Tipps & Tricks: OpenVPN mit pfSense

Discussion in 'Router' started by Gerd, Sep 13, 2014.

  1. G

    Gerd Junior Member

    Wichtige Infos: Ab der pfSense Version 2.4 werden keine NanoBSD Images mehr angeboten. Ebenso wird keine 32-bit (x86/i386) Hardware mehr unterstützt. Hier nähere Details.
    Ab der Version 2.5 muss die Hardware auch AES-NI unterstützten. Wer da immer noch Hardware "ohne AES-NI" nutzen möchte, der kann auf OPNsense umsteigen. Die OPNsense Konfiguration ist mit der von pfSense fast identisch.


    Mögliche Hardware:

    Hardwareliste ohne AES-NI (Für OPNsense):

    Hardwareliste mit AES-NI: (Für pfSense und zum Teil für OPNsense)
    - PfSense Produkte
    - Firewall Appliance by Protectli
    - APU(2d2,2d4,3c2,3c4,4c2,4c4) (pfSense Forum 1)
    - Supermicro X11SBA-LN4F (pfSense Forum 1)
    - Supermicro A1SRi-2558F (pfSense Forum 1)
    - Supermicro A1SRi-2758F
    - Weitere Supermicro Mainboards

    pfSense und VPN Kaskade in VirtualBox
    sha256: a1c4c4e8112a586ab8860bb314f957666f432db3ebaa9cbe459a52f3e6eae26a

    PfSense-2-4-X-Anleitung
    sha256: 81df201c1fb8056e839080701b6c6ec68d329fd22dede5712fadd5528dea704c

    Package: stunnel (Stealth VPN)
    sha256: b6fd04774e4bc7a0ff8a7ab4cab92194b994c50ace64f79eff9ebd4d765261b9
    Package: Squid + SquidGuard + Antivirus
    sha256: d643e395c458be7c5cad6a50e4cac2708a76c0609b9c42ae03019b735dfeecde
    Package: pfBlockerNG (Werbung blockieren) und Ausnahmeregeln z. B. für Netflix
    sha256: d35d24d0e03943d97d4793c32e8db44d38e5ce51d365b5c0b0a71522838c5f68

    Die pfSense Anleitung habe ich aus verschiedenen Beiträgen zusammen gesetzt. Falls die pfSense oder Package Anleitungen Fehler enthalten, bitte schreiben.

    An dieser Stelle schon mal ein Dank an Melchi (von hide.me Forum) für die Hilfe zu pfBlockerNG Package und Load Balancing Konfiguration in pfSense 2-4-X-Anleitung.
     
    Last edited: Apr 12, 2019
    HomerI, Wall-E, tomkno and 2 others like this.
  2. Loreas

    Loreas Member

    Geile Anleitung!! Danke!

    Nur eine Sache wär da noch. Wie kann ich denn die Reihenfolge der Fail Over VPNs festlegen? Wenn ich Tier 1/2/3 verändere, ist das meiner VPN-Verbindung ziemlich egal...
     
  3. G

    Gerd Junior Member

    Den Eindruck hatte ich auch :D, aber laut pfSense Doku kann man es wohl mit Tier1/2/3 festlegen. Was pfSense betrifft bin ich auch Laie.
    Deine Frage wäre genau richtig für pfSense Forum. Da kennen sich genug Leute mit aus.
     
  4. Loreas

    Loreas Member

    ;) ok, danke! Vielleicht finde ich den Fehler. Ich geb bescheid.
     
  5. G

    Gerd Junior Member

    @Loreas ich habe nochmal die Konfiguration mit Tier1/2/3 ausprobiert. Ich habe einzelne Clients im Menü "Status-> OpenVPN" deaktiviert und das ganze unter www.whoer.net beobachtet.
    Die IPs sprangen wie vorgesehen nach der Tier-Zahl hin und her, je nachdem welche Cients ich aktiviert oder deaktiviert habe. Zwar nicht sekundengenau aber mit ca. 1-3 Minuten Verzögerung.

    Bei mir funktioniert es jedefalls.

    Edit: Nach einigen Tests wechselt der Client nicht automatisch zu der höheren Priorität z.B. von Tier3 auf Tier1 zurück, sondern erst wenn der aktuelle Client down ist. Schön wäre es natürlich gewesen, wenn die Clients ohne Zeitverzögerung hin und her wechseln würden. Vielleicht liegt es auch an den Einstellungen.
     
    Last edited: May 23, 2016
  6. t

    tomkno New Member

    Danke für die sehr ausführliche Anleitung
    hat alles wunderbar geklappt :)
     
  7. Wall-E

    Wall-E Junior Member

    ...ebenfalls Danke für die Anleitung - zukünftige Fragen sind nicht ausgeschlossen ;)

    Ein Hinweis für die, die wie ich manchmal in der Eile und Vorfreude etwas überlesen:
    Der voreingetragene Open-VPN Port bei pfsense lautet 1194... benötigt wird aber (z.B.) 1149... dann klappts auch mit der Verbindung ;)

    Noch ein Hinweis, für alle die, die mit SquidGuard arbeiten wollen....
    Man muss nach Veränderungen IMMER den grünen Apply Button im ersten Reiter des Menüs betätigen (egal in welchem Menü/auf welchem Reiter man was verändert hat) - nur den jeweiligen Save-Button zu drücken reicht nicht...
    Steht zwar auch im Kleingedruckten, aber ich habs, naja, übersehen ^^
     
    Last edited: Aug 14, 2016
  8. m

    mkivtt New Member

    Is there an alternate download for this file? The website no longer does "free" downloads of this document.
     
