|
mysterox
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
Hallo zusammen, ich mir nach Anleitung einen OpenVPN Server aufgesetzt.
Wenn ich in meiner Client Config, die Lokale IP Adresse verwende, kann ich mich erfolgreich zum Server verbinden und auch die VPN IP anpingen.
Ändere ich die Adresse in meine öffentliche DynDNS Adresse klappt dies leider nicht mehr. Ich habe einen Anschluss der Deutschen Glasfaser (DS Lite).
Ich habe mir bei "feste-ip.net", eine feste v4 Adresse gekauft, auf dieser dort ein Portmapper läuft.
Alle bisherigen Verbindungen (SSH, HTTP, HTTPS) werden auch gekorrekt umgesetzt und kommen auf dem entsprechenden Computer in meinem Netzwerk an. Wenn ich bei www.ipv6scanner.com den Port 1194 prüfen lasse, bekomme ich auch angezeigt, das alles in Ordnung ist. Hat jemand eine Idee wo der Fehler liegen könnte? Danke & Gruß Thomas server.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47 | ;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # This file should be kept secret
dh ./easy-rsa2/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
tls-auth ./easy-rsa2/keys/ta.key 0
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
cipher AES-256-CBC
auth SHA512 #SHA128 SHA256 und SHA512 gehören zur SHA-2 Familie
remote-cert-tls client
|
client
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31 | client
;dev tap
dev tun
;dev-node MyTap
proto tcp
;proto udp
remote mysterox-home.de 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20
cipher AES-256-CBC
auth SHA512 #SHA128 SHA256 und SHA512 gehören zur SHA-2 Familie
remote-cert-tls server
tls-auth ta.key 1
|
Moderiert von Vej: Dieses Thema ist verschoben worden. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“)!
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
mysterox schrieb: Wenn ich in meiner Client Config, die Lokale IP Adresse verwende, kann ich mich erfolgreich zum Server verbinden und auch die VPN IP anpingen.
Ändere ich die Adresse in meine öffentliche DynDNS Adresse klappt dies leider nicht mehr.
Und die Fehlermeldung lautet?
Ich habe einen Anschluss der Deutschen Glasfaser (DS Lite). Ich habe mir bei "feste-ip.net", eine feste v4 Adresse gekauft, auf dieser dort ein Portmapper läuft. Alle bisherigen Verbindungen (SSH, HTTP, HTTPS) werden auch gekorrekt umgesetzt und kommen auf dem entsprechenden Computer in meinem Netzwerk an. Wenn ich bei www.ipv6scanner.com den Port 1194 prüfen lasse, bekomme ich auch angezeigt, das alles in Ordnung ist.
Hast du beachtet, dass OpenVPN mit UDP läuft? SSH, HTTP und HTTPS laufen über TCP.
|
|
mysterox
(Themenstarter)
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
Hi, auch mein OpenVPN läuft auf TCP. Anbei der Log vom OpenVPN Client
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41 | Wed Feb 08 11:38:23 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Wed Feb 08 11:38:23 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Feb 08 11:38:23 2017 library versions: OpenSSL 1.0.2i 22 Sep 2016, LZO 2.09
Enter Management Password:
Wed Feb 08 11:38:23 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Feb 08 11:38:23 2017 Need hold release from management interface, waiting...
Wed Feb 08 11:38:23 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Feb 08 11:38:23 2017 MANAGEMENT: CMD 'state on'
Wed Feb 08 11:38:23 2017 MANAGEMENT: CMD 'log all on'
Wed Feb 08 11:38:23 2017 MANAGEMENT: CMD 'hold off'
Wed Feb 08 11:38:23 2017 MANAGEMENT: CMD 'hold release'
Wed Feb 08 11:38:24 2017 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Feb 08 11:38:24 2017 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Feb 08 11:38:24 2017 MANAGEMENT: >STATE:1486550304,RESOLVE,,,,,,
Wed Feb 08 11:38:24 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:24 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Feb 08 11:38:24 2017 Attempting to establish TCP connection with [AF_INET]84.200.52.137:1194 [nonblock]
Wed Feb 08 11:38:24 2017 MANAGEMENT: >STATE:1486550304,TCP_CONNECT,,,,,,
Wed Feb 08 11:38:25 2017 TCP connection established with [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:25 2017 TCP_CLIENT link local: (not bound)
Wed Feb 08 11:38:25 2017 TCP_CLIENT link remote: [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:25 2017 MANAGEMENT: >STATE:1486550305,WAIT,,,,,,
Wed Feb 08 11:38:25 2017 Connection reset, restarting [0]
Wed Feb 08 11:38:25 2017 SIGUSR1[soft,connection-reset] received, process restarting
Wed Feb 08 11:38:25 2017 MANAGEMENT: >STATE:1486550305,RECONNECTING,connection-reset,,,,,
Wed Feb 08 11:38:25 2017 Restart pause, 5 second(s)
Wed Feb 08 11:38:30 2017 MANAGEMENT: >STATE:1486550310,RESOLVE,,,,,,
Wed Feb 08 11:38:30 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:30 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Feb 08 11:38:30 2017 Attempting to establish TCP connection with [AF_INET]84.200.52.137:1194 [nonblock]
Wed Feb 08 11:38:30 2017 MANAGEMENT: >STATE:1486550310,TCP_CONNECT,,,,,,
Wed Feb 08 11:38:31 2017 TCP connection established with [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:31 2017 TCP_CLIENT link local: (not bound)
Wed Feb 08 11:38:31 2017 TCP_CLIENT link remote: [AF_INET]84.200.52.137:1194
Wed Feb 08 11:38:31 2017 MANAGEMENT: >STATE:1486550311,WAIT,,,,,,
Wed Feb 08 11:38:31 2017 Connection reset, restarting [0]
Wed Feb 08 11:38:31 2017 SIGUSR1[soft,connection-reset] received, process restarting
Wed Feb 08 11:38:31 2017 MANAGEMENT: >STATE:1486550311,RECONNECTING,connection-reset,,,,,
Wed Feb 08 11:38:31 2017 Restart pause, 5 second(s)
Wed Feb 08 11:38:34 2017 SIGTERM[hard,init_instance] received, process exiting
Wed Feb 08 11:38:34 2017 MANAGEMENT: >STATE:1486550314,EXITING,init_instance,,,,,
|
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
mysterox schrieb: auch mein OpenVPN läuft auf TCP.
Der Server nicht, zumindest nicht laut der Config, die du gepostet hast:
;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun Anbei der Log vom OpenVPN Client
Er sagt zwar, dass er eine TCP-Connection aufbauen kann, das glaube ich aber nicht. Direkt danach wird die Verbindung auch zurückgesetzt. Ich würde die Einstellungen bzgl. TCP/UDP prüfen.
|
|
mysterox
(Themenstarter)
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
Hi, habe gerade noch mal geschaut... Server
| # TCP or UDP server?
proto tcp
;proto udp
|
Client
| # Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp
|
Sollten also wirklich beide via TCP laufen.
|
|
mysterox
(Themenstarter)
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
Gerade festgestellt, wenn ich direkt den Port via v6 Prüfen lasse, ist dieser geschlossen.
Prüfe ich nicht via v6 sondern über meine v4 / Domain, ist der Port offen? Wobei ich auch diesen Unterschied nicht verstehe, denn wie gesagt auf der Domain/v4 Adresse läuft ein Portmapper der auf v6 umsetzt.
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
mysterox schrieb: Gerade festgestellt, wenn ich direkt den Port via v6 Prüfen lasse, ist dieser geschlossen.
Was sagt denn auf dem Server
netstat -tulpen | grep openvpn Prüfe ich nicht via v6 sondern über meine v4 / Domain, ist der Port offen?
