3
VPN PfSense und Synology
Moinsen zusammen!
ich versuche zunehmend verzweifelt, eine VPN Verbindung zwischen einer Synology Disk Station und einer PfSense zum laufen zu bringen, leider bisher erfolglos.
Geplant war: OpenVPN. Synology ist Server, PfSense ist Client. Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Also Fehlerbild: Ping von PfSense LAN-Interface auf Synology: Totesnstille. Ping von PfSense OpenVPN Interface auf Synology: Schnattert.
Finde ums verrecken keine Einstellung, die das bewerkstelligt.
Chris Buechler (wer den Namen kennt...) schrieb vor relativ kurzer Zeit zu einem ähnlichen Fall, dass man aufgrund der Besonderheiten des OpenVPN Protokolls unter "Client Specific Overrides" einen Eintrag "iroute" für das eigene Netz setzen muss. Hat leider nichts gebracht.
http://serverfault.com/questions/448163/trouble-with-site-to-site-openv ...
Auch wenn ich den Server auf der PfSense installiere und die Synology connecten lasse geht es nicht. Fehler: "TLS-Handshake failed". Verschiedene Settings probiert. Erfolglos. Leider im Netz nichts gefunden zu funktionierenden Beispielen.
Eine L2TP/IPSec Verbindung ginge ja auch, fällt aber flach, da ich auf der PfSense global für alle mobilen IPSec Verbindungen Einstellungen ändern muss, mit denen die vorhandenen Clients nicht mehr connecten könnten. (Es gibt nur eine "mobile Clients" Einstellung!)
Spasseshalber mal das olle PPTP ausprobiert: Siehe da, einfach zu konfigurieren (erinnert sich wer) und verbindet auf Anhieb. Das waren Zeiten...
Aber nun: Immer noch nix Netzlaufwerk auf Remote (Synology)
Auf der PfSense natürlich in den Rules PPTP und GRE gesetzt auf WAN. und auf dem PPTP auch eine Regel, die alles erlaubt. Nix. Totenstille. Nur auf dem Interface direkt wieder mal Antworten.
Wollen die mich vera... Ich weiss es grad nicht. Kann ja auch sein, dass ich auf dem dicksten aller Schläuche stehe.
Aber das ist nun wahrlich nicht meine erste VPN Verbindung und die "normale" IPSec Client Einwahl macht ja auch alles, was sie soll.
Evtl. liegt es ja auch daran, dass ich mit der Implementation der Zertifikatrsverwaltung grundsätzlich auf Kriegsfuss stehe, das ist überall komplizierter, als es sein müsste...
Ich weiss es nicht...
Sollte jemand aktiv eine VPN-Verbindung mit Synology und PfSense betreiben, wäre ich für Tips dankbar.
LG
Bug (vormals: Buc)
ich versuche zunehmend verzweifelt, eine VPN Verbindung zwischen einer Synology Disk Station und einer PfSense zum laufen zu bringen, leider bisher erfolglos.
Geplant war: OpenVPN. Synology ist Server, PfSense ist Client. Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Also Fehlerbild: Ping von PfSense LAN-Interface auf Synology: Totesnstille. Ping von PfSense OpenVPN Interface auf Synology: Schnattert.
Finde ums verrecken keine Einstellung, die das bewerkstelligt.
Chris Buechler (wer den Namen kennt...) schrieb vor relativ kurzer Zeit zu einem ähnlichen Fall, dass man aufgrund der Besonderheiten des OpenVPN Protokolls unter "Client Specific Overrides" einen Eintrag "iroute" für das eigene Netz setzen muss. Hat leider nichts gebracht.
http://serverfault.com/questions/448163/trouble-with-site-to-site-openv ...
Auch wenn ich den Server auf der PfSense installiere und die Synology connecten lasse geht es nicht. Fehler: "TLS-Handshake failed". Verschiedene Settings probiert. Erfolglos. Leider im Netz nichts gefunden zu funktionierenden Beispielen.
Eine L2TP/IPSec Verbindung ginge ja auch, fällt aber flach, da ich auf der PfSense global für alle mobilen IPSec Verbindungen Einstellungen ändern muss, mit denen die vorhandenen Clients nicht mehr connecten könnten. (Es gibt nur eine "mobile Clients" Einstellung!)
Spasseshalber mal das olle PPTP ausprobiert: Siehe da, einfach zu konfigurieren (erinnert sich wer) und verbindet auf Anhieb. Das waren Zeiten...
Aber nun: Immer noch nix Netzlaufwerk auf Remote (Synology)
Auf der PfSense natürlich in den Rules PPTP und GRE gesetzt auf WAN. und auf dem PPTP auch eine Regel, die alles erlaubt. Nix. Totenstille. Nur auf dem Interface direkt wieder mal Antworten.
Wollen die mich vera... Ich weiss es grad nicht. Kann ja auch sein, dass ich auf dem dicksten aller Schläuche stehe.
Aber das ist nun wahrlich nicht meine erste VPN Verbindung und die "normale" IPSec Client Einwahl macht ja auch alles, was sie soll.
Evtl. liegt es ja auch daran, dass ich mit der Implementation der Zertifikatrsverwaltung grundsätzlich auf Kriegsfuss stehe, das ist überall komplizierter, als es sein müsste...
