OpenVPN TLS Error bei weitergeleiteter IP-Adresse
-
Hallo,
Ich betreibe auf meiner lokalen pfSense einen OpenVPN Server, dieser funktioniert soweit auch einwandfrei.
Nun habe ich aber folgendes Problem, um das ganze einmal auf das nötigste runterzubrechen:
Ich habe einen weiteren Server an einem anderen Standort und habe dort eine Portweiterleitung eingerichtet, die meinen speziellen OpenVPN Port an meine lokale IP-Adresse weiterleitet, sodass ich im prinzip sowohl hinter meiner lokalen WAN IP meinen Server finde, als auch hinter der IP meines entfernten Servers.Die Verbindung direkt zu meiner lokalen IP-Adresse funktioniert völlig problemlos, die Verbindung über die Weiterleitung funktioniert jedoch nicht und ich erhalte folgenden Fehler:
TLS Error: incoming packet authentication failed from ...
Authenticate/Decrypt packet error: bad packet ID (may be a replay):Ich verwende zu Testzwecken ein und die selbe Datei, lediglich die IP-Adresse unterscheidet sich, daher schließe ich einen falschen TLS-Schlüssel aus.
Kann es sein, dass man einen OpenVPN Server einfach nicht umleiten kann oder fehlt mir noch eine zusätzliche Einstellung?
Ich verfüge zwar über einigermaßen gute Grundkenntnisse zu dem Thema m.M.n. aber das Problem sitzt ja trotzdem in der Regel vor dem Bildschirm.Ich bin für jeden Ratschlag dankbar.
-
Hallo!
@knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Ich habe einen weiteren Server an einem anderen Standort und habe dort eine Portweiterleitung eingerichtet, die meinen speziellen OpenVPN Port an meine lokale IP-Adresse weiterleitet, sodass ich im prinzip sowohl hinter meiner lokalen WAN IP meinen Server finde, als auch hinter der IP meines entfernten Servers.
Das führt zu asymmetrischen Routen und das mögen Stateful-Firewalls gar nicht.
Wenn du das so betreiben möchtest, müsstest du entweder die Zustandprüfung der Pakete abschalten (würde ich für OpenVPN nicht empfehlen) oder am Server ein Masqerading einrichten, so dass die Quell-IP in den weitergeleiteten Paketen in die IP des Servers umgesetzt wird. Letzteres hat zur Folge, dass sämtliche weitergeleiteten Pakete vermeintlich vom Server kommen würden.
-
Vielen Dank für die schnelle Antwort!
@viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Letzteres hat zur Folge, dass sämtliche weitergeleiteten Pakete vermeintlich vom Server kommen würden.
Heißt das (nur), dass dann im laufenden Betrieb alle Pakete über den entfernen Server laufen? Das würde ich jetzt erstmal als "nicht so schlimm" betrachten. Ich würde das gerne einmal probieren um zumindest einmal zu prüfen, ob es dann funktioniert.
müsstest du entweder die Zustandprüfung der Pakete abschalten (würde ich für OpenVPN nicht empfehlen)
Mal ganz doof gefragt: warum ist das nicht empfehlenswert?
Um vielleicht einmal den Hintergrund zu beleuchten, vielleicht gibt es ja eine bessere Lösung, die ich aktuell noch nicht sehe:
Der Server soll über eine zweite WAN Schnittstelle erreichbar sein, falls die erste ausfällt. Leider hat die zweite Internetverbindung keine feste IP-Adresse. Jetzt wäre es natürlich am einfachsten und sinnvollsten einfach einen DDNS Dienst zu nutzen, allerdings will mein Chef das nicht, um keine Drittanbieterabhängigkeiten zu haben.
Daher habe ich mir jetzt folgende Ansätze überlegt:-
einen P2P OpenVPN Tunnel zum entfernten Server aufbauen und den entsprechenden Port durch den Tunnel weiterleiten und den Server dann am OpenVPN Port hören zu lassen. Quasi einen Tunnel durch einen Tunnel leiten.
-
Irgendwie die dynamische WAN IP am entfernten Server mit einem Alias versehen und dorthin umleiten. (mein eigener DynDNS sozusagen)
-
Mein Chef davon überzeugen, einfach DynDNS zu nutzen und mich endlich von diesem leidigen Thema zu erlösen.
Gibt es eine Möglichkeit mit 2 pfSensen meinen eigenen DynDNS dienst zu betreiben? Im Internet konnte ich dazu nichts finden.
-
-
@knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
müsstest du entweder die Zustandprüfung der Pakete abschalten (würde ich für OpenVPN nicht empfehlen)
Mal ganz doof gefragt: warum ist das nicht empfehlenswert?
Weil dies die Sicherheitsmechanismen von OpenVPN untergraben könnte.
einen P2P OpenVPN Tunnel zum entfernten Server aufbauen und den entsprechenden Port durch den Tunnel weiterleiten und den Server dann am OpenVPN Port hören zu lassen. Quasi einen Tunnel durch einen Tunnel leiten.
Könnte funktionieren, verursacht aber aufgrund der Verschlüsselung jeder VPN-Ebene eine Menge Overhead.
Ich würde daher eher einen anderen Tunnel ohne Verschlüsselung wie GRE empfehlen, oder einen eignen externen VPN Server einrichten und die benötigten Verbindungen durch einen Tunnel weiterleiten.
Irgendwie die dynamische WAN IP am entfernten Server mit einem Alias versehen und dorthin umleiten. (mein eigener DynDNS sozusagen)
Das wäre ja auch wieder NAT mit den bereits besprochenen Nachteilen, oder verstehe ich das falsch?
Mein Chef davon überzeugen, einfach DynDNS zu nutzen und mich endlich von diesem leidigen Thema zu erlösen.
Habt ihr euer statisches DNS intern? Die meisten nutzen Dienstleister dafür, da sollte es doch gleichgültig sein, ob man einen Dienstleister für statisches oder dynamisches DNS nutzt.
-
@viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Ich würde daher eher einen anderen Tunnel ohne Verschlüsselung wie GRE empfehlen, oder einen eignen externen VPN Server einrichten und die benötigten Verbindungen durch einen Tunnel weiterleiten.
Das klingt für mich recht sinnvoll, da der getunnelte Tunnel ohnehin verschlüsselt ist und ansonsten nichts anderes durch den Tunnel muss. Allerdings muss ich auch zugeben, dass ich noch nie einen GRE Tunnel aufgebaut habe, ich versuche mich mal daran.
Ich habe bereits versucht, nach dem selben Schema den Port durch den Tunnel zu leiten, mit dem selben Endergebnis (TLS-Handshake Error), allerdings bin ich davon ausgegangen, dass das an der vorhandenen Verschlüsselung liegt.
Das wäre ja auch wieder NAT mit den bereits besprochenen Nachteilen, oder verstehe ich das falsch?
Ja das wäre die NAT Lösung, die ich eingangs versucht habe, aber den Tunnelport durch den Tunnel leiten ist doch im Endeffekt auch "nur" NAT oder nicht? nur dass ich statt der WAN IP die Tunnel IP anpeile?
Habt ihr euer statisches DNS intern? Die meisten nutzen Dienstleister dafür, da sollte es doch gleichgültig sein, ob man einen Dienstleister für statisches oder dynamisches DNS nutzt.
Ich bin mir gar nicht ganz sicher, ob ich korrekt auf diese Frage antworte, aber wir haben keinen eigenen DNS. Das läuft bisher alles über normale "Haushaltsrouter" die auch nur Google DNS oder einen anderen Anbieter abfragen.
Vielen Dank auf jeden Fall schonmal für die Hilfe bisher!
-
@knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Das klingt für mich recht sinnvoll, da der getunnelte Tunnel ohnehin verschlüsselt ist und ansonsten nichts anderes durch den Tunnel muss. Allerdings muss ich auch zugeben, dass ich noch nie einen GRE Tunnel aufgebaut habe, ich versuche mich mal daran.
Auf pfSense und sonst in den letzten 14 Jahren auch nicht gemacht.
Ich habe bereits versucht, nach dem selben Schema den Port durch den Tunnel zu leiten
OpenVPN?
Bei VPN Tunnel durch VPN Tunnel könnten gewisse Anpassungen wie MTU nötig sein, habe aber ich keine Erfahrung.Ja das wäre die NAT Lösung, die ich eingangs versucht habe, aber den Tunnelport durch den Tunnel leiten ist doch im Endeffekt auch "nur" NAT oder nicht?
Ja, aber intern, hinter dem NAT-Router. Damit fällt das asymmetrische Routing-Problem weg.
Ich bin mir gar nicht ganz sicher, ob ich korrekt auf diese Frage antworte, aber wir haben keinen eigenen DNS. Das läuft bisher alles über normale "Haushaltsrouter" die auch nur Google DNS oder einen anderen Anbieter abfragen.