  9. G

    Gerd Junior Member

    I have no problem to download this file. Try again or try with another VPN Server.
     
  10. m

    mkivtt New Member

    [QUOTE = "Gerd, post: 15012, member: 123"] I have no problem to download this file. Try again or try with another VPN server. [/ QUOTE]
    It takes me straight to premium only option and says it is unavailable via free option. I don't know what is going on then.
     
  11. G

    Gerd Junior Member

    @mkivtt do you have an alternative website where i can upload it?
     
  12. @Gerd

    Google Drive, Dropbox, Microsoft OneDrive, ...

    There are tons of better options to host the file so users can download it directly, but to be honest: why not just insert it into your post? Downloading and opening files from random people on a forum for a privacy service is usually not the safest thing to do.
     
  13. G

    Gerd Junior Member

    If PP Team increased the upload limit to 2 MB or higher, then I can insert it into my post.
     
  14. You can create a direct download link if you use one of the 'cloud' hosters.
     
  15. c

    chrysen New Member

    Muss sagen gute Anleitung leider geht ipv6 irgentwie nicht richtig. Es wird die echte ipv6 adresse angezeigt und nicht die von PP. weiß wer wie man das umstellen kann?
     
  16. G

    Gerd Junior Member

    Können die anderen pfSense Nutzer auch bestätigen ob das Problem mit ipv6 besteht?

    Edit: Ich selbst kann das im Moment nicht testen, weil ich bei einem anderen VPN Anbieter bin und ipv6 deaktiviert habe. Bitte testet auch ob ein DNS Leak besteht.
     
    Last edited: Sep 24, 2016
  17. h

    hooten New Member

    Gute Anleitung. Hat auch sofort geklappt.
    Nur stelle ich mich zu blöd an hier einen Port freizugeben. Hat so etwas schon jemand gemacht und hat Lust eine kleine Anleitung zu machen die auf diese Anleitung aufbaut?
    :)
     
  18. G

    Gerd Junior Member

    Solange die Portfreigabe etwas mit OpenVPN zu tun hat, kann man es hinzufügen. Hast Du ein konkretes Beispiel wofür man das braucht?

    Edit: Falls jemand eine nützliche Anleitung hat, dann kann ich sie im ersten Post verlinken.
     
    Last edited: Jun 11, 2017
  19. G

    Gerd Junior Member

    Ich habe eine Anleitung Packages Squid+SquidGuard (URL Filter) für pfSense hinzugefügt. Das meiste konnte ich übersetzten, aber halt nicht alles. Deshalb, wenn sich Fehler eingeschlichen haben, bitte schreiben.

    Die Server bei Failover Konfiguration, müssten jetzt nach der Anleitung auch problemlos wechseln.
     
    Last edited: Jun 25, 2017
  20. F

    FeuerPhoenix New Member

    Hey Leute,
    ich habe die Anleitung genommen und mal für OPNsense umgesetzt. Funktionierte rein vom Umsetzen genauso. Hier und da etwas anders aber im Grunde das gleiche.
    Meine Frage ist: Bei der Erstellung des OpenVPN Clients.... seid ihr euch sicher, dass die Advanced Settings noch so stimmen wie sie da eingetragen sind im PDF?
    Ich nutze erstmal nur <PP Server> als VPN Server (mobile_udp (xx-xx-20xx))

    Wie oft verliert ihr die Verbindung zum Internet am Tag oder läuft bei euch alles glatt?
    2-3 mal verliere ich für ne halbe Minute die Internet Verbindung dann reconnected er sich und alles funktioniert wieder für ne Weile.
    Im Log werden mittlerweile auch keine Fehler mehr angezeigt nur noch folgendes nach vielen Stunde wo "Sequence completed" angezeigt wird:

    Log:
    TCP/UDP: Closing socket
    /sbin/route delete -net XXXXXX
    . . . .
    Closing TUN/TAP interface
    /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1557 <Private Virtual Addr> 255.255.255.0 init
    SIGTERM[hard,] received, process exiting

    Konfig:
    Alles wie im PDF angekreuzt in der GUI
    Hardware Crypo hab ich noch <Hardware Crypto Acceleration> angegeben weil es möglich war
    Disable IPv6 hatte ich noch angehakt

    Advanced:
    Code:
    tun-mtu 1500
    fragment 1300
    mssfix
    #float
    hand-window 120
    tran-window 3600
    inactive 604800
    mute-replay-warnings
    ns-cert-type server
    persist-key
    persist-remote-ip
    persist-tun
    redirect-gateway def1
    remote-random
    reneg-sec 3600
    resolv-retry 60
    script-security 2
    tls-cipher <die ganze Kette aus der opvpn Datei genommen>
    route-delay 2
    tls-timeout 5
    key-direction 1
    auth-nocache
    
    Verbosity Level: 5
    _________________

    Irgendwer noch eine Idee? Ich bin komplett am verzweifeln und echt kurz davor das alles aufzugeben. :(
    Es scheint so als ob sich die virtuelle private IP Adresse auf die sich die Clients im Netz verbinden um durch den Tunnel zu kommen, ab und zu ändern würde.
    Kann es daran liegen?
    Und wenn ja kann man den wechsel durch advanced Settings so umsetzen, dass die Verbindung bleibt?
    Im Feld "Local Port" ist nichts eingegeben.

    Schöne Grüße an alle :)
     
    Last edited: Aug 2, 2017
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice