Keinen Zugriff auf OpenVPN auf pfsense

Falls Du Dich via Zertifikat authentifizierst, solltest Du schon dafür sorgen, dass das Zertifikat nicht binnen kürzester Zeit wieder abläuft.
Geht nur 1 Jahr für Clients, bin ich bei der Anleitung zu:
Viel pfiffiger wäre es auch wenn man nicht mit unnötiger extra VPN Software hantieren müsste. Die pfSense bietet durch ihre L2TP und IKEv2 Funktion eine technisch viel bessere Lösung:
L2TP VPN mit pfSense
IKEv2 VPN Server mit pfSense
Ist schneller eingerichtet, sehr viel performanter und unterstützt alle VPN Clients die jeder so oder so schon überall hat auf Windows, Apple Mac und Smartphone.
aus Post #25 auch drüber gestolpert.
Ich weiss zwar nicht, welche Anleitung Du nun meinst,
Die zitierte: IKEv2 VPN Server mit pfSense.
 
Najo, wie ich schon sagte... OpenVPN-Dienste prüfen, oder alternativ die IKEv2-Anleitung nochmal ganz genau Schritt für Schritt nachverfolgen, ggf. auch nochmal einen Blick in die Hersteller-Anleitung werfen.
 
Auf der Firewall selber installierst du doch niemals einen Client sondern die ist als Einwahlpunkt immer der "VPN Server" wenn du ein Client VPN erstellen willst?! Die VPN Clients befinden sich doch immer auf den mobilen Endgeräten mit denen du auf diesen Server zugreifen willst. ;-)
OVPN und IKEv2 können wie @blurrrr schon richtig gesagt hat problemlos koexistieren auf der Firewall. So hat man quasi eine eierlegende VPN(sau) die dann OpenVPN und auch IKEv2 Zugriffe erlaubt quasi also mehrfache VPN Protokolle supportet. Das rennt nicht nur auf der pfSense/OPNsense sondern auch auf einem Raspberry Pi oder gemieteten vServern. ;-)
Man kann sich also nichts "zerschiessen" wenn man beides parallel nutzt. Das ist ohne Probleme möglich.
Das Server Zertifikat ist bei IKEv2 immer eine zusätzliche Sicherheit so das Fremde oder Angreifer den Clients keinerlei Fake VPN Server unterschieben können. Anhand des Server Zertifikats auf der Firewall prüft der Client das er mit dem korrekten VPN Server verbunden ist.
Wichtig ist das das CA Zertifikat auf die Endgeräte in deren Zertifikatsspeicher importiert wird damit der Client das prüfen kann. Windows erzwingt diese Prüfung. Wenn du dich genau an das Tutorial hälst ist das ne sehr einfache Sache das zum Fliegen zu bringen.
Sollte es dich wider Erwarten überfordern kannst du auch den L2TP VPN Server umsetzen. Dort findet keinerlei Zertifikatsprüfung statt sondern lediglich nur eine Username / Passwort Prüfung. Auch das nutzt den auf allen Endgeräten vorhandenen L2TP VPN Client.

Was nicht geht ist eine Koexistenz von IKEv2 und L2TP auf der Firewall. Die Basis von beiden ist IPsec was aber nicht parallel genutzt werden kann. Es geht also nur entweder IKEv2 oder L2TP bei einem Client VPN. Wenn du L2TP nutzt musst du das IKEv2 Setup komplett entfernen und auch andersrum.
L2TP kann aber natürlich wie IKEv2 auch wieder mit OpenVPN oder auch Wireguard koexistieren auf der Firewall.
 
