Anleitung: OpenVPN auf pfSense

[PP Stephan]

Dieser Thread bezieht sich auf die Anleitung OpenVPN auf pfSense-Geräten. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.

 

[dudu]

Danke für die tolle Anleitung. Hierzu hätte ich noch eine Frage. Könntest du noch ergänzen, was man alles machen müsste, um Ausnahmen (IP) zu konfiguriern.
Hintergrund: PP Adressen werden leider von Amazon, Netflix und co geblockt...hierzu würde ich gerne den Traffic für ausgewählte Device nicht durch den VPN Tunnel führen.
Kannst du mir weiterhelfen?

 

[Gerd]

Ich weiß nicht ob das Thema @dudu in diesen Thread gehört. Wenn es doch nicht hierher gehört, dann könnte ich es in meiner Anleitung posten.

Was sagen die PP Admins dazu?

 

[PP Stephan]

Darfst Du natürlich machen. Auch gerne in diesem Faden, der ja dazu da ist, zusätzliche Fragen und erweiterte Informationen zu liefern. Die Dokumentationen an sich wollen wir so simpel wie möglich halten, damit die Einrichtung schnell und problemlos funktioniert.

 

[Gerd]

Die Konfiguration mit "Ausnahmen IPs" kann man im Internet auch unter "selective routing" oder "policy based routing" finden.

Hier ein Beispiel mit den Ausnahmen für Amazon und Netflix IPs:
1. Firewall->Aliases->IP->Import

• Alias Name: Amazon_v4
• Description: Amazon_v4
• Aliases to import: (Hier alle IPs aus der Textdatei Amazon_v4 eintragen)
• 'Save'
• 'Apply Changes'

2. Punkt 1 für Netflix_v4 wiederholen



3. Firewallregeln unter "Firewall->Rules->LAN" erstellen

• Action: Pass
• Interface: LAN
• Address Family: IPv4
• Protocol: any
• Source: any
• Destination: "single host or alias" und dahinter "Amazon_v4" eintippen
• Gateway: WAN_DHCP
• 'Save'

4. Eine Firewallregel für Netflix, wie unter dem Punkt 3 erstellen.

Dir Firewallregeln greifen von oben nach unten. Deshalb müssen die Streaming Regeln vor der VPN Regel stehen, wie auf dem unteren Bild:



5. Unter "Firewall-> NAT-> Outbound" eine WAN Regel mit der Source IP vom LAN Interface erstellen. Gewöhnlich ist das 192.168.1.0/24




Edit:

Alias to import: (Hier alle IPs aus der Textdatei Amazon_v4 eintragen)

Damit meinte ich, dass man den Inhalt von der Textdatei Amazon_v4 einfügen kann.

Die IP-Listen habe ich mit dem Package pfBlockerNG von diesen Seiten importiert:

https://ip-ranges.amazonaws.com/ip-ranges.json
https://ipinfo.io/AS2906

Theoretisch kann man die Ausnahmen über das Package pfBlockerNG laufen lassen. Leider hat pfBlockerNG bei mir zu viele Fehler produziert. Deshalb habe ich mich für den oberen Weg entschieden.

Vielleicht findet jemand anders einen besseren Weg.

Die Einstellungen für pfBlockerNG habe ich von hier.

 

[Wall-E]

Hallo, ich habe heute hier ein Problem mit PP+pfsense bzgl. DNS beschrieben.
Da dieses auch nach einer Neuinstallation von pfsense 2.4.4-RELEASE-p1 (amd64) und Einrichtung von PP exakt nach dieser Anleitung auftritt, kann es ggf. auch ein "grundlegendes" Problem sein. Deshalb wollte ich auch hier in dem Thread darauf hinweisen; kann ja ansonsten problemlos gelöscht werden.

EDIT: Das Problem muss in PPs "Track Stop"-Funktion liegen!

Spoiler

TrackStop Das TrackStop-Feature ermöglicht das Blockieren von unerwünschten Domains direkt auf VPN-Ebene. Das funktioniert, indem unsere Nameserver auf vordefinierte Blacklisten zugreifen, um diese auszufiltern. Sie können auswählen, welche Domains Sie blockieren möchten, indem Sie einen oder mehrere der aufgeführten Filter aktivieren.

Ohne Trackstop funktioniert alles, wie bis zum Zeitpunkt vor dem Problem vor ein paar Wochen...

 

[enterprise973]

Die Konfiguration mit "Ausnahmen IPs" kann man im Internet auch unter "selective routing" oder "policy based routing" finden.

Hier ein Beispiel mit den Ausnahmen für Amazon und Netflix IPs:
[...]

Irgendwie klappt es nicht mit Netflix. Reichen da die IPv4-Adressen von Netflix oder soll man noch IPv6-Adressen hinzufügen? Braucht man Amazon nur wegen Prime Video? Netflix läuft auf einem Firestick.

 

[Gerd]

Irgendwie klappt es nicht mit Netflix. Reichen da die IPv4-Adressen von Netflix oder soll man noch IPv6-Adressen hinzufügen?

Die PP Anleitung bezieht sich nur auf IPv4. Deshalb braucht man keine IPv6-Adressen hinzuzufügen.

Ich habe in einem anderen Thread die Anleitung "pfBlockerNG (Werbung blockieren) und Ausnahmeregeln z. B. für Netflix" ausführlicher beschrieben. Vielleicht bringt dir das was.

Braucht man Amazon nur wegen Prime Video?

Ja. Also die Schritte für Amazon Prime Video überspringen, wenn du es nicht brauchst.

 

[Gerd]

Hallo.

Es geht um die neuen Konfigurationsdateien "StealthVPN" über Port 443 für pfSense. Ich habe die Konfiguration auf pfSense soweit eingetragen. Leider kommt die Verbindung nicht zustande.

In der OpenVPN Logdatei steht für Amsterdam1 Server:

Attempting to establish TCP connection with [AF_INET]85.17.28.151:443 [nonblock]

Soweit ich das sehe, ist StealthVPN über Port 443 für pfSense neu. Vielleicht kann ein PP-Admin es gegentesten.

 

[12S0lEtMK]

Ist es möglich mit pfsense automatisch eine gewünschte IP zugewiesen zu bekommen?

Oder kann man iwie die VPN Tunnel. automatisch neustarten lassen bis die gewünschte IP erreicht wurde ? (Eventuell kleines Script)


Wenn das nicht geht kann man es einstellen das sich die Abgebrochene VPN Verbindung von selbst wieder aufbaut?

 

[Gerd]

Ist es möglich mit pfsense automatisch eine gewünschte IP zugewiesen zu bekommen?

Dafür musst du erstmal im Mitgliederbereich "zufällige IP Adressen" deaktivieren. Dann kann man vom jeweiligen Server eine IP in pfSense eintragen, die dann verwendet wird.

Wenn das nicht geht kann man es einstellen das sich die Abgebrochene VPN Verbindung von selbst wieder aufbaut?

VPN Verbindung wird "glaube ich" nach einem Abbruch immer von selbst neu gestartet. Wenn das doch nicht der Fall ist, dann kann man das Package Service_Watchdog installieren. Dieses Package startet den Service automatisch neu, sobald die OpenVPN Verbindung down ist.

 

[12S0lEtMK]

wenn ich zufällige IP Adressen ausschalte bekommt der immer die Selbe IP von dem Server.

Wenn ich eine andere IP des Servers eingebe statt der domain kommt keine verbindung zu stande.

Möchte ja eine andere aus dem" Pool" haben die dann aktiv bleibt. Und wenn es mal unterbricht die Verbindung neustartet bis diese IP wieder erreicht ist,

 

[enterprise973]

Ja. Also die Schritte für Amazon Prime Video überspringen, wenn du es nicht brauchst.

Amazon AWS muss auch freigegeben werden, wenn man Netflix auf einem Amazon FireTV-Gerät nutzt.

Ich habe die letzten Tage das Problem, dass die Netflix IP ranges (https://ipinfo.io/AS2906) wohl veraltet sind. Netflix scheint einige "neue" IPs zu nutzen. Hast du auch das Problem mit dieser Liste?

 

[Gerd]

Amazon AWS muss auch freigegeben werden, wenn man Netflix auf einem Amazon FireTV-Gerät nutzt.

OK. Wusste ich nicht.

Ich habe die letzten Tage das Problem, dass die Netflix IP ranges (https://ipinfo.io/AS2906) wohl veraltet sind. Netflix scheint einige "neue" IPs zu nutzen. Hast du auch das Problem mit dieser Liste?

Ich nutze Netflix und Amazon AWS nicht. Daher sind hier andere gefragt.

Die Google Recherche gab noch weitere Links raus. Vielleicht klappts mit denen:

https://ipinfo.io/AS40027
https://ipinfo.io/AS55095

 

[Gerd]

@enterprise973 versuch mal diese Links:

https://ipinfo.io/AS2906
https://ipinfo.io/as812
https://ipinfo.io/AS14618
https://ipinfo.io/AS394406
https://ipinfo.io/AS16509
https://ip-ranges.amazonaws.com/ip-ranges.json

Wenn das nicht funktioniert, versuch dazu GeoLite2-ASN-Blocks-IPv4.csv von https://geolite.maxmind.com/download/geoip/database/GeoLite2-ASN-CSV.zip zu importieren.

