Anleitung: OpenVPN auf pfSense

Discussion in 'Router' started by PP Stephan, May 15, 2018.

  1. PP Stephan

    PP Stephan Staff Member

    Dieser Thread bezieht sich auf die Anleitung OpenVPN pfSense-Geräten. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.
     
  2. d

    dudu Junior Member

    Danke für die tolle Anleitung. Hierzu hätte ich noch eine Frage. Könntest du noch ergänzen, was man alles machen müsste, um Ausnahmen (IP) zu konfiguriern.
    Hintergrund: PP Adressen werden leider von Amazon, Netflix und co geblockt...hierzu würde ich gerne den Traffic für ausgewählte Device nicht durch den VPN Tunnel führen.
    Kannst du mir weiterhelfen?
     
  3. G

    Gerd Junior Member

    Ich weiß nicht ob das Thema @dudu in diesen Thread gehört. Wenn es doch nicht hierher gehört, dann könnte ich es in meiner Anleitung posten.

    Was sagen die PP Admins dazu?
     
  4. PP Stephan

    PP Stephan Staff Member

    Darfst Du natürlich machen. Auch gerne in diesem Faden, der ja dazu da ist, zusätzliche Fragen und erweiterte Informationen zu liefern. Die Dokumentationen an sich wollen wir so simpel wie möglich halten, damit die Einrichtung schnell und problemlos funktioniert.
     
  5. G

    Gerd Junior Member

    Die Konfiguration mit "Ausnahmen IPs" kann man im Internet auch unter "selective routing" oder "policy based routing" finden.

    Hier ein Beispiel mit den Ausnahmen für Amazon und Netflix IPs:
    1. Firewall->Aliases->IP->Import

    • Alias Name: Amazon_v4
    • Description: Amazon_v4
    • Aliases to import: (Hier alle IPs aus der Textdatei Amazon_v4 eintragen)
    • 'Save'
    • 'Apply Changes'

    2. Punkt 1 für Netflix_v4 wiederholen

    Bildschirmfoto-1.png

    3. Firewallregeln unter "Firewall->Rules->LAN" erstellen

    • Action: Pass
    • Interface: LAN
    • Address Family: IPv4
    • Protocol: any
    • Source: any
    • Destination: "single host or alias" und dahinter "Amazon_v4" eintippen
    • Gateway: WAN_DHCP
    • 'Save'
    4. Eine Firewallregel für Netflix, wie unter dem Punkt 3 erstellen.

    Dir Firewallregeln greifen von oben nach unten. Deshalb müssen die Streaming Regeln vor der VPN Regel stehen, wie auf dem unteren Bild:

    Bildschirmfoto-2.png

    5. Unter "Firewall-> NAT-> Outbound" eine WAN Regel mit der Source IP vom LAN Interface erstellen. Gewöhnlich ist das 192.168.1.0/24

    Bildschirmfoto-3.png


    Edit:
    Damit meinte ich, dass man den Inhalt von der Textdatei Amazon_v4 einfügen kann.

    Die IP-Listen habe ich mit dem Package pfBlockerNG von diesen Seiten importiert:

    https://ip-ranges.amazonaws.com/ip-ranges.json
    https://ipinfo.io/AS2906

    Theoretisch kann man die Ausnahmen über das Package pfBlockerNG laufen lassen. Leider hat pfBlockerNG bei mir zu viele Fehler produziert. Deshalb habe ich mich für den oberen Weg entschieden.

    Vielleicht findet jemand anders einen besseren Weg.

    Die Einstellungen für pfBlockerNG habe ich von hier.
     
    Last edited: Sep 27, 2018
  6. Wall-E

    Wall-E Junior Member

    Hallo, ich habe heute hier ein Problem mit PP+pfsense bzgl. DNS beschrieben.
    Da dieses auch nach einer Neuinstallation von pfsense 2.4.4-RELEASE-p1 (amd64) und Einrichtung von PP exakt nach dieser Anleitung auftritt, kann es ggf. auch ein "grundlegendes" Problem sein. Deshalb wollte ich auch hier in dem Thread darauf hinweisen; kann ja ansonsten problemlos gelöscht werden.

    EDIT: Das Problem muss in PPs "Track Stop"-Funktion liegen!
    TrackStop Das TrackStop-Feature ermöglicht das Blockieren von unerwünschten Domains direkt auf VPN-Ebene. Das funktioniert, indem unsere Nameserver auf vordefinierte Blacklisten zugreifen, um diese auszufiltern. Sie können auswählen, welche Domains Sie blockieren möchten, indem Sie einen oder mehrere der aufgeführten Filter aktivieren.
    Ohne Trackstop funktioniert alles, wie bis zum Zeitpunkt vor dem Problem vor ein paar Wochen...
     
    Last edited: Dec 5, 2018
  7. e

    enterprise973 New Member

    Irgendwie klappt es nicht mit Netflix. Reichen da die IPv4-Adressen von Netflix oder soll man noch IPv6-Adressen hinzufügen? Braucht man Amazon nur wegen Prime Video? Netflix läuft auf einem Firestick.
     
  8. G

    Gerd Junior Member

    Die PP Anleitung bezieht sich nur auf IPv4. Deshalb braucht man keine IPv6-Adressen hinzuzufügen.

    Ich habe in einem anderen Thread die Anleitung "pfBlockerNG (Werbung blockieren) und Ausnahmeregeln z. B. für Netflix" ausführlicher beschrieben. Vielleicht bringt dir das was.

    Ja. Also die Schritte für Amazon Prime Video überspringen, wenn du es nicht brauchst.
     