Zuletzt bearbeitet von einem Moderator:
Ich muss noch einmal was klarstellen, ich habe mich wohl schlecht ausgedrückt.
Ich habe ein OpenVPN-Server auf der pfsense.
Ich habe einen Client dafür auf Android, einen weiteren Client auf W11.
Ich hatte ein Problem mit dem User/Passwort, warum auch immer. Das ist geklärt gewesen. Danke.
Mich hat der Hinweis von @ted777 überzeugt, es zusätzlich mit IKEv2 VPN Server mit pfSense zu probieren.
Die Anleitung deckt nicht mehr den aktuellen Softwarestande der pfsense und auch nicht W11 ab.
Ich hatte mir das einigermaßen hininterpretiert, so schwer schien die Adaption nicht.
Nach der Clientkonfiguration auf W11 und einem ersten Versehen ohne IPv6 hatte ich eine Verbindung hergestellt.
Nur leider konnte ich mit dem Client nicht ins Heimnetzwerk greifen - was ja der eigentliche Sinn sein sollte.
Weiterhin funktioniert seit dieser VPN-Konfiguration auf W11 auf W11 auch OpenVPN nicht mehr.
Die Fehlermeldungen deuten auf ein Verbiegen der Routinginformationen auf dem Client hin.
---
Der Plan ist nun erst einmal beide VPN-Konfigurationen auf dem Client komplett zu entfernen.
Dann werde ich es neu versuchen (müssen).
Hilfreich ist schon mal der Hinweis, dass auf W11 OpenVPN und die bordeigene VPN-Konfiguration a'la IPsec - natürlich jeweils nur eines aktiv - funktionieren müssen.
 
Die Fehlermeldungen deuten auf ein Verbiegen der Routinginformationen auf dem Client hin.
Was auch so sein "muss", da der Client ansonsten garnicht wüsste, dass er über den VPN-Adapter Dein Heimnetzwerk erreicht. Entweder nur die Routen für Deine heimischen Netzwerke und der Rest läuft über das Standardgateway Deiner aktuellen Verbindung, oder eben alles über über die pfSense.

Der Plan ist nun erst einmal beide VPN-Konfigurationen auf dem Client komplett zu entfernen.
Dann werde ich es neu versuchen (müssen).
Ich denke, dass das durchaus sinnvoll ist. Wenn sowohl OpenVPN, als auch IKEv2 entsprechend eingerichtet sind (zugegeben, es kann natürlich immer mal irgendwo haken), solltest Du auch beides nutzen können. Ich habe auf diversen Firewalls auch unterschiedliche VPN-Arten im Einsatz (je nach Einsatzzweck/Gegenstelle), das ist also definitiv kein Problem.

Wünsche vorab schon mal viel Erfolg! :)
 
Zwischenstand: W11-Client in der pfsense neu gepackt und auf dem Client neu installiert -> funktioniert wieder.
Nun gehe ich mal an IPsec.
 
Moin,
ich lese nun ganz genau und überlege mit Vereinfachungen.
Ich habe bereits eine CA, allerdings weicht sie in dem Punkt "Key size" mit 4096 von den in der Anleitung angegebenen 2048 ab.
Kann ich die bestehende CA trotzdem verwenden oder sollte ich (wie im ersten Versuch) einen neue CA installieren?
 
Moin,
ich folge nun peinlich genau deer Anleitung.
Jetzt wäre der Moment laut Anleitung:
1732987242707.png
Meine pfsense hat kein IPsec.

1732987309261.png
Ich bin mir aber irgendwie sicher, vor ein paar Tagen die geforderte Regel eingerichtet zu haben.
 
Da hast Du dann wohl doch etwas übersehen, denn in #31 (Dein Post) hattest Du einen entsprechenden Screenshot eingestellt 🙃
 
Sieht "deaktiviert" aus bei Dir... hier sieht es so aus:

1732996085051.png

Wenn Du mit der Maus darüber fährst, sollte sich der Mauszeiger auch ändern 🙂
 
Hmmm...
nur Probleme.
1. Nach der Installation IP-Sec auf dem Client funktioniert auch OpenVPN auf dem Client nicht mehr.
2. Android funktioniert mit OpenVPN
3. Auf dem Win-Client connected sich die IPsec-Verbindung, Internet scheint zu gehen (ich weiß nicht, ob dass nicht doch über den WLAN-Break-Out läuft), keine IP-Adresse aus meinem Homenetz ist erreichbar.
4. Ich bekomme auf meinem WIN11 Client nun keinen Zugriff mehr auf meine pfsense, Zertifikat invalid
 
