Keinen Zugriff auf OpenVPN auf pfsense

[blurrrr]

Ich logge mich per IPsec mit meinem W11 Client ein, der hat dann ja keinen Zugriff auf die FW.

Warum nicht - nicht erlaubt? Zum testen würde ich dem Client/VPN-Teilnehmer schon die Erlaubnis geben, sich auf der Firewall anzumelden. Alternativ evtl. auch einfach den Zugriff von aussen temporär erlauben, oder einfach mit einem weiteren Gerät aus dem LAN auf die Firewall schauen.

 

[Fidibus]

Warum nicht - nicht erlaubt?

Interessanter Hinweis.
In der Konfig des Admin Acess gab es keine IP-Adressen des VPN-IP-Bereiches, den ich zugewiesen habe.
Trotzdem konnte ich mich mit OpenVPN auf die FW verbinden.
Aktuell waren dort nur meine LAN-Adressen NB und Handy hinterlegt.
Es bestätigt sich - ein 2maliges Anmelden auf VPN in W11 ist bei mir nicht möglich. Nach einem Neustart bekomme ich die VPN-Verbindung wieder hin, einmal

oder einfach mit einem weiteren Gerät aus dem LAN auf die Firewall schauen.

Das erfodert noch etwas Vorarbeit
.

 

[blurrrr]

Nach einem Neustart bekomme ich die VPN-Verbindung wieder hin, einmal

Neustart der pfSense, oder des Windows-Clients? Wenn es dabei nur um den Client geht, würde ich da einfach mal in die entsprechenden Logs schauen.

 

[Fidibus]

Windows-Clients

Jep - Win Neustart, dann go.
Ich finde das Ganze sehr komisch.
Vorab: OpenVPN funktioniert alles.
IPsec, von gut zu schlecht:
Google geht, andere Websites nicht oder nicht vollumfänglich
Zugriff ins lokale Netz geht nicht, obwohl:

In der oberen Regel wird der Destinationsport(80) nicht übernommen, ist auswählbar, keine Fehlermeldung.
In der weiter vorne verlinkten Anleitung war die Sprache von automatsch generierten Regeln (beim Einrichten von OpenVPN war das ebenfalls so), bei mir wurden keine Regeln automatisch eingerichtet.
Daher muss ich davon ausgehen, dass irgendwo was fehlt.
Mal ein Trace, links openVPN, rechts IPsec:

 

[Fidibus]

Moin,
ich muss hier einfach noch einmal aufwärmen.
Problem beschrieben zwischen post #1 bis #11.
Erneut in DK. Erneut nicht alles gut.
Zugriff über Händi hinter der Grenze über OpenVPN -> geht nicht.
Im WLAN des Ferienhauses -> geht.
Ich erinnere: anderes Ferienhaus -> ging nicht.

hast du ggf. in der pfsense ein GeoIP Blocking aktiv und einfach vergessen, da auch DK als "erlaubt" einzutragen?

So ist die unveränderte Einstellung:

Da ich dieses Jahr noch einige Tage in Afrika verbringen werde, wäre ich an einer Lösungsidee echt interessiert.

 

[the other]

Moinsen,
Zum einen mal versuchsweise die TOP spammer list deaktivieren.
Dann eher direkt Länder erlauben, restliche default nicht erlauben.
Und dazu kommt, je nachdem wie das Netzwerk, in welchem du (wlan Ferienhaus) bist, konfiguriert ist, hast du ggf eben kein VPN weil port geblockt. Deswegen openvpn, das kann auch auf 443 konfiguriert werden.
Warum es aber insgesamt mal so und mal anders vor allem aus dem Mobilfunk heraus...keine Ahnung. Sorry.

 

[blurrrr]

@Barungar hatte in Post #4 schon mal auf Probleme bzgl. der IP-Adressen hingewiesen (4/6). Wenn es "mal geht und mal nicht", könnte da ggf. auch ein Problem bestehen. Vielleicht nochmal prüfen

 

[Fidibus]

Moin,
danke euch für die Hinweise.

hast du ggf eben kein VPN weil port geblockt

Das wäe möglich. Aber wie du schon schreibst...warum dann nicht über Mobilfunk.

Wenn es "mal geht und mal nicht"

Das klingt nicht so, wie es landläufig dann verstanden wird.
Es geht sicher, oder eben sicher nicht. In D habe ich absolut keien Probleme, da kommt nur das mit dem geblockten Port in manchen WLAN's vor, da schaue ich mir mal 443 an.

 

[blurrrr]

Es geht sicher, oder eben sicher nicht.

Das hatte ich schon so verstanden. Also so spontan kommen mir da 2 Gedanken zu, das eine ist definitiv die v4/6-Thematik (k.A. wie es in DE darum bei Dir und Deinen Geräten bestellt ist), zum anderen halt die Firewall. Ich vermute einfach mal, dass Du Dir sicherlich nicht Datum und lokale IP notiert hast, als es mal wieder nicht ging und sicherlich auch keinen Traceroute vom aktuellen Standort gemacht hast?

EDIT: Ohne in die (aussagekräftigen) Logs zuschauen und ggf. ohne das genauer "vor Ort" geprüft zu haben, ist alles nur wilde Raterei. Also das nächste mal Traceroute mit dem Handy oder so, damit Du siehst, wie weit Du überhaupt zu Deinem Anschluss kommst + Datum/Uhrzeit notieren und dann später in den Firewall-Logs nachschauen.