PfSense Openvpn met Remote Desktop lukt niet

Ik heb thuis PfSense draaien op virtueel machine.
Alles werkt prima en openvpn werkt ook goed.

Maar alleen 1 ding werkt nog niet en dat is remote desktop naar mijn server, computers.
Ik heb bij openvpn paar dingen ingesteld maar het lukt me steeds niet.

Hieronder staan instellingen die ik heb ingesteld.

Bij openvpn-server setting.

IPv4 Tunnel Network = 10.0.8.0/24
IPv4 Local network(s) = 192.168.10.0/24 (dacht dat deze instelling ervoor zorgt dat ik naar die netwerk kan bereiken voor bijvoorbeeld remote desktop)
Inter-client communication heb ik ook aanstaan (denk dat niet echt nodig is?)
DNS server heb ik van PfSense zelf genomen

Voor de rest is niks aangepast, standaard gelaten.

Ik denk dat ik push route moet gebruiken maar is dat niet hetzelfde als instelling boven (IPV Local Network)?

Ik hoop dat het beetje duidelijk genoeg is voor jullie?

XiMMiX schreef op woensdag 22 maart 2017 @ 23:27:

Hoe heb je vastgesteld dat openvpn goed werkt? Bedoel je dat je geen foutmeldingen krijgt bij opzetten verbinding of heb je de connectiviteit echt getest door bv iets te pingen over de openvpn verbinding?

Dat ik geen foutmelding krijgt inderdaad en ging ervanuit dat het werkt maar eigenlijk blijkt het niet zo want als ik ping lukt niet en als ik mijn public ip adress kijkt is niet van mijn openvpn server. Ik wil eigenlijk ook dat alle traffic (internet, lan) via open vpn op PfSense loopt. Ik heb wat rondgekeken en meeste antwoorden zegt Redirect Gateway aanzetten zou ervoor zorgen dat alle traffic langs openvpn loopt. Is dat juist?

Werkt alleen remote desktop over de openvpn verbinding niet en andere zaken bv ping wel? Zo ja, dan lijkt me het probleem niet in openvpn te zitten. Laten de firewall rules onder Firewall->Rules->OpenVPN remote desktop wel toe?

Ik heb ook gehoord van leekracht dat hij vermoed dat firewall ook probleem vormt en moet toestaan enzvoort. Ik denk dat ik zo moet instellen volgens iemand comment op forum: "On the pfSense server go to Firewall > NAT > Outbound and check if there is a rule for WAN interface, with source = your vpn tunnel network and NAT Address = WAN address. If it isn't there, add it manually. "

Standaard is server mode "peer to peer", klopt het dat je 2 routers met elkaar wil verbinden? Of probeer je een enkele pc of smartphone te verbinden, in dit geval past "Remote access" beter.
Standaard waarden lijken me verder prima, ze werken in ieder geval wel voor mij.

Ik wil dat mijn gsm, tablet en computers verbinden met openvpn, dus niet vpn opzetten tussen 2 routers. Dus moet ik Remote access instellen?

Nee, als je bij IPv4 Local network iets invult maakt Pfsense daar een push route in de openvpn configuratie van. Je zou dat zelf kunnen controleren door onder Diagnostics->Command Prompt het volgende commando uit te voeren:
"cat /var/etc/openvpn/server1.conf"
Dan zie je de openvpn configuratie file die pfsense aanmaakt. Als je meer dan 1 openvpn server hebt geconfigureerd kan het ook server2.conf, server3.conf oid zijn.

Ik zal proberen serverconfig vinden en hier posten want denk dat zo meer duidelijker is.

XiMMiX schreef op donderdag 23 maart 2017 @ 11:38:
[...]


Om al je verkeer via openvpn te laten lopen moet je inderdaad "Redirect Gateway" aanzetten, maar ik zou als ik jou was eerst kijken hoe ik verkeer naar het interne LAN werkend krijg.


[...]


Ik denk ook dat de kans groot is dat het probleem in de firewall zit. De firewall regels staan zoals ik al vermeldde onder Firewall->Rules->OpenVPN. Je moet daar regels toevoegen die verkeer van je openvpn clients (10.0.8.0/24) naar je interne lan (192.168.10.0/24) toestaan en als je "Redirect Gateway" wil gebruiken moet je daar ook verkeer naar internet toestaan.

Op verkeer vanaf je openvpn client naar internet moet NAT toegepast worden en dat stel je in onder Firewall > NAT > Outbound. Een foute instelling hier heeft geen invloed op verkeer naar je LAN
Maar als het goed is heeft pfsense je openvpn subnet (10.0.8.0/24) aan een automatische regel toegevoegd.


[...]


Ja, je moet "Remote access" kiezen.

Hieronder staat mijn huidige Openvpn server config.

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 192.168.0.10
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwgRGF0YWJhc2U= false server1 1194" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'SERVER-THUIS-VPN' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 192.168.10.1"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float
topology subnet

Bij firewall ziet het al goed uit op het eerste zicht.

Nat Outbound



Rules Lan



Rules Openvpn



Rules Wan


Het lukt me nog steeds niet, ik kan nu ook niet surfen via openvpn wat ervoor wel ging (door gateway pushen). Dus moet ergens bij firewall iets aanpakken maar ik zie het niet wat ik nog moet aanpassen.

Ik heb gisteren avond nog eens getest bij iemand thuis en kon dit keer wel surfen via open vpn. Ik vermoed dat op school geblokkeerd is. Ik kan nog niet testen via mobiel internet omdat ik sinds gisteren veranderd ben van provider en nog niet in orde is...
Dus nu werkt internet via openvpn wel volgens mij, alleen lukt remote desktop nog steeds niet.
Ik ben alvast stap dichter. Ik ga verder zoeken in firewall denk ik.
PfSense wordt gebruikt als een volwaardige router.

XiMMiX schreef op vrijdag 24 maart 2017 @ 18:28:
Ik zie niet direct een probleem in je configuratie.
Dat surfen nu ook niet werkt komt omdat je het probleem met de verbinding nog niet hebt opgelost, maar nu wel ook je internet verkeer door de verbinding probeert te sturen (Redirect Gateway). Vandaar mijn advies uit mijn vorige post dit niet aan te zetten voordat je je openvpn verbinding werkend hebt.

Wel vreemd dat de allow all rule onder OpenVPN wel verkeer vanaf je OpenVPN client(s) heeft doorgelaten (5.89 MiB) terwijl je geen verbinding lijkt te hebben. Is pfsense je centrale router of gebruik je pfsense alleen als VPN end-point en heb je ook een andere router?

Alles werkt nu eindelijk goed

Remote desktop werkt nu wel omdat ik dit keer via ip-adress gebruik inplaats van hostname. Dus hostname werkt blijkbaar niet.
Surfen loopt nu ook via vpn en het werk snel.
Bedankt voor alle hulp en vooral van XiMMiX.
Topic mag gesloten worden ofwel open blijven voor als voorbeeld aan anderen met hetzelfde problemen.