Ich weiss es nicht...
Sollte jemand aktiv eine VPN-Verbindung mit Synology und PfSense betreiben, wäre ich für Tips dankbar.
LG
Bug (vormals: Buc)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296697
Url: https://administrator.de/contentid/296697
Printed on: April 18, 2024 at 19:04 o'clock
3 Comments
Latest comment
Mal was zum Routing von OpenVPN: Das geschieht bei mir an zwei Stellen:
In der clientspezifischen ccd-Konfigurationsdatei (statische IP!) steht folgendes:
Damit sage ich dem OpenVPN-Serverdienst, auf welchem Client er die Route findet.
In der openvpn.conf habe ich folgendes stehen:
Damit sage ich dem OpenVPN-Serverdienst, dass er den Netzwerkstack vom Server anweisen soll, die Pakete zu Ihm rüberzurouten.
Vielleicht passt das ja zu deiner ursprünglichen Planung?
In der clientspezifischen ccd-Konfigurationsdatei (statische IP!) steht folgendes:
iroute 192.168.xxx.0/24Damit sage ich dem OpenVPN-Serverdienst, auf welchem Client er die Route findet.
In der openvpn.conf habe ich folgendes stehen:
route 192.168.xxx.0 255.255.255.0Damit sage ich dem OpenVPN-Serverdienst, dass er den Netzwerkstack vom Server anweisen soll, die Pakete zu Ihm rüberzurouten.
Vielleicht passt das ja zu deiner ursprünglichen Planung?
Danke. Das war konstruktiver Input. So kompliziert war es aber am Ende gar nicht.
Mein Fehler war, der Synology in der Client-Einwahl das von der PfSense ausgestellte Client (User-) Zertifikat unterschieben zu wollen. Die will da aber das Serverzertifikat, da sie Clients gar nicht zertifikatbasiert authentifiziert. mindestens nicht über die GUI, man kann es ihr wohl via Shell aufzwingen.
Viel wichtiger ist, in den Logs auf der Pfsense herauszufinden, welche Algorithmen denn von der Synology unterstützt werden.
Es geht wohl nur: BF-CBC 128 bit, SHA-1 und DH 1024 für den Synology OpenVPN Client als Sicherheitseinstellungen.
Wenn man dann noch unter Remote Access: User Auth setzt, rennt das.
Und wenn die PfSense das Routing macht, finden auch all die kleinen UDP und TCP-Päckchen nach Hause.
Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist. Offensichtlich müsste man dem OpenVPN Server auf der Synology mitteilen, dass er den Range des "realen" Netzes hinter der virtuellen Client IP auf diese routen soll. Wo das geht, habe ich nicht gefunden. (s.o.)
So long
Bucanero
Mein Fehler war, der Synology in der Client-Einwahl das von der PfSense ausgestellte Client (User-) Zertifikat unterschieben zu wollen. Die will da aber das Serverzertifikat, da sie Clients gar nicht zertifikatbasiert authentifiziert. mindestens nicht über die GUI, man kann es ihr wohl via Shell aufzwingen.
Viel wichtiger ist, in den Logs auf der Pfsense herauszufinden, welche Algorithmen denn von der Synology unterstützt werden.
Es geht wohl nur: BF-CBC 128 bit, SHA-1 und DH 1024 für den Synology OpenVPN Client als Sicherheitseinstellungen.
Wenn man dann noch unter Remote Access: User Auth setzt, rennt das.
Und wenn die PfSense das Routing macht, finden auch all die kleinen UDP und TCP-Päckchen nach Hause.
Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist. Offensichtlich müsste man dem OpenVPN Server auf der Synology mitteilen, dass er den Range des "realen" Netzes hinter der virtuellen Client IP auf diese routen soll. Wo das geht, habe ich nicht gefunden. (s.o.)
So long
Bucanero
Das scheitert leider daran, dass die PfSense zwar von ihrem OpenVPN Interface connected, aber nichts ins lokale LAN routet.
Sollte nicht so sein und weisst auf einen Konfig Fehler hin ! Was sagt die Routing Tabelle der pfSense ?Entscheidend ist wie du hier den Server konfiguriert hast, der muss ja per push Kommando die Route an den pfSense Client senden.
Zusätzlich muss auf der pfSense natürlich nch die Regeln auf dem virtuellen OVPN Interface angepasst sein !
Sieht ein bischen nach dem Fehlerbild so aus also ob du das vergessen hast..?
Ahhhrrg...OK ist ja alles gelöst... Wer lesen kann
Offen bleibt für mich die Frage, wie ich ein Netzwerk oder einen einzelnen Host hinter einer OpenVPN Client Einwahl erreichbar mache, wenn die PfSense der Client ist.
OK, doch noch was...Das ist kinderleicht. Knackpunkt ist hier WER das Default Gateway für die Clients ist. Ist das ein separater Router im Netz, braucht dieser eine statische Route auf den OVPN Server.
Ist OVPN Server und Router eins entfällt das natürlich.
Kann der separate Router keine statischen Routen musst du auf dem Client eine solche anlegen ala:
route add <ovpn_netz> mask <maske> <gateway_ip_adresse> -p
