Tipps & Tricks: OpenVPN mit pfSense

Gerd

Active Member
Wichtige Infos: Ab der pfSense Version 2.4 werden keine NanoBSD Images mehr angeboten. Ebenso wird keine 32-bit (x86/i386) Hardware mehr unterstützt. Hier nähere Details.
Einge gute alternative zu pfSense ist OPNsense. Die OPNsense Konfiguration ist mit der von pfSense fast identisch.


Mögliche Hardware:

Hardwareliste ohne AES-NI (Für OPNsense):

Hardwareliste mit AES-NI: (Für pfSense und zum Teil für OPNsense)
- PfSense Produkte
- Firewall Appliance by Protectli
- APU(2d2,2d4,3c2,3c4,4c2,4c4) (pfSense Forum 1)
- Supermicro X11SBA-LN4F (pfSense Forum 1)
- Supermicro A1SRi-2558F (pfSense Forum 1)
- Supermicro A1SRi-2758F
- Weitere Supermicro Mainboards

pfSense und VPN Kaskade in VirtualBox
sha256: a1c4c4e8112a586ab8860bb314f957666f432db3ebaa9cbe459a52f3e6eae26a

PfSense-2-4-X-Anleitung
sha256: 81df201c1fb8056e839080701b6c6ec68d329fd22dede5712fadd5528dea704c

Package: stunnel (Stealth VPN)
sha256: b6fd04774e4bc7a0ff8a7ab4cab92194b994c50ace64f79eff9ebd4d765261b9
Package: Squid + SquidGuard + Antivirus
sha256: d643e395c458be7c5cad6a50e4cac2708a76c0609b9c42ae03019b735dfeecde
Package: pfBlockerNG (Werbung blockieren) und Ausnahmeregeln z. B. für Netflix
sha256: d35d24d0e03943d97d4793c32e8db44d38e5ce51d365b5c0b0a71522838c5f68

Die pfSense Anleitung habe ich aus verschiedenen Beiträgen zusammen gesetzt. Falls die pfSense oder Package Anleitungen Fehler enthalten, bitte schreiben.

An dieser Stelle schon mal ein Dank an Melchi (von hide.me Forum) für die Hilfe zu pfBlockerNG Package und Load Balancing Konfiguration in pfSense 2-4-X-Anleitung.
 
Last edited:

Loreas

Junior Member
Geile Anleitung!! Danke!

Nur eine Sache wär da noch. Wie kann ich denn die Reihenfolge der Fail Over VPNs festlegen? Wenn ich Tier 1/2/3 verändere, ist das meiner VPN-Verbindung ziemlich egal...
 

Gerd

Active Member
Wenn ich Tier 1/2/3 verändere, ist das meiner VPN-Verbindung ziemlich egal...
Den Eindruck hatte ich auch :D, aber laut pfSense Doku kann man es wohl mit Tier1/2/3 festlegen. Was pfSense betrifft bin ich auch Laie.
Deine Frage wäre genau richtig für pfSense Forum. Da kennen sich genug Leute mit aus.
 

Gerd

Active Member
Wenn ich Tier 1/2/3 verändere, ist das meiner VPN-Verbindung ziemlich egal...

@Loreas ich habe nochmal die Konfiguration mit Tier1/2/3 ausprobiert. Ich habe einzelne Clients im Menü "Status-> OpenVPN" deaktiviert und das ganze unter www.whoer.net beobachtet.
Die IPs sprangen wie vorgesehen nach der Tier-Zahl hin und her, je nachdem welche Cients ich aktiviert oder deaktiviert habe. Zwar nicht sekundengenau aber mit ca. 1-3 Minuten Verzögerung.

Bei mir funktioniert es jedefalls.

Edit: Nach einigen Tests wechselt der Client nicht automatisch zu der höheren Priorität z.B. von Tier3 auf Tier1 zurück, sondern erst wenn der aktuelle Client down ist. Schön wäre es natürlich gewesen, wenn die Clients ohne Zeitverzögerung hin und her wechseln würden. Vielleicht liegt es auch an den Einstellungen.
 
Last edited:

Wall-E

Member
...ebenfalls Danke für die Anleitung - zukünftige Fragen sind nicht ausgeschlossen ;)

Ein Hinweis für die, die wie ich manchmal in der Eile und Vorfreude etwas überlesen:
Der voreingetragene Open-VPN Port bei pfsense lautet 1194... benötigt wird aber (z.B.) 1149... dann klappts auch mit der Verbindung ;)

Noch ein Hinweis, für alle die, die mit SquidGuard arbeiten wollen....
Man muss nach Veränderungen IMMER den grünen Apply Button im ersten Reiter des Menüs betätigen (egal in welchem Menü/auf welchem Reiter man was verändert hat) - nur den jeweiligen Save-Button zu drücken reicht nicht...
Steht zwar auch im Kleingedruckten, aber ich habs, naja, übersehen ^^
 
Last edited:

mkivtt

Junior Member
Is there an alternate download for this file? The website no longer does "free" downloads of this document.
 

mkivtt

Junior Member
[QUOTE = "Gerd, post: 15012, member: 123"] I have no problem to download this file. Try again or try with another VPN server. [/ QUOTE]
It takes me straight to premium only option and says it is unavailable via free option. I don't know what is going on then.
 

byomiger_tag_heute

Junior Member
@Gerd

Google Drive, Dropbox, Microsoft OneDrive, ...

