3
OPNsense blockt UDP Datenpakete trotz pass Regel (VPN)
Hallo,
wie oben beschrieben habe ich ein Problem mit OPNsense in Verbindung mit OpenVPN.
Kurz zu den Gegebenheiten:
Die OPNsense läuft hinter meinem DSL Router.
Das WAN hat die Adresse 192.168.X.0/24 und das LAN die Adresse 192.168.Y.0/24
Auf dem Router wird der Port 1194 (UDP) erfolgreich an die OPNsense weitergeleitet.
Die VPN Verbindung erfolgt über die DynDNS Adresse. Das funktioniert auch soweit, sie wird richtig aufgelöst.
(Das gleiche Szenario habe ich in der Vergangenheit schon einmal erfolgreich mit einem RasPi als OpenVPN Server realisiert.)
Der VPN Server auf der OPNsense wurde strikt nach Dokumentation erstellt (ohne 2FA Authentifizierung).
1
Alle laut Doku erforderlichen Firewall Regeln wurden angelegt
Nun das Problem:
Verbinde ich mich per Android Smartphone via OpenVPN erhalte ich beim Client eine Timeout Meldung (Poll Server Timeout).
Im Firewall Log der OPNsense kann ich sehen, dass auf dem WAN Interface alle eingehenden UDP Verbindungen auf Port 1194 trotz der im WAN angelegten Firewall Regel durch eine "Default Deny Rule" geblockt werden.
Ich kann mir allerdings keinen Reim darauf machen, wo diese Regel verzeichnet sein soll.
Auf dem WAN Interface gibt es genau eine Regel:
Proto: IPv4 UDP; Source: *; Port: *; Destination: *; Port: 1194(OpenVPN); Gateway: *; PASS
Auch "Block private Networks" ist deaktiviert.
Als ich dann aus Verzweiflung auf jedem Interface alles freigegeben habe, war im Protokoll weder eine zugelassene noch eine abgelehnte Verbindung zu sehen.
Mache ich hier etwas grundsätzlich Falsch und sehe den Wald vor lauter Bäumen nicht oder ist das ein tieferliegendes Problem?
Ich bin für jede Hilfe dankbar!
wie oben beschrieben habe ich ein Problem mit OPNsense in Verbindung mit OpenVPN.
Kurz zu den Gegebenheiten:
Die OPNsense läuft hinter meinem DSL Router.
Das WAN hat die Adresse 192.168.X.0/24 und das LAN die Adresse 192.168.Y.0/24
Auf dem Router wird der Port 1194 (UDP) erfolgreich an die OPNsense weitergeleitet.
Die VPN Verbindung erfolgt über die DynDNS Adresse. Das funktioniert auch soweit, sie wird richtig aufgelöst.
(Das gleiche Szenario habe ich in der Vergangenheit schon einmal erfolgreich mit einem RasPi als OpenVPN Server realisiert.)
Der VPN Server auf der OPNsense wurde strikt nach Dokumentation erstellt (ohne 2FA Authentifizierung).
1
Alle laut Doku erforderlichen Firewall Regeln wurden angelegt
Nun das Problem:
Verbinde ich mich per Android Smartphone via OpenVPN erhalte ich beim Client eine Timeout Meldung (Poll Server Timeout).
Im Firewall Log der OPNsense kann ich sehen, dass auf dem WAN Interface alle eingehenden UDP Verbindungen auf Port 1194 trotz der im WAN angelegten Firewall Regel durch eine "Default Deny Rule" geblockt werden.
Ich kann mir allerdings keinen Reim darauf machen, wo diese Regel verzeichnet sein soll.
Auf dem WAN Interface gibt es genau eine Regel:
Proto: IPv4 UDP; Source: *; Port: *; Destination: *; Port: 1194(OpenVPN); Gateway: *; PASS
Auch "Block private Networks" ist deaktiviert.
Als ich dann aus Verzweiflung auf jedem Interface alles freigegeben habe, war im Protokoll weder eine zugelassene noch eine abgelehnte Verbindung zu sehen.
Mache ich hier etwas grundsätzlich Falsch und sehe den Wald vor lauter Bäumen nicht oder ist das ein tieferliegendes Problem?
Ich bin für jede Hilfe dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 437264
Url: https://administrator.de/contentid/437264
Printed on: April 20, 2024 at 11:04 o'clock
3 Comments
Latest comment
Alle laut Doku erforderlichen Firewall Regeln wurden angelegt
Hast du das mit diesem Tutorial nochmal quergecheckt ?OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
kann ich sehen, dass auf dem WAN Interface alle eingehenden UDP Verbindungen auf Port 1194 trotz der im WAN angelegten Firewall Regel durch eine "Default Deny Rule" geblockt werden.
Das mach daran liegen das am WAN Port per Default alle RFC 1918 IP Netze geblockt werden. Da du aber in einer Router Kaskade mit deinem DSL Router arbeitest und dein DSL Router ja ein privates IP Netz dort nutzt, musst du den Haken dafür am WAN Port entfernen ! (Beispiel pfSense WAN Port)
Abgesehen davon ist auch deine Firewall Regel für OpenVPN falsch !
Ziel IP Adresse ist ja nicht any sondern die WAN Port IP Adresse. Logischerweise muss deine Regel am WAN Port dann wie folgt lauten:
Proto: IPv4 UDP; Source: *; Port: *; Destination: WAN_address; Port: 1194(OpenVPN); Gateway: *; PASS
1
Hallo,
zunächst vielen Dank für deine Antwort!
Das mit der Firewall Regel werde ich ausprobieren, sobald ich wieder daheim bin!
Auch wenn ich mich etwas wundere, da dies die Regel ist, die nach Erstellen des Servers automatisch erstellt wurde.
zunächst vielen Dank für deine Antwort!
Zitat von @aqui:
Das mach daran liegen das am WAN Port per Default alle RFC 1918 IP Netze geblockt werden.
Das meinte ich mit "Auch Block private Networks ist deaktiviert."Das mach daran liegen das am WAN Port per Default alle RFC 1918 IP Netze geblockt werden.
Das mit der Firewall Regel werde ich ausprobieren, sobald ich wieder daheim bin!
Auch wenn ich mich etwas wundere, da dies die Regel ist, die nach Erstellen des Servers automatisch erstellt wurde.
Jedenfalls bei der pfSense rennt das so absolut fehlerfrei...