Ich hatte ein öffentliches Namensservice gemeit. Bin davon ausgegangen, dass ihr eigene Domains habt, ist wohl nicht so.
Ich würde das Problem einfach mit DynDNS lösen oder alternativ den VPN-Access-Server gleich auf dem Server zu betreiben und die eingehenden Client-Verbindungen durch einen zusätzlichen Tunnel (intern) ans Office routen.
-
@viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
OpenVPN?
Bei VPN Tunnel durch VPN Tunnel könnten gewisse Anpassungen wie MTU nötig sein, habe aber ich keine Erfahrung.Ja, Zwischen meiner lokalen pfSense und dem entfernten Server besteht wie gesagt ein OpenVPN P2P Tunnel (der funktioniert grundsätzlich auch vollständig) zusätzlich eine NAT Regel, die alle IPv4 UDP Pakete mit dem Zielport meines lokalen OpenVPN Servers (unterscheidet sich natürlich von dem Port des P2P Tunnels) an die Tunnel IP meiner lokalen pfSense leitet.
Nun versuche ich testweise mit meinem Smartphone und OpenVPN connect mit meiner lokalen pfSense zu verbinden, hierzu nutze ich 2 identische .ovpn Dateien, die sich ausschliesslich in der Ziel IP unterscheiden.
nutze ich direkt meine hiesige WAN IP klappt es, nutze ich die IP meines entfernten Servers bekomme ich die Meldungen aus meinem ersten Post.
Von der MTU Anpassung habe ich auch schon gelesen, vielleicht probiere ich das noch einmal aus.
Wenn du das so betreiben möchtest, müsstest du entweder die Zustandprüfung der Pakete abschalten (würde ich für OpenVPN nicht empfehlen)
Ich würde das gerne einmal testen, nur für mich um zu wissen, ob es dann geht. Kannst du mir sagen, wie das geht?
Ich würde das Problem einfach mit DynDNS lösen
ICH AUCH! und so langsam bin ich dieses ewige rumgebastel auch echt leid, zumal unsere sekundäre Internetverbindung über Starlink läuft, was m.M.n ohnehin eine deutlich größere Ausfallwahrscheinlichkeit hat als jeder DynDNS Dienst. Außerdem stehen feste IPs schon in der Roadmap von Starlink, d.h. es ist eh nur eine Frage der Zeit, bis das verfügbar ist...
Aber irgendwie will mein eigener Ehrgeiz auch, dass es so funktioniert.Edit Wenn ich mich recht entsinne, bringt mir bei Starlink selbst DynDNS nichts, wegen dem CGNAT, d.h. mir bleibt jetzt tatsächlich nur noch der Weg durch den VPN Tunnel, wenn ich das richtig sehe...
-
@knausepeter
Welche pfSense Version? -
Welche pfSense Version?
Die aktuelle 2.5.3 -
@knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Welche pfSense Version?
Die aktuelle 2.5.3Die ist aber noch nicht stable, oder?
Edit Wenn ich mich recht entsinne, bringt mir bei Starlink selbst DynDNS nichts, wegen dem CGNAT, d.h. mir bleibt jetzt tatsächlich nur noch der Weg durch den VPN Tunnel, wenn ich das richtig sehe...
Wenn das ein Problem wäre, könntest du dich ja auch nicht vom Internet auf deine WAN IP verbinden. Das geht mit CDN nicht, außer der Provider leitet es weiter.
?Ja, Zwischen meiner lokalen pfSense und dem entfernten Server besteht wie gesagt ein OpenVPN P2P Tunnel (der funktioniert grundsätzlich auch vollständig) zusätzlich eine NAT Regel, die alle IPv4 UDP Pakete mit dem Zielport meines lokalen OpenVPN Servers (unterscheidet sich natürlich von dem Port des P2P Tunnels) an die Tunnel IP meiner lokalen pfSense leitet.
Die weitergeleiteten Pakete müssen auch wieder richtig zum Server zurück geroutet werden.
Damit das funktioniert, muss der lokalen OpenVPN Instanz ein Interface zugewiesen werden. Folglich bekommst du in den Regeln einen eigenen Tab für dieses Interface. Auf diesem muss eine Regel definiert sein, die die reinkommenden Pakete zulässt.
Am OpenVPN Tab darf keine Regel auf diese Pakete zutreffen, ebenso nicht eine Floating Regel! -
@viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Die ist aber noch nicht stable, oder?
Das war natürlich völliger quatsch, da war ich schon eine Nummer zu weit, ich habe die 2.5.2.
