Freetz OpenVPN Internetzugang für Clients

jugi

Neuer User
Mitglied seit
27 Okt 2009
Beiträge
57
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich habe eine 7580 mit freetz (freetz-master-5629f95) und OpenVPN am laufen. VPN Konfiguration ist mit Zertifikaten eingerichtet und der Zugriff vom Win10 Client auf das Heimnetz funktioniert auch. Ich möchte allerdings mit dem Client auch über meine FritzBox ins Internet gehen. Bin mir sicher, dass das auch schon mal lief (damals mit 7390 und Win7 Client), nun bekomme ich das aber nicht hin.

In der OpenVPN Konfig habe ich lokales und entferntes Netz und auch den Haken bei "Jedes Paket des Clients umleiten" gesetzt. Ich bekomme aber keinen Zugriff ins Internet. Woran kann das noch liegen?
Heimnetz: 192.168.178.0 -> Das kann ich erreichen, sowohl die FB, als auch andere Geräte in dem Netz.
Win10 IP: 192.168.0.102

Gruß
Jürgen

1570266733774.png
 
VPN DNS ist ok?
 
Ich gebe in der VPN Konfig keinen DNS Server vor. Der Client hat die Google Server 8.8.8.8 und 8.8.4.4. Diese werden aber nicht erreicht.
 
Ich hatte den gleichen FallI. Ich teste das gerne mit der Android App Openvpn und checke das Protokoll. Damals fehlte mir die DNS im pfsense Server

push "route 10.16.252.0 255.255.255.0";push "dhcp-option DNS 10.16.252.254";push "redirect-gateway"
Edit
10.16.252.254 ist meine pfsense
 
Habe jetzt mal die FB IP als DNS mitgegeben. Damit kann ich immerhin die Namen auflösen, aber ins Internet komme ich trotzdem nicht.
Ein tracert versandet auf der VPN Adresse der FB. Sieht so aus, als würde die FB das nicht von Tun0 zum Internet routen.

Gruß
Jürgen
 
mhhm, trage mal die 8.8.8.8 im Server ein. Wie ist lautet die VPN Gateway Adresse?
OT Die FB halte ich für OVPN als für zu schwach. AES Unterstützung?. Zum Spielen aber ok.
Edit
Remote / Local IP Addr. ?
 
Zuletzt bearbeitet:
Local IP: 192.168.200.1 (Das ist ja das VPN GW)
Remote IP: 192.168.200.2
Wobei mir gerade nicht klar ist, was die Remote IP soll. Das ist doch auch die VPN Client IP, oder? Die wird doch aber schon in der DHCP Range für Clients angegeben.

Wenn ich 8.8.8.8 für DNS mitgebe bekomme ich einen Timeout bei der Namensauflösung.

Viel mehr als Spielerei ist das auch nicht. Nutze das mit einem Client um Im Urlaub über die Deutsche IP auf sonst geblockte Dienste zuzugreifen.
 
Die IP's sind OK
Ist im Log eine Route 0.0.0.0/0 192.168.178.0/24 angelegt (Fritzbox IP Bereich)
Was bedeutet Client IP umleiten? und wohin?
 
Ja, der Client hat die Route, das Netz 192.168.178.0/24 ist ja auch nicht das Problem. Da erreiche ich ja alles.

Die Option "Jedes Paket des Clients umleiten" soll dafür sorgen, dass alle Pakete des Clients über VPN gehen. Der Client hat dann auch eine 0.0.0.0 Route auf die VPN IP. Im tracert sehe ich ja auch, dass ich bis zur Tun0 IP der FB komme, aber eben nicht weiter. :-(

Gruß
jugi
 
Kannst du OVPN auf ein Handy installieren und mit Mobilfunk dich verbinden?
Meine Adressen

10.16.252.254 pfsense
172.16.252.1 OVPN GW
172.16.252.2 OVPN Address

Wie schaut es bei dir aus?


Bei mir sieht das so aus:

