OpenVPN-Einrichtung: Problem beim Zugang aus dem Internet

[turnschuh]

Hallo zusammen,
meine OPNSense läuft unter der Version 26.1.x. Es ist sind folgende Schnittstellen aktiv: WAN, LAN und WLAN. Jetzt wollte ich einen OpenVPN-Server aufsetzen, um aus dem Internet auf das NAS zuzugreifen. Das NAS befindet sich im LAN.
Den OpenVPN-Server für einen Roadwarrior habe ich anhand folgender Anleitung aufgesetzt, wobei ich einige Punkte aufgrund der veralteten Dokumentation entsprechend anpassen musste:
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten
Einen dyndns-Dienst habe ich ebenfalls aufgesetzt und dieser liefert auch zu meiner Domäne die aktelle ISP-IPv4-Adresse.

Ich habe es soweit geschafft, dass der OpenVPN-Zugriff aus dem WLAN in das lokale Netz auf das NAS möglich ist. Sobald ich aber aus dem Internet zugreifen möchte, kommt ein Timeout auf dem OpenVPN-Client beim Initialisieren der VPN-Verbindung. Nach einigem Nachforschen mittels Online-Portscannern bin ich darauf gestoßen, dass der OpenVPN-Port 1194 von außen her nicht erreichbar, also geschlossen ist.
Ich habe schon verschiedene Firewall-Regeln / NAT-Outbound-Regeln erstellt, die aber den Port auf dem WAN-Interface nicht geöffnet haben.

Da ich schon am Verzweifeln bin, habe ich an euch folgende Frage:
Welche Regeln muss ich erlauben, dass der OpenVPN-Zugriff aus dem Internet klappt?
OpenVPN-Client -> Internet -> opnSense mit OpenVPN-Server / WAN-Schnittstelle -> LAN (mit NAS)

Die Regeln sollten aber soweit die Source und Destination einschränken, dass kein Scheunentor entsteht. Extrem hilfreich wäre eine kurze Klickanleitung, was ich wo eintragen muss. Alternativ würde mir auch eine Webseite helfen, in der das Vorgehen mit der aktuellen opnSense-Version 26.1.x beschrieben ist.

Vielen Dank im Voraus für eure Hilfe / Unterstützung
Turnschuh

[trixter]

Ahoi,

das Problem scheint mehrschichtig zu sein:

- klappt deine DNS-Auflösung? (zb zu Testen per Hotspot auf dem Handy)
- läuft deinn OpenVPN wirklich auf 1194?
- hast Du schon eine Regel auf WAN, welche Port 1194 (UDP/TCP?) freigibt?
- matcht diese Regel auch? (im Log)

Vielleicht hilft es die Punkte nacheinander zu checken ...

[viragomann]

Nach einigem Nachforschen mittels Online-Portscannern bin ich darauf gestoßen, dass der OpenVPN-Port 1194 von außen her nicht erreichbar, also geschlossen ist.

Vorsicht mit Port-Scanner bei OpenVPN.
Ich nehme an, du hast den OpenVPN Server für UDP konfiguriert, was Standard ist. Kaum ein Portscanner prüft aber UDP. Jedenfalls dann nicht, wenn du es nicht explizit auswählen kannst.

Anstatt einen Portscanner zu vertrauen, würde ich in OPNsense ein Packet Capture am WAN für Port 1194 laufen lassen, während ich von außen einen Zugriff mittels OpenVPN Client versuche.
Da solltest du ein Request-Pakete sehen, und funktioniert der Server, auch Responses.
Kommen keine Responses zurück, überprüfe Firewall-Regeln und die Server-Konfiguration sowie das OpenVPN Log.

Finden sich im Capture schon keine Request liegt das Problem außerhalb der OPNsense, bspw. vorgeschalteter Router, ISP od. beim Client.