openVPN

[Nambis]

Hallo,

ich bekomme openVPN nicht zum Laufen, egal was ich versuche. Need help, pls.

Ich habe es nach Anleitung konfiguriert "https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten#Firewall_Regeln_f.C3.BCr_OpenVPN_erstellen", die Zertifikate generiert alles wie beschrieben und es funktioniert nichts...

Da ich jetzt schon von einigen Leute hier gelesen habe, dass es da anscheinend Probleme gibt, wollte ich nachfragen, welche Alternativen es auf der Sense zu openVNP und IPSec sonst so gibt? Speziell für eine Roadwarrior Konfiguration.

Oder kennt jemand von euch ein Tutorial, was mit der aktuellen Version von OpenVPN welches auf der Sense mit ausgeliefert wird zum Erfolg führt?

Würde mich über Hilfe freuen!

[tiermutter]

Wenn es privat ist, dann ist wireguard eine herrliche Alternative.

[hsiewert]

Hallöle,

die Kombination von OpenVPN 2.6.3 auf der OPNsense und ein 2.5.9 Client funktioniert.

LG

[Nambis]

Wenn es privat ist, dann ist wireguard eine herrliche Alternative.

Top, werde ich mir mal anschauen, Danke!

Hallöle,

die Kombination von OpenVPN 2.6.3 auf der OPNsense und ein 2.5.9 Client funktioniert.

LG

Schaue ich mir auch noch an, Danke!

[Nambis]

Wenn es privat ist, dann ist wireguard eine herrliche Alternative.

Ah was ich noch fragen wollte ist, warum nur für privat? Wegen Lizenzen oder Stabilität?

[Patrick M. Hausen]

Skaliert nicht - keine Nutzerverwaltung, kein IP-Adress-Management, keine externe Authentifizierung (LDAP, RADIUS, ...)

[Nambis]

Skaliert nicht - keine Nutzerverwaltung, kein IP-Adress-Management, keine externe Authentifizierung (LDAP, RADIUS, ...)

Ah deswegen... was gibt es da noch für Alternativen zu IPsec, openVPN und Wireguard.

Hatte mich eigentlich schon auf openVPN eingestimmt, ärgerlich, dass es damit jetzt nicht funktioniert.


Edit:

Ich habe es jetzt mittels Wireguard realisiert, bekommen. Mit OpenVPN will ich es dennoch demnächst probieren.

[tiermutter]

Was aktuell mit / bei OVPN nicht stimmt weiß ich nicht, bin noch einige (OPNsense) Versionen zurück und habe daher keine Probleme.

Wireguard ist schon sehr fein was speed angeht, halt nur privat brauchbar und ganz ehrlich: "easy to setup" ist WG keinesfalls, ich finde es eher verwirrend, aber wenn es steht, dann rennt es auch wie ein Tier.

Wenn WG läuft, was willst Du dann noch mit OVPN? Welche Anforderungen hast Du?

[Nambis]

Die Konfiguration geht einigermaßen, hatte ein gutes Tut + die Doku.

Man kann ein Interface erstellen für WG, das finde ich sehr praktisch für die FW Regeln, damit lässt sich dann der Zugriff auf einzelne Netzwerke steuern, also so wie man es halt braucht.


Du hast recht, wenn WireGuard läuft, brauche ich ja kein openVPN.

[Ronny1978]

Wireguard ist schon sehr fein was speed angeht, halt nur privat brauchbar und ganz ehrlich: "easy to setup" ist WG keinesfalls, ich finde es eher verwirrend, aber wenn es steht, dann rennt es auch wie ein Tier.

Hier kann ich nur zustimmen. Aber auch OpenVPN läuft bei mir. Aber "zuhause" werde ich durch Wiregard ablösen. Ist aber etwas mehr config-Arbeit beim Anlegen.

[Ronny1978]

Oder kennt jemand von euch ein Tutorial, was mit der aktuellen Version von OpenVPN welches auf der Sense mit ausgeliefert wird zum Erfolg führt?

Würde mich über Hilfe freuen!

Eigentlich kann man der Anleitung von der OpnSense Docu folgen.

https://docs.opnsense.org/manual/how-tos/sslvpn_client.html

oder hier

https://www.computerweekly.com/de/ratgeber/OPNsense-Einfache-Home-Office-Anbindung-per-OpenVPN

Wo hast du den genau Probleme? Was hast du alles schon eingerichtet?

[JeGr]

Verstehe die Aussage zu OpenVPN auch nicht ganz. Wenns Probleme gibt, gern Output hier rein was wo klemmt. Und bitte Server und Client mit "verb 3" als Config Keyword bespaßen, damit mehr Output ersichtlich ist, mit dem man Debuggen kann.

Ansonsten hat OpenVPN 2.6 mit 2.5.x eigentlich kein Problem, sowohl in die eine als auch die andere Richtung funktionieren Client und Server hin und her.

Ab 2.6 ist zudem ein großes "pro" Argument für die Wireguard-Begeisterten wesentlich schwächer geworden: die Performance wurde nämlich durch DCO Features ordentlich verbessert, was auch schon bei nur einer Seite mit DCO ersichtlich ist und bei beiden Seiten mit 2.6.x und DCO dann durchaus spürbar wird vom Datendurchsatz. Ansonsten verstehe ich meist den Hype um WG nicht ganz, da es gerade in etwas komplexeren Setups immer noch deutliche Nachteile hat und sich nicht ordentlich "einfangen" lässt. Bestes Beispiel sind Multi-WAN Verbindungen bei denen man auf dem nicht-default WAN Uplink dann gern WG laufen lassen möchte. Das bekommt man nur umständlich hin und dann aber auch nicht wirklich mit Failover, wenns dann doch mal wechseln soll. Oder auch die Namensauflösung mit Dyndns Gegenstellen, die nicht so wirklich refresht werden und zum Abbruch führen wenn sich die IP ändert (bei Tunneln über DynDNS Gegenstellen häufig ein Problem). Nicht falsch verstehen - es ist ein tolles Stück VPN Software und bspw. als Unterbau für neue Sachen wie Tailscale/Headscale und Co echt großartig. Aber gerade wenn man etwas detailliertere Configs bauen möchte ist es SEHR roh/rudimentär und legt einem unnötig Steine in den Weg, was OpenVPN wesentlich besser abhandeln kann. Und mit den Verbesserungen gerade am OVPN Kern und dem Data Channel ist da auch Bandbreite oder Übertragung wahrscheinlich bald kein großer Faktor mehr.

Cheers

[Nambis]

Danke JeGr, ich schaue es mir an wen ich mehr Zeit habe.

[rebru]

Und wenn Du einen ganz anderen Ansatz fahren/ansehen möchtest kannst Du Dir mal Twingate oder Zerotier angucken (kannst auch einen Brückenkopf mit Docker erstellen, so dass Du es nicht auf jedem Topf installieren musst, den Du im internen Netz erreichen willst).

Das wäre dann komplett unabhängig von der Firewall sozusagen. Ich finde das Konzept ziemlich ansprechend und gerade wenn man es mit einem Brückenkopf macht äusserst easy zu konfigurieren.