There are tons of better options to host the file so users can download it directly, but to be honest: why not just insert it into your post? Downloading and opening files from random people on a forum for a privacy service is usually not the safest thing to do.
 

chrysen

Junior Member
Muss sagen gute Anleitung leider geht ipv6 irgentwie nicht richtig. Es wird die echte ipv6 adresse angezeigt und nicht die von PP. weiß wer wie man das umstellen kann?
 

Gerd

Active Member
Können die anderen pfSense Nutzer auch bestätigen ob das Problem mit ipv6 besteht?

Edit: Ich selbst kann das im Moment nicht testen, weil ich bei einem anderen VPN Anbieter bin und ipv6 deaktiviert habe. Bitte testet auch ob ein DNS Leak besteht.
 
Last edited:

hooten

New Member
Gute Anleitung. Hat auch sofort geklappt.
Nur stelle ich mich zu blöd an hier einen Port freizugeben. Hat so etwas schon jemand gemacht und hat Lust eine kleine Anleitung zu machen die auf diese Anleitung aufbaut?
:)
 

Gerd

Active Member
Solange die Portfreigabe etwas mit OpenVPN zu tun hat, kann man es hinzufügen. Hast Du ein konkretes Beispiel wofür man das braucht?

Edit: Falls jemand eine nützliche Anleitung hat, dann kann ich sie im ersten Post verlinken.
 
Last edited:

Gerd

Active Member
Ich habe eine Anleitung Packages Squid+SquidGuard (URL Filter) für pfSense hinzugefügt. Das meiste konnte ich übersetzten, aber halt nicht alles. Deshalb, wenn sich Fehler eingeschlichen haben, bitte schreiben.

Die Server bei Failover Konfiguration, müssten jetzt nach der Anleitung auch problemlos wechseln.
 
Last edited:

FeuerPhoenix

New Member
Hey Leute,
ich habe die Anleitung genommen und mal für OPNsense umgesetzt. Funktionierte rein vom Umsetzen genauso. Hier und da etwas anders aber im Grunde das gleiche.
Meine Frage ist: Bei der Erstellung des OpenVPN Clients.... seid ihr euch sicher, dass die Advanced Settings noch so stimmen wie sie da eingetragen sind im PDF?
Ich nutze erstmal nur <PP Server> als VPN Server (mobile_udp (xx-xx-20xx))

Wie oft verliert ihr die Verbindung zum Internet am Tag oder läuft bei euch alles glatt?
2-3 mal verliere ich für ne halbe Minute die Internet Verbindung dann reconnected er sich und alles funktioniert wieder für ne Weile.
Im Log werden mittlerweile auch keine Fehler mehr angezeigt nur noch folgendes nach vielen Stunde wo "Sequence completed" angezeigt wird:

Log:
TCP/UDP: Closing socket
/sbin/route delete -net XXXXXX
. . . .
Closing TUN/TAP interface
/usr/local/sbin/ovpn-linkdown ovpnc1 1500 1557 <Private Virtual Addr> 255.255.255.0 init
SIGTERM[hard,] received, process exiting

Konfig:
Alles wie im PDF angekreuzt in der GUI
Hardware Crypo hab ich noch <Hardware Crypto Acceleration> angegeben weil es möglich war
Disable IPv6 hatte ich noch angehakt

Advanced:
Code:
tun-mtu 1500
fragment 1300
mssfix
#float
hand-window 120
tran-window 3600
inactive 604800
mute-replay-warnings
ns-cert-type server
persist-key
persist-remote-ip
persist-tun
redirect-gateway def1
remote-random
reneg-sec 3600
resolv-retry 60
script-security 2
tls-cipher <die ganze Kette aus der opvpn Datei genommen>
route-delay 2
tls-timeout 5
key-direction 1
auth-nocache

Verbosity Level: 5
_________________

Irgendwer noch eine Idee? Ich bin komplett am verzweifeln und echt kurz davor das alles aufzugeben. :(
Es scheint so als ob sich die virtuelle private IP Adresse auf die sich die Clients im Netz verbinden um durch den Tunnel zu kommen, ab und zu ändern würde.
Kann es daran liegen?
Und wenn ja kann man den wechsel durch advanced Settings so umsetzen, dass die Verbindung bleibt?
Im Feld "Local Port" ist nichts eingegeben.

Schöne Grüße an alle :)
 
Last edited:
Top