Anleitung: OpenVPN auf pfSense
- Thread starter PP Stephan
- Start date
Ich bin ein ziemlicher Anfänger, was pfSense betrifft.
Nun scheitere ich mit der akutellen Anleitung unter pfSense 2.5.2 sowohl mit dem vorgegebenen Amsterdam.ovpn als auch mit einem selbt generierten ovpn-file, vermutlich aus folgenden Gründen:
*1* Es gibt die Option "Kompression: Übergehende Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nicht mehr. Welche der vorhandenen Optionen ist jetzt die passende??? "Refuse any non-stub comnpression" ???
*2* Welche Benutzerdefinierte Optionen sind jetzt anzugeben? Die in der Anleitung angebenen? Welche muss/darf/soll ich aus einem generierten Konfig-file (*.ovpn) nehmen?
Welche Möglichkeiten gibt es zwischen den Schritten, die Ergebnisse zu überprüfen? Oder am Ende, wenn die Check-IP-Seite nicht funktioniert?
Nun scheitere ich mit der akutellen Anleitung unter pfSense 2.5.2 sowohl mit dem vorgegebenen Amsterdam.ovpn als auch mit einem selbt generierten ovpn-file, vermutlich aus folgenden Gründen:
*1* Es gibt die Option "Kompression: Übergehende Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nicht mehr. Welche der vorhandenen Optionen ist jetzt die passende??? "Refuse any non-stub comnpression" ???
*2* Welche Benutzerdefinierte Optionen sind jetzt anzugeben? Die in der Anleitung angebenen? Welche muss/darf/soll ich aus einem generierten Konfig-file (*.ovpn) nehmen?
Welche Möglichkeiten gibt es zwischen den Schritten, die Ergebnisse zu überprüfen? Oder am Ende, wenn die Check-IP-Seite nicht funktioniert?
Ich habe auf Version 2.5.2 geupdatet und hatte noch die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]" zur Auswahl.
Als ich auf englisch umgestellt habe, hatte ich nur noch 3 Optionen. Darunter war "Refuse any non-stub comnpression". Scheint wohl ein Bug zu sein.
Ändere die Sprache von englisch auf deutsch unter System-> General Setup. Dann wirst du wieder die Auswahl, wie in der Anleitung haben.
Wenn du die Sprache doch auf englisch haben möchtest, dann ändere es von deutsch-> englisch usw. bis die Auswahl wieder da ist.
Ich würde die Optionen von der Anleitung nehmen und "nicht unbedingt" von einer generierten Konfig-file.
Da gibt es nicht viele Möglichkeiten, um dazwischen die Ergebnisse zu überprüfen. Ich kenne zumindest nicht viele.
Du kannst z.B. erstmal die DNS-Einträge und den Teil der Anleitung mit Kill-Switch weg lassen. Wenn nach der Konfiguration alles funktioniert, dann kannst du den Rest nach und nach hinzufügen.
@Gerd: Zuerst einmal vielen Dank für deine Unterstützung!!!
Das (mehrmalige) Wechseln der Sprache hat nicht leider geholfen. Ich habe mich zu einer Neuinstallation des Rechners mit pfSense entschieden, obwohl ich genau das eigentlich vermeiden wollte.
Ergebnisse:
- pfSense 2.5.2 frisch installiert hat die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nicht. Ändern der Sprache (De, It, En) hat bei mir nichts gebracht.
- pfSense 2.4.5 P1 frisch installiert hat die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]".
- pfSense 2.4.5 P1 frisch installiert und dann upgedated auf 2.5.2 hat die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nicht. Ändern der Sprache (De, It, En) hat bei mir nichts gebracht.
Es scheint, dass nach dem Update die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nur vorhanden ist, wenn während des Updates eine Config besteht, die diese Option nutzt. Das würde für mich auch Sinn machen, da ein Update nicht dazu führen darf, dass die Konfig nicht mehr funktioniert. Hab ich aber (noch) nicht ausprobiert, mangels Zeit und da die FW jetzt wieder läuft (unter 2.4.5 P1)...
Es wäre schön, wenn es eine Anleitung für 2.5.x gäbe, die
- die Option "Kompression: Übergehe Präferenz, + Schalte Adaptive LZO Kompression aus [….]" nicht verwendet, da DEPRECATED (und wahrscheinlich nur "zufällig" in 2.5.2 und höher enthalten)
- zeigt, wie man eine Konfig von einer generierten Konfig-File verwendet. (Oder die man gar auf dem pfSense-Rechner einspielen kann)
Man müsste in der Tat die Anleitung für pfSense Version 2.5.2 ein wenig korrigieren.
englisch und deutsch:
Allow Compression: Refuse any non-stub compression (Most secure)
Custom options:
Code:
hand-window 120
mute-replay-warnings
persist-remote-ip
reneg-sec 3600
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
fragment 1300
mssfix
remote-cert-tls serverPasadena42119
Freshly Joined Member
Hallo zusammen,
Ich versuche nun schon seit Tagen PP auf einer virtuellen pfsense Instance zum laufen zu bringen. Das Forum verfolge ich dabei schon, auch sonst was das Internet so hergibt. Aber gal, was ich mache, kein Erfolg.
Dabei funktioniert es über den Client von meinem Rechner durchaus. Also die Server arbeiten und auch sonst scheint im Router, Firewall, etc alles ok zu sein.
Die Konfiguration habe ich nun schon mehrmals gelöscht und wieder neu eingegeben, in der Hoffnung, ich hätte mich irgendwo nur vertippt. Aber neee, klappt nicht.
Unter Status bekomme ich nur ein "down" angezeigt, was aber nicht stimmt. Sowohl die IP Adresse, als auch den namen der PP server kann ich anpingen. Verschiedene Ports habe ich auch schon probiert, TCP/UDP, so ziemnlich alles,m was man überhaupt verstellen kann.
Aber entweder mache ich immer wieder denselben Fehler oder es funktioniert einfach nicht mehr in der aktuellen Version von pfsense.
Vielleicht erkennt jemand was am Logfile, hab ich angehängt. Im Log kann man sehen, das ich noch mit Port 149 arbeite, ist aber mit 1149 dasselbe, oder 1152, ganz egal. Das Probelm muss woanders liegen.
Ich versuche nun schon seit Tagen PP auf einer virtuellen pfsense Instance zum laufen zu bringen. Das Forum verfolge ich dabei schon, auch sonst was das Internet so hergibt. Aber gal, was ich mache, kein Erfolg.
Dabei funktioniert es über den Client von meinem Rechner durchaus. Also die Server arbeiten und auch sonst scheint im Router, Firewall, etc alles ok zu sein.
Die Konfiguration habe ich nun schon mehrmals gelöscht und wieder neu eingegeben, in der Hoffnung, ich hätte mich irgendwo nur vertippt. Aber neee, klappt nicht.
Unter Status bekomme ich nur ein "down" angezeigt, was aber nicht stimmt. Sowohl die IP Adresse, als auch den namen der PP server kann ich anpingen. Verschiedene Ports habe ich auch schon probiert, TCP/UDP, so ziemnlich alles,m was man überhaupt verstellen kann.
Aber entweder mache ich immer wieder denselben Fehler oder es funktioniert einfach nicht mehr in der aktuellen Version von pfsense.
Vielleicht erkennt jemand was am Logfile, hab ich angehängt. Im Log kann man sehen, das ich noch mit Port 149 arbeite, ist aber mit 1149 dasselbe, oder 1152, ganz egal. Das Probelm muss woanders liegen.
Schwierig zu sagen, woran das liegen könnte. Für mich ist in diesem Fall die proto.txt Datei nicht hilfreich.
Du kannst hier oder per PM Bilder von deiner pfSense Konfiguration posten, dann könnte ich mehr dazu sagen.
