OpenVPN-Einrichtung: Problem beim Zugang aus dem Internet

[turnschuh]

Hallo zusammen,
meine OPNSense läuft unter der Version 26.1.x. Es ist sind folgende Schnittstellen aktiv: WAN, LAN und WLAN. Jetzt wollte ich einen OpenVPN-Server aufsetzen, um aus dem Internet auf das NAS zuzugreifen. Das NAS befindet sich im LAN.
Den OpenVPN-Server für einen Roadwarrior habe ich anhand folgender Anleitung aufgesetzt, wobei ich einige Punkte aufgrund der veralteten Dokumentation entsprechend anpassen musste:
https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten
Einen dyndns-Dienst habe ich ebenfalls aufgesetzt und dieser liefert auch zu meiner Domäne die aktelle ISP-IPv4-Adresse.

Ich habe es soweit geschafft, dass der OpenVPN-Zugriff aus dem WLAN in das lokale Netz auf das NAS möglich ist. Sobald ich aber aus dem Internet zugreifen möchte, kommt ein Timeout auf dem OpenVPN-Client beim Initialisieren der VPN-Verbindung. Nach einigem Nachforschen mittels Online-Portscannern bin ich darauf gestoßen, dass der OpenVPN-Port 1194 von außen her nicht erreichbar, also geschlossen ist.
Ich habe schon verschiedene Firewall-Regeln / NAT-Outbound-Regeln erstellt, die aber den Port auf dem WAN-Interface nicht geöffnet haben.

Da ich schon am Verzweifeln bin, habe ich an euch folgende Frage:
Welche Regeln muss ich erlauben, dass der OpenVPN-Zugriff aus dem Internet klappt?
OpenVPN-Client -> Internet -> opnSense mit OpenVPN-Server / WAN-Schnittstelle -> LAN (mit NAS)

Die Regeln sollten aber soweit die Source und Destination einschränken, dass kein Scheunentor entsteht. Extrem hilfreich wäre eine kurze Klickanleitung, was ich wo eintragen muss. Alternativ würde mir auch eine Webseite helfen, in der das Vorgehen mit der aktuellen opnSense-Version 26.1.x beschrieben ist.

Vielen Dank im Voraus für eure Hilfe / Unterstützung
Turnschuh

[trixter]

Ahoi,

das Problem scheint mehrschichtig zu sein:

- klappt deine DNS-Auflösung? (zb zu Testen per Hotspot auf dem Handy)
- läuft deinn OpenVPN wirklich auf 1194?
- hast Du schon eine Regel auf WAN, welche Port 1194 (UDP/TCP?) freigibt?
- matcht diese Regel auch? (im Log)

Vielleicht hilft es die Punkte nacheinander zu checken ...

[viragomann]

Nach einigem Nachforschen mittels Online-Portscannern bin ich darauf gestoßen, dass der OpenVPN-Port 1194 von außen her nicht erreichbar, also geschlossen ist.

Vorsicht mit Port-Scanner bei OpenVPN.
Ich nehme an, du hast den OpenVPN Server für UDP konfiguriert, was Standard ist. Kaum ein Portscanner prüft aber UDP. Jedenfalls dann nicht, wenn du es nicht explizit auswählen kannst.

Anstatt einen Portscanner zu vertrauen, würde ich in OPNsense ein Packet Capture am WAN für Port 1194 laufen lassen, während ich von außen einen Zugriff mittels OpenVPN Client versuche.
Da solltest du ein Request-Pakete sehen, und funktioniert der Server, auch Responses.
Kommen keine Responses zurück, überprüfe Firewall-Regeln und die Server-Konfiguration sowie das OpenVPN Log.

Finden sich im Capture schon keine Request liegt das Problem außerhalb der OPNsense, bspw. vorgeschalteter Router, ISP od. beim Client.