Code:
2019-10-07 14:05:45 offizielle Version 0.7.8 läuft auf samsung SM-G950F (universal8895), Android 9 (PPR1.180610.011) API 28, ABI arm64-v8a, (samsung/dreamltexx/dreamlte:9/PPR1.180610.011/G950FXXS5DSI6:user/release-keys)
2019-10-07 14:05:45 Generiere OpenVPN-Konfiguration…
2019-10-07 14:05:45 OpenVPN core 3.2 (qa:d87f5bbc04)(icsopenvpn/v0.7.8-0-ga8d2d82c) android arm64 64-bit built on Feb 22 2019 13:59:24
2019-10-07 14:05:45 Copyright (C) 2012-2017 OpenVPN Inc. All rights reserved.
2019-10-07 14:05:45 Frame=512/2048/512 mssfix-ctrl=1250
2019-10-07 14:05:45 UNUSED OPTIONS
1 [verb] [4]
2 [connect-retry] [2] [300]
3 [resolv-retry] [60]
12 [verify-x509-name] [OpenVPN] [name]
16 [persist-tun]
17 [preresolve]
18 [block-outside-dns]
19 [ncp-ciphers] [AES-128-GCM:AES-256-CFB]
2019-10-07 14:05:45 Netzwerkstatus: CONNECTED HSPA+ to MOBILE web.vodafone.de
2019-10-07 14:05:45 Debug state info: CONNECTED HSPA+ to MOBILE web.vodafone.de, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-10-07 14:05:45 Debug state info: CONNECTED HSPA+ to MOBILE web.vodafone.de, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2019-10-07 14:05:45 Contacting x.x.x.x:1194 via UDP
2019-10-07 14:05:45 Connecting to [xxxx.ddns.net]:1194 (x.x.x.x) via UDPv4
2019-10-07 14:05:45 Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
2019-10-07 14:05:45 Creds: Username/Password
2019-10-07 14:05:45 Peer Info:
IV_GUI_VER=de.blinkt.openvpn 0.7.8
IV_VER=3.2 (qa:d87f5bbc04)
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
2019-10-07 14:05:45 VERIFY OK: depth=1, /CN=OVPN Server
2019-10-07 14:05:45 VERIFY OK: depth=0, /CN=OpenVPN
2019-10-07 14:05:46 SSL Handshake: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
2019-10-07 14:05:46 Session is ACTIVE
2019-10-07 14:05:46 Sending PUSH_REQUEST to server...
2019-10-07 14:05:47 Sending PUSH_REQUEST to server...
2019-10-07 14:05:49 Sending PUSH_REQUEST to server...
2019-10-07 14:05:49 OPTIONS:
0 [redirect-gateway] [def1]
1 [route] [10.16.252.0] [255.255.255.0]
2 [dhcp-option] [DNS] [10.16.252.254]
3 [redirect-gateway]
4 [route-gateway] [172.16.252.1]
5 [topology] [subnet]
6 [ping] [10]
7 [ping-restart] [60]
8 [ifconfig] [172.16.252.2] [255.255.255.0]
9 [peer-id] [0]
10 [cipher] [AES-256-GCM]
2019-10-07 14:05:49 PROTOCOL OPTIONS:
cipher: AES-256-GCM
digest: SHA256
compress: NONE
peer ID: 0
2019-10-07 14:05:49 We should call this sessionxxxx.ddns.net
2019-10-07 14:05:49 Tun-Netzwerkinterface wird geöffnet:
2019-10-07 14:05:49 Lokale IPv4: 172.16.252.2/24 IPv6: (not set) MTU: 1500
2019-10-07 14:05:49 DNS-Server: 10.16.252.254, Domäne: null
2019-10-07 14:05:49 Routen: 0.0.0.0/0, 10.16.252.0/24
2019-10-07 14:05:49 Ausgeschlossene Routen:
2019-10-07 14:05:49 Installierte VpnService-Routen: 0.0.0.0/0
2019-10-07 14:05:49 Nicht zugelassene Apps für das VPN:
2019-10-07 14:05:49 TunPersist: saving tun context:
Session Name: xxxx.ddns.net
Layer: OSI_LAYER_3
Remote Address: x.x.x.x
Tunnel Addresses:
172.16.252.2/24 -> 172.16.252.1
Reroute Gateway: IPv4=1 IPv6=0 flags=[ ENABLE REROUTE_GW DEF1 IPv4 ]
Block IPv6: no
Add Routes:
10.16.252.0/24
Exclude Routes:
DNS Servers:
10.16.252.254
Search Domains:
2019-10-07 14:05:49 Connected via tun
2019-10-07 14:05:49 Debug state info: CONNECTED HSPA+ to MOBILE web.vodafone.de, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
 
Habe es versucht, bekomme aber eine Fehlermeldung. Der Android OpenVPN Client akzeptiert die CA nicht. Ich nutze natürlich selbst erstellte Zertifikate und keine offiziellen. :-( Bei der Gelegenheit aber gemerkt, dass die Zertifikate Anfang nächsten Jahres ablaufen, da muss ich also demnächst was machen.
Auf Keys umstellen will ich jetzt auch nicht, im Zweifel schieße ich mich da ganz ab und komme nicht mehr ran. Wenn ich aber den Schalter auf Static Keys umlege gibt es die Option "Jedes Paket des Clients umleiten" gar nicht mehr. Die ist nur im Konfigbereich für Zertifikate vorhanden.

Ich habe das Gefühl da passt mit der OpenVPN Implementation in Freetz was nicht.
 
Ok, ich verstehe. Auch die pfSense hat ein selbst erstelltes die CA und Zertifikat(e). Es wird eine Konfigdatei für alle möglichen Betriebssysteme erstellt und kann für jeden User einzeln runtergeladen werden. Die Zertifikate sind in der Konfig eingebettet. Somit gestaltet sich die Installation auf einem Client einfach und Fehlerfrei.
Ich glaube das Freetz ein Problem mit OVPN hat. Interessehalber, hattest du den Test mit einem WIN Client durchgeführt?
Hier ein Beispiel für einen OVPN Client der pfSense

Edit: Beispiel OVPN Client eingefügt
User Definition
User & PW


1570465377283.png1570465778540.png1570465841319.png1570466228083.png1570470274031.png1570470470153.png1570470818134.png1570470913621.png1570465377283.png1570470913621.png1570470913621.png1570470913621.png1570470913621.png1570465377283.png1570465778540.png1570465841319.png1570466228083.png1570470274031.png1570470470153.png1570470818134.png1570470913621.png1570465377283.png1570470913621.png
 
Zuletzt bearbeitet:
Ist ein Zugangsprofil bzw. Kindersicherung aktiviert?

Klingt ganz nach diesem Problem/Bug:
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.