Knackwurst
New Member
Vielen Dank für die schöne pfSense Anleitung. Es gibt aber ein kleines Problem über das ich grade gestolpert bin.
Der blaue Download Link Button zeigt auf die Datei: pfsense_op25_udp_v4_AES128CBC_CR_in_ci.zip
Es wird aber: pfsense_op25_udp_v4_AES128CBC_AU_in_ci.zip benötigt.
Das steht zwar so auch in der Anleitung, aber man muss dafür in die "alternativen Downloads", pfsense anklicken und "TLS Variante" auf "TLS-auth" stellen. Dann kann man das korrekte ZIP Archiv herunterladen.
Vllt. hilft das ja dem ein oder anderen.
Der blaue Download Link Button zeigt auf die Datei: pfsense_op25_udp_v4_AES128CBC_CR_in_ci.zip
Es wird aber: pfsense_op25_udp_v4_AES128CBC_AU_in_ci.zip benötigt.
Das steht zwar so auch in der Anleitung, aber man muss dafür in die "alternativen Downloads", pfsense anklicken und "TLS Variante" auf "TLS-auth" stellen. Dann kann man das korrekte ZIP Archiv herunterladen.
Vllt. hilft das ja dem ein oder anderen.
PP Daniel
Staff member
Danke für den Hinweis! Wird behoben.
ProblemoLero
Junior Member
Hallo zusammen,
ich versuche aktuell einen VPN - Client anzulegen der dann dazu benutzt werden soll, dass zwei meiner Geräte diesen als Gateway nutzen.
Problem ist, dass sobald sich der VPN-Client verbindet alle(!) Geräte in allen VLANs bis auf PfSense selbst weder pingen, noch irgendwelche Seiten im Internet öffnen können.
In der Sekunde in der ich die VPN-Connection cutte läuft alles wieder einwandfrei.
Jemand eine Idee woran das liegen kann?
Gruß
P.
ich versuche aktuell einen VPN - Client anzulegen der dann dazu benutzt werden soll, dass zwei meiner Geräte diesen als Gateway nutzen.
Problem ist, dass sobald sich der VPN-Client verbindet alle(!) Geräte in allen VLANs bis auf PfSense selbst weder pingen, noch irgendwelche Seiten im Internet öffnen können.
In der Sekunde in der ich die VPN-Connection cutte läuft alles wieder einwandfrei.
Jemand eine Idee woran das liegen kann?
Gruß
P.
Hallo, ich versuche seit geraumer Zeit PP auf einem virtuellen pfsense zum Laufen zu bekommen. Ich trage alles so ein wie in der Anleitung, aber dann passiert ganz genau nichts.
Der virtuell pfsense ist als Exposed Host direkt am Internet. Ein virtueller Client, der den pfsense als Gateway nutzt kann auch problemlos surfen.
Im Bereich Status / OpenVPN wird als Status einfach nur "Down" angezeigt. Das war es. Senden / Empfangen tut er nichts. Ist die Anleitung noch aktuell? Die pfsense-Version ist die 2.6.0 (amd64) und wird auf einer VirtualBox 7 betrieben. Die Upstream-DNS sind die Google-Server, bzw. der interne Unbound. Ich hab pfsense so konfiguriert, dass nur der interne Unbound genutzt wird. Wie gesagt, Anfragen funktionieren problemlos. Man kann darüber surfen. Nur der OpenVPN will sich nicht mit PP Amsterdam verbinden.
Der virtuell pfsense ist als Exposed Host direkt am Internet. Ein virtueller Client, der den pfsense als Gateway nutzt kann auch problemlos surfen.
Im Bereich Status / OpenVPN wird als Status einfach nur "Down" angezeigt. Das war es. Senden / Empfangen tut er nichts. Ist die Anleitung noch aktuell? Die pfsense-Version ist die 2.6.0 (amd64) und wird auf einer VirtualBox 7 betrieben. Die Upstream-DNS sind die Google-Server, bzw. der interne Unbound. Ich hab pfsense so konfiguriert, dass nur der interne Unbound genutzt wird. Wie gesagt, Anfragen funktionieren problemlos. Man kann darüber surfen. Nur der OpenVPN will sich nicht mit PP Amsterdam verbinden.