[turnschuh]

Hallo zusammen,
vielen Dank für eure Antworten und den Hinweis mit den Portscanner bei UDP-Paket, dessen ich mir gar nicht bewusst war.
Nun habe ich heute mal endlich wieder Zeit gehabt und den Packet Capture am WAN laufen gelassen.
Dabei habe ich das Handy als WLAN-Hotspot verwendet und mich mit dem Client verbunden. Der Client ist ein aktuelles Debian 13 (Trixie) mit dem Networkmanager OpenVPN-Client aus dem Debian-Repository.
Bei Auswertung des Packet Capture war kein einziger Request auf Port 1194 vorhanden. Demnach werde ich beim ISP nachhaken, ob sie mir da weiterhelfen können, aber viel Hoffnung habe ich da nicht, da sie nur Support für ihre ausgegebene Fritzbox-Konfiguration geben.
Ich selbst bin dabei, die Fritzbox soweit wie möglich aus dem Heimnetz zu verdrängen, aber sie wird eben noch für mein Analog-DECT-Telefon benötigt.
Ansonsten ist die opnSense der Einstiegspunkt zum Heimnetz und verteilt von hier aus auf LAN und WLAN.
Ich werde die nächsten Tage, wenn etwas Zeit ist, die nächsten Punkte aus euren Vorschlägen weiter mir durchgehen.

@trixter:
- klappt deine DNS-Auflösung? (zb zu Testen per Hotspot auf dem Handy) --> ja, sowohl mit dem Handy als auch mit der opnSense sind Webseiten aufrufbar
- läuft deinn OpenVPN wirklich auf 1194? --> ja
- hast Du schon eine Regel auf WAN, welche Port 1194 (UDP/TCP?) freigibt? --> ja, aber vielleicht hat sie das Problem, da ich kein Match im Log sehe
Hier ist die Regel:
- Interface: WAN
- Quick: yes
- Action: pass
- Direction: in
- Version: IPv4
- Protocol: UDP
- Source: any
- Source Port: any
- Destination: WAN address
- Destination Port: 1194
- Log: yes
- Gateway: None
Bei Gateway habe ich testweise auf WAN_PPPOE umgestellt, aber auch erfolglos. Weiterhin gibt es dort noch 2 Null-Einträge, aber 'default' wie in der Hilfe beschrieben, kann ich dort nicht auswählen und auch nicht eintippen.

[viragomann]

Hallo,

Einen dyndns-Dienst habe ich ebenfalls aufgesetzt und dieser liefert auch zu meiner Domäne die aktelle ISP-IPv4-Adresse.

und welchem Gerät ist die IP auf deiner Seite zugewiesen? Der FritzBox oder der OPNsense?

Ich vermute der FB. Das würde heißen, diese ist als Router konfiguriert.
Hast du dann den Traffic auch auf die OPNsense weitergeleitet bzw. diese als "Exposed Host" gesetzt?

Gehen andere Ports durch, wie Port TCP 80, 433? Das kannst du dann auch mit typischen Portscannern überprüfen.

[turnschuh]

Hallo,
die ISP-IP ist der opnSense zugewiesen, da diese der Router ist. Die Fritzbox hängt nur als Client in dem LAN. Gehe ich mit einem PC aus dem LAN ins Internet, sind alle Seiten aufrufbar.
Ein Portcheck auf SSL, IMAP etc. liefert immer ein Timeout, da ich ja keine lokalen Dienste ins Internet stellen möchte. Daher denke ich, dass dies ok ist: nur Verbindungen von innen nach außen sind erlaubt. Einzig das Open-VPN soll von außen zugänglich sein.

[viragomann]

Wenn du eine öffentliche IPv4 vom ISP bekommst, würde ich annehmen, dass man darauf von außen auch zugreifen kann. Aber das kann natürlich vom jeweiligen ISP abhängen.

Timeouts sind klar, solange kein Dienst auf deiner Seite die Verbindungsanfragen beantwortet. Deshalb ist hierfür Packet Capture meine erste Wahl. Das zeigt einfach nur mal, ob ein Paket zur OPNsense durchkommt.
Du kannst ein Packet Capture auch laufen lassen, während du einen Test mit einem Portscanner machst. Einige Portscanner verraten auch gleich vorweg ihre Quell-IP, so dass man diese in den Capture Filter setzen kann, um andere Verbindungen raus zu halten.

Kommt da gar nichts, lässt wahrscheinlich der ISP nichts durch.