1. Nach der Installation IP-Sec auf dem Client funktioniert auch OpenVPN auf dem Client nicht mehr.
IPSec "installiert" man nicht auf einem Client, man fügt lediglich eine Verbindung hinzu - ganz wesentlicher Punkt

2. Android funktioniert mit OpenVPN
Sollte eigentlich beides funktionieren (halt nicht gleichzeitig).

3. Auf dem Win-Client connected sich die IPsec-Verbindung, Internet scheint zu gehen (ich weiß nicht, ob dass nicht doch über den WLAN-Break-Out läuft), keine IP-Adresse aus meinem Homenetz ist erreichbar.
Kannst Du ganz leicht nachprüfen mittels traceroute (Befehl unter Windows lautet "tracert), z.B. so:

tracert 8.8.8.8
tracert <interne IP eines Gerätes in Deinem LAN>

Also je nachdem, wohin Du willst - so siehst Du schon mal, wohin die Reise geht bzw. welche Strecke die Pakete nehmen.

4. Ich bekomme auf meinem WIN11 Client nun keinen Zugriff mehr auf meine pfsense, Zertifikat invalid
Na dann schau Dir das Zertifikat doch mal an, irgendwas muss da ja nicht passen. Die W11-Kiste hat auch das korrekte Datum/die korrekte Zeit?
 
IPSec "installiert" man nicht auf einem Client, man fügt lediglich eine Verbindung hinzu - ganz wesentlicher Punkt
Ja klar, falsche Formulierung meinerseits.
Ändert nix an dem Zustand des W11 Gerätes mit OpenVPN-Client und eingerichteter VPN-Verbindung.
2. Andorid habe ich noch nicht angefasst, ist erst mal nicht ganz so wichtig.
3. Jo, nicht dran gedacht. Wie beim letzten Mal, eine 2. Einwahl funktioniert nicht:
1733067730094.png
Die W11-Kiste hat auch das korrekte Datum/die korrekte Zeit?
Jepp. Edge keine Chance mehr, Firefox geht.
Muss mal die Browsereinstellungen zurücksetzen und dann mal schauen.
---
Gemacht und geht wieder.
 
Zuletzt bearbeitet:
Moin,
ich habe wieder einen meiner Fehler entdeckt.
Früher wurde beim Setzen des Hotspots im Handy das WLAN des Handys abgeschaltet.
Nun gibt das Handy wohl Hotspot aus dem WLAN. Blöd.
Mit dem Abschalten des WLAN im Handy funktionieren zumindest OpenVPN und die eingerichtete VPN-Verbindung auf Win 11.
Ich kann Internet über VPN (IPsec) aufrufen, allerdings nicht checken:
1733132074949.png
Der Verdacht besteht, dass es nach der Firewallregel versickert...
1733132135669.png
Zugriff auf mein Heimnetz ist weiterhin nicht möglich.
 
Der Verdacht besteht, dass es nach der Firewallregel versickert...
Kannst ja mal in die Firewall-Logs (live) schauen, während ein Ping läuft. Dauerhaft laufen lassen kannst Du den Ping unter Windows übrigens mit dem Parameter "-t", also z.B. ping -t 8.8.8.8. Wenn Du dann an irgendwas rumschraubst, siehst Du auch direkt, ob der Ping durch geht, oder eben nicht.
 
Das Problem mir der Einmaligkeit bleibt.
Versuche ich mich das 2. Mal einzuwählen:
1733133598265.png
Kannst ja mal in die Firewall-Logs (live) schauen, während ein Ping läuft.
Schwierig. Ich logge mich per IPsec mit meinem W11 Client ein, der hat dann ja keinen Zugriff auf die FW.
Das Handy macht gerade Hotspot - ohne WLAN.
Hab in dem Moment also erst mal keinen Zugriff auf die FW.
Danke für den Hinweis auf -t, kenne ich ;-)
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.798
Beiträge
56.620
Mitglieder
5.714
Neuestes Mitglied
schueler-f.de
Zurück
Oben