OpenVPN - howto

[DerTom]

Hallo zusammen,

nachdem OPNsense bei mir zumindest in den Grundzügen läuft, wollte ich nun in einem weiteren Schritt meinen VPN-Provider (Torguard) einbinden.

Dabei habe ich mich an diesem 'howto' orientiert: https://forums.torguard.net/index.php?/topic/1686-openvpn-opnsense-client-dead-simple/

Hat soweit auch funktioniert:
1. Services zeigt openvpn mit Status 'up'
2. Unter Gateways werden die beiden Torguard Gateways ebenfalls als 'up' gelistet, wobei nur der IPv4 mit einer IP versehen ist = Sollte i. O. sein, da ich IPv6 deaktiviert habe.
3. Unter Interfaces wird das OpenVPN-Interface ebenfalls als aktiv gelistet.
4. OpenVPN/Client Instance Statistics zeigt ebenfalls eine aktive Verbindung.

Problem, die Einträge im log:
2020-12-22T18:31:19   openvpn[7933]   MANAGEMENT: Client disconnected   
2020-12-22T18:31:19   openvpn[7933]   MANAGEMENT: CMD 'status 2'   
2020-12-22T18:31:19   openvpn[7933]   MANAGEMENT: CMD 'state all'   
2020-12-22T18:31:19   openvpn[7933]   MANAGEMENT: Client connected from /var/etc/openvpn/client1.sock

Ich habe mir ein VLAN erstellt, Interface zugewiesen, DHCP-Server konfiguriert.

Für dieses VLAN-Interface habe ich dann in der Firewall die folgende Regel definiert, damit der Internetverkehr über die OpenVPN-Verbindung läuft:
IPv4 *   OVPN net   *   ! OVPN net   *   TGOVPNGW_VPNV4   *

Notebook angeschlossen und getestet...

DHCP-Adresse wird zugewiesen. DNS und Gateway-Einstellungen entsprechen der IP, die ich dem Interface bei dessen Einrichtung zugewiesen habe. Ich habe aber keine Internetverbindung.

Ist das Problem in der Fehlermeldung aus dem Log zu sehen oder in meiner Firewall Regel?

Sollte es im OPNsense ein besseres howto geben, lasst es mich doch bitte wissen.

Viele Grüße!

[micneu]

hast du eine outbound-nat regele für die vpn erstellt?
schau dir am besten noch mal das an
https://support.nordvpn.com/Connectivity/Router/1292598142/OPNsense-18-7-setup-with-NordVPN.htm
wie hast du getestet ob dein internet geht?
oder kann es sein das nur dein dns nicht über dein vpn funktioniert?

[DerTom]

Hallo micneu,

getestet habe ich das mit einem Notebook. Firefox gestartet und keine Verbindung.

Die outbound-nat-Regel hatte ich, habe diese dann deaktiviert und die o. g. Firewall Regel erstellt. Nur der Verkehr aus dem VLAN soll über die OpenVPN-Verbindung und nicht der gesamte Datenverkehr... Falsch gedacht?

Werfe mal einen Blick auf das NordVPN Setup.

Viele Grüße!

[Gauss23]

Warum hast Du auf dem VLAN Interface eine Regel, die als Source das OVPN Netz haben soll? Schau mal per Klick auf "Inspect", ob die Regel überhaupt Anwendung findet.

Und hast Du eine Outbound NAT Regel für das OVPN Interface?

[micneu]

Hallo micneu,

getestet habe ich das mit einem Notebook. Firefox gestartet und keine Verbindung.

Die outbound-nat-Regel hatte ich, habe diese dann deaktiviert und die o. g. Firewall Regel erstellt. Nur der Verkehr aus dem VLAN soll über die OpenVPN-Verbindung und nicht der gesamte Datenverkehr... Falsch gedacht?

Werfe mal einen Blick auf das NordVPN Setup.

Viele Grüße!

Du musst natürlich nur das aus der NordVPN Anleitung nutzen als Leitfaden.
So wie du das beschrieben hast ist klar das wir zu wenig Infos bekommen.
1. bitte mal aus deinem vlan ein Ping auf Google DNS Server.
2. bitte mal screenshots von outbound nat
3. Screenshots von deiner vlan Firewall Settings

PS: ist es nicht gewagt wenn man keine hanung von der sense hat gleich mit einem vpn-provider zu starten?

Gesendet von iPad mit Tapatalk Pro

[DerTom]

Hallo zusammen,

@Gauss23
Hinter OVPN versteckt sich das VLAN, alle Pakete, die nicht für dieses Netz bestimmt sind, sollen über das OpenVPN-Gateway raus.

@micneu
1. ping geht nicht
2. s. Anhang
3. s. Anhang

Viele Grüße

P.S. wie soll man es sonst lernen?

[Gauss23]

Deine Outbound NAT Regel für das VPN Interface sind nicht komplett. Warum als Source 127.0.0.0/8?

Theoretisch kannst du als Source auch any dort einsetzen, da alles was die OPNsense über das Interface verlässt genattet werden soll. Oder Du nimmst OVPN36GER Net als Source.

[DerTom]

Hallo @Gauss23!

Da habe ich mich zu sehr an die theoretische Vorlage/howto gehalten und zu schnell 'abgeschrieben'.

Vielen Dank, funktioniert jetzt!

Wo darf ich das Bierchen hinschicken?

Viele Grüße

[micneu]

Nach Hamburg und das andere kann ich dir nicht sagen, adresse bekommst du per pn, warte auf deine anfrage