Damit das funktioniert, muss der lokalen OpenVPN Instanz ein Interface zugewiesen werden.
das ist bereits geschehen.
Folglich bekommst du in den Regeln einen eigenen Tab für dieses Interface.
habe ich
Auf diesem muss eine Regel definiert sein, die die reinkommenden Pakete zulässt.
gibt es.
Am OpenVPN Tab darf keine Regel auf diese Pakete zutreffen, ebenso nicht eine Floating Regel!
AHA! hier gibt es noch Regeln, das werde ich morgen nochmal prüfen, jetzt bin ich schon Zuhause. Wenn ich jetzt wieder anfange, beiße ich mich wieder bis in die Nacht fest.
Wenn das ein Problem wäre, könntest du dich ja auch nicht vom Internet auf deine WAN IP verbinden. Das geht mit CDN nicht, außer der Provider leitet es weiter.?
Da verliere ich leider den Anschluss, ich kenne es nur so, dass man eine eigene IPv4 hat und darüber Zugriff auf alle Ports, bis auf jetzt die neuen Anschlüsse, die v6 haben
-
@knausepeter
Private IP-Adressen: https://de.wikipedia.org/wiki/Private_IP-AdresseWenn deine WAN-IP nicht in einen dieser Bereich fällt, ist es eine öffentliche und sollte damit auch aus dem Internet erreichbar sein.
-
@viragomann said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
Private IP-Adressen: https://de.wikipedia.org/wiki/Private_IP-Adresse
Wenn deine WAN-IP nicht in einen dieser Bereich fällt, ist es eine öffentliche und sollte damit auch aus dem Internet erreichbar sein.Ja klar, normalerweise schon aber so wie ich das jetzt gelesen habe, teilen sich bei Starlink mehrere Teilnehmer eine IPv4 Adresse, weshalb es angeblich auch nicht möglich ist, selbst einen Server zu betreiben. Das entspricht aber nur dem, wie ich es jetzt verstanden habe und muss nicht zwangsläufig der Wahrheit entsprechen, aber selbst der Versuch den Server auf dem Starlink Interface laufen zu lassen und direkt auf diese IP-Adresse zu verbinden hat nicht funktioniert. Hierbei kamen allerdings gar keine Pakete am Server an.
-
@knausepeter
Die IP kannst du ja am WAN-Interface ablesen. Die privaten Adressbereiche bzw. der CGN-Bereich sind im Wikipedia Artikel klar dargestellt, da braucht es keine Spekulationen.Eine öffentliche IP zu "teilen" erscheint mir als relativ sinnfrei. Das wäre dann wohl eher eine private und mit "Teilen" könnte das S-NAT gemeint sein, das der ISP zwangsläufig einrichten muss, wenn er private IPs zuweist, damit Pakete der Clients eine öffentliche Quell-IP bekommen, wenn sie ins Internet gehen. Ansonsten wäre keine Kommunikation mit dem Internet möglich. Diese IP bekommen dann mehrere seiner Anschlüsse.
Das ermöglicht von Haus aus aber nur Upstreamtraffic.Für den Betrieb eines Servers gilt allgemein:
- Öffentliche IP: Funktioniert normalerweise, der ISP könnte allerdings auch Zugriffe blockieren, eine "Firewall" einsetzen oder ein Security-Bla-Bla.
- Private IP: Normalerweise nicht möglich. Der ISP könnte aber auf Anfrage bestimmte Ports an deine IP weiterleiten (NAT).
-
@knausepeter said in OpenVPN TLS Error bei weitergeleiteter IP-Adresse:
AHA! hier gibt es noch Regeln, das werde ich morgen nochmal prüfen, jetzt bin ich schon Zuhause. Wenn ich jetzt wieder anfange, beiße ich mich wieder bis in die Nacht fest.
Ich drehe durch, das ist es gewesen!
Habe alle Regeln vom OpenVPN und floating Tab deaktiviert, auf den jeweiligen OpenVPN Interface Tabs waren die Regeln zwar auch definiert aber scheinen vom allgemein Tab beeinflusst worden zu sein.
Vielen Dank für den Hinweis! -
@knausepeter Der OpenVPN Tab gilt als Gruppe, zugewiesene Interfaces sind wie andere Interfaces behandelt. Da die Reihenfolge ist: Floating > Gruppen > Interfaces greift die OpenVPN Gruppe (bzw. Floatings) vor den Regeln des Interfaces. Daher aufpassen, wo man die Regeln erstellt und ob die sich ggf. beißen könnten :)