Ich arbeite jetzt schon seit ein paar Wochen daran, aber ich scheine keine Fortschritte zu machen.
Ich habe einen Hardware-PfSense als meinen Internet-Router eingerichtet, alles funktioniert einwandfrei, außer dass ich keine Verbindung zum OpenVPN-Server herstellen kann, der auf dem PfSense läuft.
Bevor ich pfsense als Router einrichtete, habe ich es hinter meinen alten Router gestellt, der als Fake-WAN fungierte und mein VPN-Setup testete – ich konnte eine Verbindung herstellen. Aber ich kann es in meinem ISP-Netzwerk zum Laufen bringen.
Ich habe versucht (in dieser Reihenfolge):
- UDP-Eingangsport 1195
- UDP-Eingangsport 1194
- TCP-Eingangsport 1194
- TCP-Eingangsport 443
Nichts scheint zu funktionieren – tcpdump zeigt auf diesen Ports nichts an:
tcpdump -lnni igb0 port 1194 and src host xxx.76.19.66(die Remote-IP, mit der ich mich verbinde)
Meine Konfiguration auf dem pfsense folgt der offiziellen Anleitung und dem Setup-Assistenten:
- Der Servermodus ist Remote Access (SSL/TLS + Benutzerauthentifizierung)
- TLS-Schlüssel einrichten
- Zertifikate geprüft & eingerichtet
- IPv4-Tunnelnetzwerk: 10.0.8.0/24
- IPv4 Lokale Netzwerke: 192.168.10.0/24
Meine Firewall-Regeln:
Die öffentliche IP des Servers unterscheidet sich von der, die am WAN-Port von pfsense erkannt wird: 172.18.36.162 – das ist meine lokale IP intern beim ISP.
Irgendeine Idee, wie ich das Problem weiter beheben könnte? Ich habe den ISP angerufen, aber sie sagen mir nichts. Es ist ein kleiner ISP und ich bin mir nicht einmal sicher, ob sie irgendetwas absichtlich blockieren.
Folgendes sagt mir nmap:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-24 09:34 W. Europe Standard Time
Nmap scan report for 24.347.74.101
Host is up (0.00s latency).
PORT STATE SERVICE
1194/tcp filtered openvpn
Nmap done: 1 IP address (1 host up) scanned in 0.89 seconds
(IP durch Zufallszahlen ersetzt)
Dies sollte in der Paketerfassung von pfsense angezeigt werden, oder?
Antwort1
Spät, aber um hier eine Antwort zu geben. Es ist offensichtlich, wenn Sie sich die IP ansehen, die mir von meinem Netzbetreiber zugewiesen wurde:172.18.36.162
Das Subnetz 172.16.0.0ist Teil desprivater IP-Adressblock.
Verschiedene Register (verwaltet von ARIN). 172.16.0.0/12 (172.16.0.0–172.31.255.255) reserviert für private Netzwerke (RFC 1918).
Das bedeutet, dass mein Netzbetreiber über ein internes Netzwerk (und eine Firewall) verfügt, die alle über eine einzige öffentliche IP-Adresse laufen. Dies wird als CG-NAT (Carrier Grade NAT) bezeichnet.
In einer solchen Konfiguration ist es nicht möglich, OpenVPN zum Laufen zu bringen, ohne die Firewall-Regeln des Netzbetreibers zu ändern.
Ich habe sie angerufen und sie haben mir angeboten, mir für 5 USD/Monat eine öffentliche, statische IP-Adresse zur Verfügung zu stellen. Von da an hat alles geklappt.