Eine Portweiterleitung kannst du vermutlich auch einrichten, wenn der Port auf dem Ziel nicht offen ist. Das könnte das Problem sein.
Wobei ich auch diesen Unterschied nicht verstehe, denn wie gesagt auf der Domain/v4 Adresse läuft ein Portmapper der auf v6 umsetzt.
Die Frage ist, wo openvpn jetzt wirklich lauscht.
|
|
mysterox
(Themenstarter)
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
| netstat -tulpen | grep openvpn
|
liefert | tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 0 303681 25277/openvpn
|
Ein Portscanner lokal im Netzwerk behauptet per v4 offen v6 geschlossen. Jetzt wäre die Frage, wie bekomme ich den Port für v6 auf.
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
mysterox schrieb: Jetzt wäre die Frage, wie bekomme ich den Port für v6 auf.
Auf dem Server:
proto tcp6 Hinweis: OpenVPN kann entweder auf IPv4 oder auf IPv6 lauschen. Solltest du beides wollen, brauchst du entweder zwei Instanzen oder einen anderen Workaround.
|
|
mysterox
(Themenstarter)
Anmeldungsdatum:
28. November 2008
Beiträge: 15
|
Hi, V6 Portscanner sagt jetzt wäre der Port auch offen.
Ich habe jetzt sowohl client als auch server angepasst.
Leider bisher immer noch keinen erfolg... Server
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51 | # listen on? (optional)
;local a.b.c.d
port 1194
# TCP or UDP server?
;proto tcp
proto tcp6
;proto udp
;dev tap
;dev tun
dev tun-ipv6
;dev-node MyTap
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # This file should be kept secret
dh ./easy-rsa2/keys/dh2048.pem
server-ipv6 fe80::4f0d:6c9:35e5:6cc4/64 # Das IPv6 Subnetz
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
tls-auth ./easy-rsa2/keys/ta.key 0
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
verb 3
;mute 20
cipher AES-256-CBC
auth SHA512 #SHA128 SHA256 und SHA512 gehören zur SHA-2 Familie
remote-cert-tls client
|
Client
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32 | client
;dev tap
dev tun-ipv6
;dev-node MyTap
;proto tcp
proto tcp6
;proto udp
remote meine_v6_adresse 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20
cipher AES-256-CBC
auth SHA512 #SHA128 SHA256 und SHA512 gehören zur SHA-2 Familie
remote-cert-tls server
tls-auth ta.key 1
|
Log vom Client
Wed Feb 08 14:09:48 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Wed Feb 08 14:09:48 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Feb 08 14:09:48 2017 library versions: OpenSSL 1.0.2i 22 Sep 2016, LZO 2.09
Wed Feb 08 14:09:48 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Feb 08 14:09:48 2017 Need hold release from management interface, waiting...
Wed Feb 08 14:09:48 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Feb 08 14:09:48 2017 MANAGEMENT: CMD 'state on'
Wed Feb 08 14:09:48 2017 MANAGEMENT: CMD 'log all on'
Wed Feb 08 14:09:48 2017 MANAGEMENT: CMD 'hold off'
Wed Feb 08 14:09:48 2017 MANAGEMENT: CMD 'hold release'
Wed Feb 08 14:09:48 2017 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Feb 08 14:09:48 2017 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Feb 08 14:09:48 2017 TCP/UDP: Preserving recently used remote address: [AF_INET6]2a00:6020:15fd:d00:32e5:53f0:f725:dd5e:1194
Wed Feb 08 14:09:48 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Feb 08 14:09:48 2017 Attempting to establish TCP connection with [AF_INET6]2a00:6020:15fd:d00:32e5:53f0:f725:dd5e:1194 [nonblock]
Wed Feb 08 14:09:48 2017 MANAGEMENT: >STATE:1486559388,TCP_CONNECT,,,,,,
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Im Client musst du natürlich proto tcp drin lassen, denn er soll ja auf das IPv4-Gateway verbinden, oder hab ich das falsch verstanden?
|