Edit: Von der GeoLite2-ASN-Blocks-IPv4.csv Datei würde ich aber nur Netflix Einträge nutzen und den Rest hätte ich gelöscht.

 

[budenzauber]

Hi,

auf Grund von Lag Problemen bei deutschen Servern möchte ich den Pfsense OpenVPN Client auf TCP konfigurieren. Gibt es dafür eine Anleitung bzw. was muss ich im Unterschied zu der Standardanleitung für UDP beachten.

Vielen Dank.

 

[Gerd]

TCP Konfiguration:

Man braucht dazu nur die OpenVPN Konfiguration zu ändern. Getestet habe ich es aber noch nicht.

• Servermodus: Peer to Peer (SSL/TLS)
• Protokoll: TCP on IPv4 only
• Server Host oder Alias: amsterdam.perfect-privacy.com
• Server Port: 1142
• Beschreibung: PP_Amsterdam_Client
• Benutzername: Ihr Perfect Privacy Nutzername
• Kennwort: Ihr Perfect Privacy Passwort (nochmals mit dem Passwort im zweiten Feld bestätigen)

Deaktivieren Sie die Option Automatische Generierung des TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-auth></tls-auth> Tags aus der *.conf-Datei in das Feld TLS Schlüssel.

• Gegenstellen Zertifikatsauthorität: PP_CA
• Client Zertifikat: PP_Amsterdam_Cert
• AES-256-CBC
• NCP aktivieren: Haken entfernen
• Auth Hashwert Algorithmus: SHA512
• Kompression: Adaptive LZO-Kompression
• Topology: net30 – isoliertes /30 network per Client
  

tun-mtu 1500
hand-window 120
inactive 604800
mute-replay-warnings
remote-cert-tls server
persist-remote-ip
redirect-gateway def1
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
key-direction 1

• Gateway creation:"IPv4 only" auswählen
• Ausführlichkeitsstufe: 4

 

[PP Daniel]

Damit es nicht verloren geht, hilfreiche Hinweise zur Nutzung von OPNsense:

I am a new user that recently updated my account from a one month subscription to a 2-year subscription. I use OpenVPN in OpenSUSE 15.1 OS and FreeBSD 11.2 OS (OPNsense router). I use the NeuroRouting feature and find it works well and the speeds are fast enough to stream 1080p video. I like the fact you have manuals and config generators for any system. You have pfSense router manual and it works succesfully for OPNsense routers too (both pfSense and OPNsense are related, and are based on FreeBSD). For OPNsense, ther ejare a couple of tweaks needed to make it work properly: use tls-auth and not tls-crypt; leave the advanced settings box blank (adding the advanced/custom settings from the config files breaks the service). Both the pfSense and Linux .ovpn configuration files works in OPNsense routers. For desktop I just use Network Manager and import the files as-is and all works flawlessly with no needed adjustments (the Linux OS is OpenSUSE 15.1). I also use VPN of AirVPN for past many years, and think Perfect-Privacy has advantages compared to AirVPN. For those that want to use Perfect-Privacy in a multi-VPN group gateway router setup in pfSense/OPNsense (for failover fault tolerant uninterrupted service) you can visit https://nguvu.org/pfsense/pfsense-multi-vpn-wan/. Juse remember, don't add the custom settings for the OPNsense router. If you want to learn more about OPNsense you can visit https://opnsense.org/ . My hope for Perfect-Privacy is that more users sign up so the traffic is higher - I believe the additional noise will enhance privacy.

 

[Wall-E]

Hallo Zusammen, bei mir sind die Zertifikaten von PP in Pfsense abgelaufen...
Kann mir jemand ggf. kurz Beschreiben, wie ich die "aktualisiere"?
Ich finde in der Einrichtung-Anleitung dazu irgendwie nicht den richtigen Ansatz, leider.
Vielen Dank!

 

[Gerd]

Mir ist nicht bekannt, dass man die Zertifikate aktualisieren kann. Man kann die aber neu anlegen.

1. Zuerst in der OpenVPN Konfiguration das Feld „CA“ und „CERT“ auf Default stellen. (Da dürfen keine PP Zertifikate stehen)
2. Dann kann man die Zertifikate unter System Menü löschen.
3. Zertifikate neu anlegen
4. In der OpenVPN Konfiguration die neuen Zertifikate auswählen

Ist alles halt ein bisschen umständlich, aber anders wird es wohl nicht gehen.