AirVPN - ich denke nicht. Bin mir aber nicht sicher.

Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/

[D0bby]

Code: [Select]

WAN LAN net * * * WAN address * NO Lan NAT    
vpn LAN net * * * vpn address * NO vpn NAT    
WAN LAN net * * 500 WAN address * YES Lan NAT 500 ISAKMP
so sieht aktuell mein NAT aus.

[lfirewall1243]

AirVPN - ich denke nicht. Bin mir aber nicht sicher.

Auf der pfSense lief alles - evtl iwo nen Fehler drin. Nur seh ich ihn nicht :/

Okay
Kenne airvpn selbst nicht. Laut Google gibt es aber immer Mal wieder Themen bezüglich HTTPS und Zertifikaten.

Ist das ein eigener Server den du als Gegenstelle aufsetzt oder ein Online Service wie z.B. NordVPN und Co?

[lfirewall1243]

Mach mal ein Screenshot von deinen
-Firewall Rules
-NAT Rules
- Outbound NAT