Wall-E
Active Member
Moin zusammen, nach langer Zeit mal wieder.
Ich freue mich ja über vor längerem aktualisierte Anleitung - leider wird dabei nicht mehr beschrieben, wie man eine Schnittstelle dabei ohne PP konfiguriert. Also "früher" gabs ´ne Anleitung pfsense+pp+ohne pp - bin aktuell am rumfummeln, scheine aber zu scheitern.... @PP Daniel @Gerd
Auch gabs mal eine Anleitung, mehrere VPN-Verbindungen zu einem Server zusammenzufassen....
Ich freue mich ja über vor längerem aktualisierte Anleitung - leider wird dabei nicht mehr beschrieben, wie man eine Schnittstelle dabei ohne PP konfiguriert. Also "früher" gabs ´ne Anleitung pfsense+pp+ohne pp - bin aktuell am rumfummeln, scheine aber zu scheitern.... @PP Daniel @Gerd
Auch gabs mal eine Anleitung, mehrere VPN-Verbindungen zu einem Server zusammenzufassen....
Last edited:
Hallo, wie auch "Wall-E" hab ich vor kurzem pfsense neu installieren müssen. Mit der neuen Version 2.7.x gibt es nun einige neuen Änderungen, die an einigen Stellen nicht mehr zur Anleitung passen. Bzw. wie auch "Wall-E" schreibt, die Möglichkeit einen Bypass zu konfigurieren. Bin momentan am verzweifeln und durchsuche schon stunden/tagelang Foren, um das Problem zu lösen.
Ich bin kein Spezialist und bräuchte Hilfe bei meiner Konfiguration
Also mein Setup
Internet ------ FritzBox ---- 192.xxx.xxx ----- pfsense ---- 10.xxx.xxx
|-------- "quasi" DMZ | -------- HeimNetz
Mein Problem:
- die Anleitung für PP funktioniert erst mal so (bis auf neue Optionen); aber ich musste nach der Erstinstallation von pfsense ein WAN Regel erstellen, sonst wär ich gar nicht ins Internet gekommen...hab die aber wieder gelöscht..mit der PP Konfiguraition hat das trotzdem funktioniert
- ich würde gerne einen Bypass für z.b. Amazon Prime oder Netflix konfigurieren, da das mit VPN nicht funktioniert
- die Regel mit den Alias funktioniert irgendwie mit der neuen Version nicht mehr
- die Regel zum DMZ mit WAN Gateway funktioniert auch nicht...hab da schon einige Regel erstellt bzw. die übergreifende Regel deaktiviert, aber ich komm nicht in die DMZ vom LAN aus
Vielleicht hat jemand eine zündende Idee?
Ich bin kein Spezialist und bräuchte Hilfe bei meiner Konfiguration
Also mein Setup
Internet ------ FritzBox ---- 192.xxx.xxx ----- pfsense ---- 10.xxx.xxx
|-------- "quasi" DMZ | -------- HeimNetz
Mein Problem:
- die Anleitung für PP funktioniert erst mal so (bis auf neue Optionen); aber ich musste nach der Erstinstallation von pfsense ein WAN Regel erstellen, sonst wär ich gar nicht ins Internet gekommen...hab die aber wieder gelöscht..mit der PP Konfiguraition hat das trotzdem funktioniert
- ich würde gerne einen Bypass für z.b. Amazon Prime oder Netflix konfigurieren, da das mit VPN nicht funktioniert
- die Regel mit den Alias funktioniert irgendwie mit der neuen Version nicht mehr
- die Regel zum DMZ mit WAN Gateway funktioniert auch nicht...hab da schon einige Regel erstellt bzw. die übergreifende Regel deaktiviert, aber ich komm nicht in die DMZ vom LAN aus
Vielleicht hat jemand eine zündende Idee?