Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?

viragomann

Hallo,

@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Ein netstat -rn bringt u.a
192.168.3.1 link#21 UHS lo0
192.168.3.2 link#21 UH ovpns1

und wie sieht der Rest der Routing-Tabelle aus?

Tobi

@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

und wie sieht der Rest der Routing-Tabelle aus?

Die Frage verstehe ich nicht ganz. Es werden alle meine Netze aufgelistet mit der passender Netzschnittstelle dazu. Und natürlich default Gateway was auf die Fritze zeigt.
(Wenn Du was anderes/ spezielles meintest, dann sage bitte etwas konkreter)

micneu

@tobi mir würde zum verständnis (und auch für andere user) ein grafischer netzwerkplan helfen.
leider fehlt mir zum verständnis zu den ip´s was das für ein netz ist.

Tobi

@micneu - "Achtung ist nicht arrogant gemeint!!!" - brauchst Du echt für alles ein Bild?
Oder anders was genau fehlt Dir hier?:

@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Klient(VPN Klient) ->I-Net -> Frizue(DSL)/ Powerweiterleitung -> pfSense(VPN Server)
Ergänzt ---> 192.168.3.118 192.168.3.10

Aus dem Wireshark sieht man - das Interface auf dem OpenVPn läuft ist 192.168.3.10, Source war als ich den Trace gemacht habe öffentliche IP Adresse. Da die Fritze Portweiterleitung macht ist die Adresse doch uninteressant.

Ich weiß - ich suche und frage nach Hilfe - mir kommt es irgendwie nur merkwürdig, wenn Du bei gefüllt jedem Beitrag nach grafischen Bild fragst (was ich nicht habe) und bei so "einfacher" Struktur es meiner Meinung nach nicht bringt und ich wenig Ambitionen habe erst nach einem Tool suchen womit ich das eben grafisch aufbereiten könnte.
Theoretisch könnte ich die Fritze auch auch aus der Zeichnung rausnehmen, weil selbst wenn ich da die Sense als s.h "Exposed Host" einstelle, ändert es nichts an dem Verhalten.

Wenn ich mit meinem Gedankengang total falsch liege - klär mich auf, dann suche ich womit ich Netzwerkzeichnung machen könnte.

mike69

Meine 2Cent.

Mit einer Grafik oder einem Screenshot ist es besser sich in andere Konfigurationen rein zu versetzen. Hier sind irre configs am Start, jeder baut sich sein eigenes Gerüst, so ein Bildchen hilft den Aussenstehenden ungemein.

Daher ist an so einem Screenshot bzw. Netzwerkplan nichts verwerfliches.

Gruß

Tobi

@mike69 said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Daher ist an so einem Screenshot nichts verwerfliches.

Natürlich nicht, aber Screenshot ist doch kein Netzwerkplan

mike69

Habe die Antwort korrigiert, habt ja ne Mail bekommen.

Ehrlich gesagt, aus dem Log werde ich privater Fuzzi auch nicht schlau. Eventuell schaut sich ein OpenVPN Crack das irgend wann mal an, oder die Frage ist im internationalen Part besser aufgehoben.

Auch meine 2Cent.

Oh, Bilder. :)

Danke.

viragomann

@tobi
Was soll die "192" in den "IPv4 Local Networks" bewirken?

Tobi

@viragomann - nichts. Ist ein Fehler bei Screenshot. Ich habe weitere Netze ausgeschnitten.. Wohl nicht ganz komplett.

sebden

An sich ist die Konfiguration ja übernommen, aber ich würde mal probieren in der pf / oVPN Protokoll=UDP v4 only zu setzen.

Hatte ich mal bei einem Kunde, dass ohne die Option mit IPv6 keine Verbindung aus seinem Netz zustande kam. Laut deinem Protokoll wird eben dies verwendet.

Ist der Klient eine Box oder ein PC mit Software oVPN? Wenn letzteres, welche Version kommt denn zum Einsatz? Womöglich ist beim Einrichten der neuen pf ein neueres oVPN zum Einsatz gekommen?

Tobi

@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Womöglich ist beim Einrichten der neuen pf ein neueres oVPN zum Einsatz gekommen?

Das verstehe ich nicht - wenn die alte und neue Box mit pfSense 2.5.2 bestückt sind, sind die Pakete die immer dabei sind auch gleich oder nicht?

@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Ist der Klient eine Box oder ein PC mit Software oVPN?

In diesem Fall war es mein Handy. Im Normallfall sind es 2-3 Windows Rechner mit OpenVPN Software. Auf dem Handy wird mir Version 0.7.29 angezeigt.

