RDP mit Windows-VPN keine Verbindung

[kosta]

Hallo,
meine Frau kommt via OPNsense leider nicht in ihr Netz in der Firma.
Sie verbindet sich in Windows mit VPN zu vpn.company.com, und dann mit RDP zu tsintern.mgmt.company.com.
Die RDP Verbindung zu dem Server funkt nicht.
RDP geht allerdings normal, ich kann mich über meinem S2S Tunnel in meine Firma verbinden.
Ich habe auf allen FW-Logs Logging eingeschaltet, dort poppt nix auf.
DNS ist es nicht, die FQDN wird aufgelöst.
Pingen kann ich den FQDN erfolgreich.
Wo soll ich denn noch schauen?
Danke

[Gauss23]

Welches VPN Protokoll?

[kosta]

IKEv2.

[Patrick M. Hausen]

Und IPsec? Sie verbindet sich also mit dem Windows-PC direkt mit dem Firmennetzwerk? Damit hat die OPNsense nun nicht so viel zu tun, oder? Sie muss die Pakete nur geNATet nach draußen lassen.

Kann sie denn auf andere Ressourcen in der Firma zugreifen? Seid Ihr sicher, dass der VPN-Tunnel generell funktioniert? Wenn ja, ist es definitiv kein OPNsense-Problem. Der Witz an einem VPN ist ja, dass die Sense in den Tunnel eben nicht reingucken kann ...

[chemlud]

Schuss in's Blaue

https://pfsense-docs.readthedocs.io/en/latest/nat/static-port.html

[kosta]

@pmhausen:
Was ist mit IPsec? Die Firewall ist zur Zeit noch mit dem default Rule alle alles überall bestückt. Ich arbeite gerade an der Firewall um das abzuschalten.
Ja, sie verbindet sich mit einer Windows VPN Verbindung. Das Ding macht am Rechner nen VPN. Nein, die OPNsense hat eig. nix zu tun. Nur offene Ports. Sollte so sein. Jedoch funkt es nicht.
Es gibt keine anderen Ressourcen - sie verbindet VPN und macht RDP auf.
Wie soll ich sicher sein dass der Tunnel richtig funktioniert? Man geht auf verbinden und das Ding steht auf Verbunden. Mit Sophos hat es bis zur Umstellung auf OPNsense tadellos funktioniert.
Und, ich glaube schon dass es mit OPNsense zu tun hat, denn wenn sie via Handy-Hotspot geht, funktioniert es.

[kosta]

Schuss in's Blaue

https://pfsense-docs.readthedocs.io/en/latest/nat/static-port.html

Hallo,danke für den Vorschlag. So hab ich gemacht, ist das korrekt? (geht noch immer nicht)

[Gauss23]

States reset danach gemacht?

[kosta]

States reset danach gemacht?

Jetzt ja. Ich habe NAT auch manuell konfiguriert. Einfach LAN -> any/any -> WAN.
Auch versucht UDP 500 mit static und ohne separat (steht vor dem obigen Rule).

Vielleicht ausschlaggebend: ich habe auch ein S2S IPsec Tunnel zu meiner Firma. Das Abdrehen bringt auch nix.

[Gauss23]

Welcher Internetanbieter?

Ich hatte das mit Sophos Connect Clients an einer Sophos XG. Dort konnten Vodafone Kabel Kunden mit DS-Lite auch kein RDP über IPsec laufen lassen, obwohl Ping und co liefen.

[kosta]

Österreich, Magenta. Das dürfte aber überhaupt kein Problem sein. Wie gesagt, hat mit Sophos bis vorm Wochenende funktioniert. Wäre sehr seltsam warum es gerade NUR auf der OPNsense nicht funkt.

[Gauss23]

Am internen Netz hast du bei der Umstellung nichts geändert? Subnet und co sind identisch?

Der FQDN für den RDP Host ist definitiv nicht zufällig in Deinem Subnetz?

[kosta]

Das habe ich belassen wie es ist, ich habe die Sense rund um das vorher existierende Netzwerk aufgebaut.
Nope. FQDN ist was ganz anderes, ihre Firma halt.

[Gauss23]

Dann würde ich mal versuchen:
Interfaces: Diagnostics: Packet Capture

Und schauen, was da so kommt, wenn sie eine RDP Verbindung aufbauen will.

[Gauss23]

Ach so, noch eine Frage: betreibst Du doppeltes NAT (Router vom Internetanbieter stellt die Internetverbindung her) oder bekommt die OPNsense direkt eine öffentliche IPv4 Adresse?