9
PFSense OpenVPN public IP
Hallo Zusammen,
wir haben als Firewall eine PFSense (v.2.2.6) am Laufen auf der OpenVPN für die externe Einwahl
eingerichtet ist. Den VPN-Usern wird eine feste VPN-IP (Netz 192.168.199.0) zugewiesen.
Den VPN-Zugang nutzen zum anderen auch Dienstleister von uns.
Jetzt trat das Problem auf, dass wenn sich Dienstleister A mit zwei verschiedenen User (vpn1 und vpn2)
einwählt, nur einer von den beiden richtig funktioniert, sprich, die Einwahl und Vergabe der IP klappt
korrekt nur der Zugriff auf die entsprechenden Server klappt nicht.
Die Einwahl der beiden User erfolgt natürlich über die selbe öffentliche IP.
Scheitert das Ganze hier dran?
Gibt's eine Einstellung, die man tätigen muss, dass zwei User der selben öffentlichen IP korrekt funktionieren?
Sollten noch Informationen gewünscht werden bitte Bescheid sagen
Danke im voraus.
wir haben als Firewall eine PFSense (v.2.2.6) am Laufen auf der OpenVPN für die externe Einwahl
eingerichtet ist. Den VPN-Usern wird eine feste VPN-IP (Netz 192.168.199.0) zugewiesen.
Den VPN-Zugang nutzen zum anderen auch Dienstleister von uns.
Jetzt trat das Problem auf, dass wenn sich Dienstleister A mit zwei verschiedenen User (vpn1 und vpn2)
einwählt, nur einer von den beiden richtig funktioniert, sprich, die Einwahl und Vergabe der IP klappt
korrekt nur der Zugriff auf die entsprechenden Server klappt nicht.
Die Einwahl der beiden User erfolgt natürlich über die selbe öffentliche IP.
Scheitert das Ganze hier dran?
Gibt's eine Einstellung, die man tätigen muss, dass zwei User der selben öffentlichen IP korrekt funktionieren?
Sollten noch Informationen gewünscht werden bitte Bescheid sagen
Danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301939
Url: https://administrator.de/contentid/301939
Printed on: April 25, 2024 at 05:04 o'clock
9 Comments
Latest comment
Hallo,
an der gleichen öffentlichen IP liegt es nicht. Was sagen denn die logs vom pfsense und vom vpn client??
an der gleichen öffentlichen IP liegt es nicht. Was sagen denn die logs vom pfsense und vom vpn client??
Hi,
wie sieht die Konfiguration aus?
evtl. nur eine Site2Site-Verbindung? Wobei verschieden User - klar, würd sich beißen - demnach wohl nicht. < also schnell vergessen
Wie sieht die Fehlermeldung aus?
Wie sehen die IP-Infos der einzelenen Clients dann aus, wenn beide verbunden sind?
Auffälligkeiten in den Log`s?
greetz
ravers
wie sieht die Konfiguration aus?
evtl. nur eine Site2Site-Verbindung? Wobei verschieden User - klar, würd sich beißen - demnach wohl nicht. < also schnell vergessen
Wie sieht die Fehlermeldung aus?
Wie sehen die IP-Infos der einzelenen Clients dann aus, wenn beide verbunden sind?
Auffälligkeiten in den Log`s?
greetz
ravers
ich hab bei pfsense immer die konsole benutzt für das hinzufügen neuer benutzer und die configs dann per sftp runter geladen.
Vielleicht hilft das ja irgendwie weiter die Accounts neu zu erstellen.
Vielleicht hilft das ja irgendwie weiter die Accounts neu zu erstellen.
user@pfsense:~$ cd easyrsa.domain/
user@pfsense:~/easyrsa.domain$ tcsh
pfsense:~/easyrsa.domain> source vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/user/easyrsa.domain/keys
pfsense:~/easyrsa.domain> ./build-key-pass VPN_USER
Generating a 1024 bit RSA private key
.........++++++
..............++++++
writing new private key to 'VPN_USER.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be ausered to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:DE
State or Province Name (full name) [Berlin]:
Locality Name (eg, city) [Berlin]:
Organization Name (eg, company) [Organization]:
Organizational Unit Name (eg, section) :
Common Name (eg, your name or your server's hostname) [VPN_USER]:
Name :
Email Address [mail@domain.de]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name :
Using configuration from /home/user/easyrsa.domain/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'DE'
stateOrProvinceName :PRINTABLE:'Berlin'
localityName :PRINTABLE:'Berlin'
organizationName :PRINTABLE:'Organization'
commonName :T61STRING:'vpn_user'
emailAddress :IA5STRING:'mail@domain'
Certificate is to be certified until Nov 18 12:14:26 2023 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Hi,
wenn das Routing klappt, dann sollte das auch funktionieren.
Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Gruß orcape
wenn das Routing klappt, dann sollte das auch funktionieren.
Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Gruß orcape
Zitat von @orcape:
Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Hier klappt erst gar kein Verbinden zum Server (nach erfolgreicher VPN Einwahl), somit ist die Datenmenge völlig unrelevant. Generell spielt diese sowieso keine Rolle.Was verwendest Du für eine Hardware und welche Datenmengen werden da drüber geschaufelt?
Hier klappt erst gar kein Verbinden zum Server (nach erfolgreicher VPN Einwahl),...
Dann sollte hier schon einmal die Server.conf auf den "Tisch". Interessant wären auch die Logs der pfSense.
1
Hallo Zusammen,
schon mal vielen Dank für die regen Antworten.
Die Ereignis-Logs schreiben nichts auffälliges, alles wie gehabt.
Ich hab das Szenario von mir daheim heute auch ausprobiert, da hatte ich das selbe Problem.
Sobald ich von der gleichen öffentlichen IP mit zwei verschiedenen Usern per VPN verbunden bin kann ich
mit dem zweiten User keine Verbindung z.B. per RDP auf einen Server herstellen, obwohl die Rule entsprechend
gesetzt ist.
Anbei meine Server.conf
Habt ihr noch irgendwelche Ideen?
Würdet ihr eine andere VPN-Variante (Client-Server) bei der PFSense empfehlen?
Hier geht's zum einen zur Einwahl von uns (EDV) und von Dienstleistern.
schon mal vielen Dank für die regen Antworten.
Die Ereignis-Logs schreiben nichts auffälliges, alles wie gehabt.
Ich hab das Szenario von mir daheim heute auch ausprobiert, da hatte ich das selbe Problem.
Sobald ich von der gleichen öffentlichen IP mit zwei verschiedenen Usern per VPN verbunden bin kann ich
mit dem zweiten User keine Verbindung z.B. per RDP auf einen Server herstellen, obwohl die Rule entsprechend
gesetzt ist.
Anbei meine Server.conf
dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local **publicIP**
tls-server
server 192.168.199.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls **'Firma**+Server+Cert' 1 "
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.20.0 255.255.254.0"
push "route 192.168.50.0 255.255.255.0"
push "dhcp-option DOMAIN **domain**.local"
push "dhcp-option DNS 192.168.21.24"
push "dhcp-option DNS 192.168.21.14"
push "dhcp-option WINS 192.168.21.24"
push "dhcp-option WINS 192.168.21.14"
duplicate-cn
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
persist-remote-ip
floatHabt ihr noch irgendwelche Ideen?
Würdet ihr eine andere VPN-Variante (Client-Server) bei der PFSense empfehlen?
Hier geht's zum einen zur Einwahl von uns (EDV) und von Dienstleistern.
Hi,
nur so 'ne Idee. Du fährst den Tunnel mit MTU 1500. Muss nicht sein, aber ich hatte selbst schon massiv Probleme damit, das der Tunnel zwar stand, ich aber keine Verbindung zustande bekam. Bei mir laufen die alle zwischen 1300 und 1450 stabil, wobei das wohl auch vom Provider und dem DSL abhängt.
Gruß orcape
nur so 'ne Idee. Du fährst den Tunnel mit MTU 1500. Muss nicht sein, aber ich hatte selbst schon massiv Probleme damit, das der Tunnel zwar stand, ich aber keine Verbindung zustande bekam. Bei mir laufen die alle zwischen 1300 und 1450 stabil, wobei das wohl auch vom Provider und dem DSL abhängt.
Gruß orcape
Hi,
mit einer Side2Side-Verbindung hättest du "keine Probleme", aber nimmst dir halt etwas flexibilität, aber man kann ja auch beides laufen lassen.
Kann leider dein Szenario derzeit nicht nachstellen. Du schreibst auch nix zu den Fehlermeldungen.
greetz
ravers
mit einer Side2Side-Verbindung hättest du "keine Probleme", aber nimmst dir halt etwas flexibilität, aber man kann ja auch beides laufen lassen.
Kann leider dein Szenario derzeit nicht nachstellen. Du schreibst auch nix zu den Fehlermeldungen.
greetz
ravers