Das mit Protokoll Version kann ich trotzdem probieren was dann passiert - hat aber bis jetzt auch immer funktioniert - je nach dem von wo die Verbindung kam - mal mit IPv4 mal mit IPv6

sebden

@tobi Ja dann sind die Versionen gleich, hatte ich so nicht gelesen bisher.

Mit dem IPv4 ist wie gesagt nur eine Idee, da es schon mal genützt hatte bei einem Kunde.

viragomann

@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

nichts. Ist ein Fehler bei Screenshot. Ich habe weitere Netze ausgeschnitten.. Wohl nicht ganz komplett.

Ah so. Wieder so eine Sackgasse aufgrund deiner Geheimnistuerei um deine internen Netze wie schon bei den Routen. Wollte diesen Thread eigentlich eh schon aufgeben, weil es an Unterstützung mangelt, diese Sache ist mir aber ins Auge gefallen und war so nicht zu erkennen.

Kannst du eigentlich erklären, warum du deine internen Netzwerke verbirgst? Trotz einiger Erfahrung in diesem Bereich fällt mir kein vernünftiger Grund ein.

Tobi

@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Kannst du eigentlich erklären, warum du deine internen Netzwerke verbirgst? Trotz einiger Erfahrung in diesem Bereich fällt mir kein vernünftiger Grund ein.

Auch wenn es im allgemeinen heißt es wäre unhöflich - kannst Du mir erklären warum es interessant sein sollte?
Es ist doch so, dass ich nach 1:1 Umstellung nicht Verbindung mit dem Server aufbauen kann und nicht weil ich plötzlich nicht an irgendein internes Netz oder Dienst kommen.

@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

aufgrund deiner Geheimnistuerei

Du magst es so empfingen ich nicht. Ich sehe es eher als Vereinfachung der Darstellung. Bis jetzt habe ich noch kein einzigen Beitrag gesehen (vielleicht von der IPv4/ IPv6 abgesehen - auch wenn es wie ich vorher geschrieben hatte für Unwahrscheinlich als Grund halte, denn es ging vorher) der sich mit dem Problem und Fehlersuche befasst. Mag natürlich auch an mir liegen. Es gibt aber auch noch andere Möglichkeit.

sebden

Vielleicht noch ein Ansatzpunkt: Wenn die pf getauscht wurde, kann das evtl. die FritzBox ins Trudeln gebracht haben. Häufig beobachtet, wenn man den Klienten fürs Forewarding aus der Liste pickt, statt die IP von Hand einzugeben.

Daher vielleicht zunächst das Forewarding nochmal neu einrichten (zwischendrin unbedingt übernehmen) und, auch wenn es unnötig sein sollte, nochmal einen Blick darauf, ob auch eingehend auf WAN der oVPN Port geöffnet ist auf der pf.

Tobi

@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Daher vielleicht zunächst das Forewarding nochmal neu einrichten

Musste ich eh machen wie ich hier schrieb.
Ich musste die alte pf erst raswerfen, sonst ging es nicht nach draußen, weil die gleiche IP aber andere MAC Adresse.

ich werde später schauen mit der IPv4 und wenn das nichts bringt stelle ich auf TCP, vielleicht sehe ich dann wenigstens im tcpdump etwas mehr.

viragomann

@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:

Auch wenn es im allgemeinen heißt es wäre unhöflich - kannst Du mir erklären warum es interessant sein sollte?

Wenn ein Gerät einen Fehler beim Versuch eine Route hinzuzufügen meldet, ist die aktuelle Routingtabelle das nächste, das mich interessiert, weil ich Konflikte mit am Gerät konfigurierten Netzwerken für die wahrscheinlichste Ursache halte. Deshalb war es meine erste Frage hier.

Es ist doch so, dass ich nach 1:1 Umstellung nicht Verbindung mit dem Server aufbauen kann und nicht weil ich plötzlich nicht an irgendein internes Netz oder Dienst kommen.

Es mag gewiss unterschiedliche Herangehensweisen bei der Fehlersuche geben, die früher oder später zum Erfolg führen, doch denke ich, diese Einstellung wird dich nicht weiterbringen.

micneu

@tobi JA, und ich bin sogar der meinung das war mal gewünscht in jedem post. ich denke das hilft auch anderen (nicht nur mir). ich hatte es schon öfter das leute im netzwerkplan auf einmal einen aufbau hatten mit dem man nicht gerechnet hat, der plan hat zur lösung des problems geholfen und die postersteller haben sich nochmal gedanken gemacht. also bitte IMMER einen grafischen netzwerkplan anhängen.

https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann

Tobi

Danke für die zahlreiche Antworten.
Das Problem ist nicht mehr aktuell.

sebden

Das ist ja schon mal gut Was führte zur Lösung?