    Last edited: Dec 22, 2018
  9. G

    Gerd Junior Member

    Hallo.

    Es geht um die neuen Konfigurationsdateien "StealthVPN" über Port 443 für pfSense. Ich habe die Konfiguration auf pfSense soweit eingetragen. Leider kommt die Verbindung nicht zustande.

    In der OpenVPN Logdatei steht für Amsterdam1 Server:

    Code:
    Attempting to establish TCP connection with [AF_INET]85.17.28.151:443 [nonblock]
    Soweit ich das sehe, ist StealthVPN über Port 443 für pfSense neu. Vielleicht kann ein PP-Admin es gegentesten.
     
  10. c

    chrysen New Member

    Ist es möglich mit pfsense automatisch eine gewünschte IP zugewiesen zu bekommen?

    Oder kann man iwie die VPN Tunnel. automatisch neustarten lassen bis die gewünschte IP erreicht wurde ? (Eventuell kleines Script)


    Wenn das nicht geht kann man es einstellen das sich die Abgebrochene VPN Verbindung von selbst wieder aufbaut?
     
  11. G

    Gerd Junior Member

    Dafür musst du erstmal im Mitgliederbereich "zufällige IP Adressen" deaktivieren. Dann kann man vom jeweiligen Server eine IP in pfSense eintragen, die dann verwendet wird.

    VPN Verbindung wird "glaube ich" nach einem Abbruch immer von selbst neu gestartet. Wenn das doch nicht der Fall ist, dann kann man das Package Service_Watchdog installieren. Dieses Package startet den Service automatisch neu, sobald die OpenVPN Verbindung down ist.
     
  12. c

    chrysen New Member

    wenn ich zufällige IP Adressen ausschalte bekommt der immer die Selbe IP von dem Server.

    Wenn ich eine andere IP des Servers eingebe statt der domain kommt keine verbindung zu stande.

    Möchte ja eine andere aus dem" Pool" haben die dann aktiv bleibt. Und wenn es mal unterbricht die Verbindung neustartet bis diese IP wieder erreicht ist,
     
    Last edited: Apr 26, 2019
  13. e

    enterprise973 New Member

    Amazon AWS muss auch freigegeben werden, wenn man Netflix auf einem Amazon FireTV-Gerät nutzt.

    Ich habe die letzten Tage das Problem, dass die Netflix IP ranges (https://ipinfo.io/AS2906) wohl veraltet sind. Netflix scheint einige "neue" IPs zu nutzen. Hast du auch das Problem mit dieser Liste?
     
  14. G

    Gerd Junior Member

    OK. Wusste ich nicht.

    Ich nutze Netflix und Amazon AWS nicht. Daher sind hier andere gefragt.

    Die Google Recherche gab noch weitere Links raus. Vielleicht klappts mit denen:

    https://ipinfo.io/AS40027
    https://ipinfo.io/AS55095
     
  15. G

    Gerd Junior Member

    @enterprise973 versuch mal diese Links:

    Code:
    https://ipinfo.io/AS2906
    https://ipinfo.io/as812
    https://ipinfo.io/AS14618
    https://ipinfo.io/AS394406
    https://ipinfo.io/AS16509
    https://ip-ranges.amazonaws.com/ip-ranges.json
    Wenn das nicht funktioniert, versuch dazu GeoLite2-ASN-Blocks-IPv4.csv von https://geolite.maxmind.com/download/geoip/database/GeoLite2-ASN-CSV.zip zu importieren.

    Edit: Von der GeoLite2-ASN-Blocks-IPv4.csv Datei würde ich aber nur Netflix Einträge nutzen und den Rest hätte ich gelöscht.
     
    Last edited: Aug 6, 2019
  16. b

    budenzauber New Member

    Hi,

    auf Grund von Lag Problemen bei deutschen Servern möchte ich den Pfsense OpenVPN Client auf TCP konfigurieren. Gibt es dafür eine Anleitung bzw. was muss ich im Unterschied zu der Standardanleitung für UDP beachten.

    Vielen Dank.
     
  17. G

    Gerd Junior Member

    TCP Konfiguration:

    Man braucht dazu nur die OpenVPN Konfiguration zu ändern. Getestet habe ich es aber noch nicht.

    • Servermodus: Peer to Peer (SSL/TLS)
    • Protokoll: TCP on IPv4 only
    • Server Host oder Alias: amsterdam.perfect-privacy.com
    • Server Port: 1142
    • Beschreibung: PP_Amsterdam_Client
    • Benutzername: Ihr Perfect Privacy Nutzername
    • Kennwort: Ihr Perfect Privacy Passwort (nochmals mit dem Passwort im zweiten Feld bestätigen)
    Deaktivieren Sie die Option Automatische Generierung des TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-auth></tls-auth> Tags aus der *.conf-Datei in das Feld TLS Schlüssel.

    • Gegenstellen Zertifikatsauthorität: PP_CA
    • Client Zertifikat: PP_Amsterdam_Cert
    • AES-256-CBC
    • NCP aktivieren: Haken entfernen
    • Auth Hashwert Algorithmus: SHA512
    • Kompression: Adaptive LZO-Kompression
    • Topology: net30 – isoliertes /30 network per Client
    Code:
    tun-mtu 1500
    hand-window 120
    inactive 604800
    mute-replay-warnings
    remote-cert-tls server
    persist-remote-ip
    redirect-gateway def1
    reneg-sec 3600
    resolv-retry 60
    tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
    tls-timeout 5
    key-direction 1
    • Gateway creation:"IPv4 only" auswählen
    • Ausführlichkeitsstufe: 4
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice