Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?
-
Hallo,
wie im anderen Thread beschrieben bin ich jetzt von APU2D4 auf IPU882 umgestiegen.
Die Konfig ist 1:1 übernommen. Aufteilung der Netzwerkkarten wollte ich ab nächste Woche machen.
Heute brauchte ich VPN Zugang und musste feststellen, dass es nicht funktioniert.Wundern tun mich 2 Sachen.
- In /var/log/openvpn.log ist u.a folgendes zu finden:
Oct 24 16:41:48 localhost openvpn[40585]: TUN/TAP device ovpns1 exists previously, keep at program end Oct 24 16:41:48 localhost openvpn[40585]: TUN/TAP device /dev/tun1 opened Oct 24 16:41:48 localhost openvpn[40585]: ioctl(TUNSIFMODE): Device busy (errno=16) Oct 24 16:41:48 localhost openvpn[40585]: /sbin/ifconfig ovpns1 192.168.3.1 192.168.3.2 mtu 1500 netmask 255.255.255.0 up Oct 24 16:41:48 localhost openvpn[40585]: /sbin/route add -net 192.168.3.0 192.168.3.2 255.255.255.0 Oct 24 16:41:48 localhost openvpn[40585]: ERROR: FreeBSD route add command failed: external program exited with error status: 1 Oct 24 16:41:48 localhost openvpn[40585]: /sbin/ifconfig ovpns1 inet6 2003:f9:a71c:1700::1/64 mtu 1500 up Oct 24 16:41:49 localhost openvpn[40585]: /sbin/ifconfig ovpns1 inet6 -ifdisabled Oct 24 16:41:49 localhost openvpn[40585]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1623 192.168.3.1 255.255.255.0 init Oct 24 16:41:49 localhost openvpn[40585]: Could not determine IPv4/IPv6 protocol. Using AF_INET6 Oct 24 16:41:49 localhost openvpn[40585]: Socket Buffers: R=[65228->65228] S=[65228->65228] Oct 24 16:41:49 localhost openvpn[40585]: setsockopt(IPV6_V6ONLY=0) Oct 24 16:41:49 localhost openvpn[40585]: Listening for incoming TCP connection on [AF_INET6][undef]:1194 Oct 24 16:41:49 localhost openvpn[40585]: TCPv6_SERVER link local (bound): [AF_INET6][undef]:1194 Oct 24 16:41:49 localhost openvpn[40585]: TCPv6_SERVER link remote: [AF_UNSPEC] Oct 24 16:41:49 localhost openvpn[40585]: MULTI: multi_init called, r=256 v=256 Oct 24 16:41:49 localhost openvpn[40585]: IFCONFIG POOL IPv4: base=192.168.3.2 size=252 Oct 24 16:41:49 localhost openvpn[40585]: IFCONFIG POOL IPv6: base=2003:f9:a71c:1700::1000 size=65536 netbits=64Ich hätte jetzt gesagt, dass mit dem ERROR wegen route add kann nicht richtig sein oder?
Ein netstat -rn bringt u.a192.168.3.1 link#21 UHS lo0 192.168.3.2 link#21 UH ovpns1Ein tcpdump auf der WAN Schnittstelle bringt auch nicht so viel, denn es kommen Pakete an vom Klient, diese werden aber nicht beantwortet
Vom Aufbau ist es so:
Klient(VPN Klient) ->I-Net -> Frizue(DSL)/ Powerweiterleitung -> pfSense(VPN Server)
-
Hallo,
@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Ein netstat -rn bringt u.a
192.168.3.1 link#21 UHS lo0
192.168.3.2 link#21 UH ovpns1und wie sieht der Rest der Routing-Tabelle aus?
-
@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
und wie sieht der Rest der Routing-Tabelle aus?
Die Frage verstehe ich nicht ganz. Es werden alle meine Netze aufgelistet mit der passender Netzschnittstelle dazu. Und natürlich default Gateway was auf die Fritze zeigt.
(Wenn Du was anderes/ spezielles meintest, dann sage bitte etwas konkreter) -
@tobi mir würde zum verständnis (und auch für andere user) ein grafischer netzwerkplan helfen.
leider fehlt mir zum verständnis zu den ip´s was das für ein netz ist. -
@micneu - "Achtung ist nicht arrogant gemeint!!!" - brauchst Du echt für alles ein Bild?
Oder anders was genau fehlt Dir hier?:@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Klient(VPN Klient) ->I-Net -> Frizue(DSL)/ Powerweiterleitung -> pfSense(VPN Server)
Ergänzt ---> 192.168.3.118 192.168.3.10Aus dem Wireshark sieht man - das Interface auf dem OpenVPn läuft ist 192.168.3.10, Source war als ich den Trace gemacht habe öffentliche IP Adresse. Da die Fritze Portweiterleitung macht ist die Adresse doch uninteressant.
Ich weiß - ich suche und frage nach Hilfe - mir kommt es irgendwie nur merkwürdig, wenn Du bei gefüllt jedem Beitrag nach grafischen Bild fragst (was ich nicht habe) und bei so "einfacher" Struktur es meiner Meinung nach nicht bringt und ich wenig Ambitionen habe erst nach einem Tool suchen womit ich das eben grafisch aufbereiten könnte.
Theoretisch könnte ich die Fritze auch auch aus der Zeichnung rausnehmen, weil selbst wenn ich da die Sense als s.h "Exposed Host" einstelle, ändert es nichts an dem Verhalten.Wenn ich mit meinem Gedankengang total falsch liege - klär mich auf, dann suche ich womit ich Netzwerkzeichnung machen könnte.
-
Meine 2Cent.
Mit einer Grafik oder einem Screenshot ist es besser sich in andere Konfigurationen rein zu versetzen. Hier sind irre configs am Start, jeder baut sich sein eigenes Gerüst, so ein Bildchen hilft den Aussenstehenden ungemein.
Daher ist an so einem Screenshot bzw. Netzwerkplan nichts verwerfliches.
Gruß
-
@mike69 said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Daher ist an so einem Screenshot nichts verwerfliches.
Natürlich nicht, aber Screenshot ist doch kein Netzwerkplan
-
Habe die Antwort korrigiert, habt ja ne Mail bekommen.
Ehrlich gesagt, aus dem Log werde ich privater Fuzzi auch nicht schlau. Eventuell schaut sich ein OpenVPN Crack das irgend wann mal an, oder die Frage ist im internationalen Part besser aufgehoben.
Auch meine 2Cent.
Oh, Bilder. :)
Danke.
-
@tobi
Was soll die "192" in den "IPv4 Local Networks" bewirken? -
@viragomann - nichts. Ist ein Fehler bei Screenshot. Ich habe weitere Netze ausgeschnitten.. Wohl nicht ganz komplett.
-
An sich ist die Konfiguration ja übernommen, aber ich würde mal probieren in der pf / oVPN Protokoll=UDP v4 only zu setzen.
Hatte ich mal bei einem Kunde, dass ohne die Option mit IPv6 keine Verbindung aus seinem Netz zustande kam. Laut deinem Protokoll wird eben dies verwendet.
Ist der Klient eine Box oder ein PC mit Software oVPN? Wenn letzteres, welche Version kommt denn zum Einsatz? Womöglich ist beim Einrichten der neuen pf ein neueres oVPN zum Einsatz gekommen?
-
@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Womöglich ist beim Einrichten der neuen pf ein neueres oVPN zum Einsatz gekommen?
Das verstehe ich nicht - wenn die alte und neue Box mit pfSense 2.5.2 bestückt sind, sind die Pakete die immer dabei sind auch gleich oder nicht?
@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Ist der Klient eine Box oder ein PC mit Software oVPN?
In diesem Fall war es mein Handy. Im Normallfall sind es 2-3 Windows Rechner mit OpenVPN Software. Auf dem Handy wird mir Version 0.7.29 angezeigt.
Das mit Protokoll Version kann ich trotzdem probieren was dann passiert - hat aber bis jetzt auch immer funktioniert - je nach dem von wo die Verbindung kam - mal mit IPv4 mal mit IPv6
-
@tobi Ja dann sind die Versionen gleich, hatte ich so nicht gelesen bisher.
Mit dem IPv4 ist wie gesagt nur eine Idee, da es schon mal genützt hatte bei einem Kunde.
-
@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
nichts. Ist ein Fehler bei Screenshot. Ich habe weitere Netze ausgeschnitten.. Wohl nicht ganz komplett.
Ah so. Wieder so eine Sackgasse aufgrund deiner Geheimnistuerei um deine internen Netze wie schon bei den Routen. Wollte diesen Thread eigentlich eh schon aufgeben, weil es an Unterstützung mangelt, diese Sache ist mir aber ins Auge gefallen und war so nicht zu erkennen.
Kannst du eigentlich erklären, warum du deine internen Netzwerke verbirgst? Trotz einiger Erfahrung in diesem Bereich fällt mir kein vernünftiger Grund ein.
-
@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Kannst du eigentlich erklären, warum du deine internen Netzwerke verbirgst? Trotz einiger Erfahrung in diesem Bereich fällt mir kein vernünftiger Grund ein.
Auch wenn es im allgemeinen heißt es wäre unhöflich - kannst Du mir erklären warum es interessant sein sollte?
Es ist doch so, dass ich nach 1:1 Umstellung nicht Verbindung mit dem Server aufbauen kann und nicht weil ich plötzlich nicht an irgendein internes Netz oder Dienst kommen.@viragomann said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
aufgrund deiner Geheimnistuerei
Du magst es so empfingen ich nicht. Ich sehe es eher als Vereinfachung der Darstellung. Bis jetzt habe ich noch kein einzigen Beitrag gesehen (vielleicht von der IPv4/ IPv6 abgesehen - auch wenn es wie ich vorher geschrieben hatte für Unwahrscheinlich als Grund halte, denn es ging vorher) der sich mit dem Problem und Fehlersuche befasst. Mag natürlich auch an mir liegen. Es gibt aber auch noch andere Möglichkeit.
-
Vielleicht noch ein Ansatzpunkt: Wenn die pf getauscht wurde, kann das evtl. die FritzBox ins Trudeln gebracht haben. Häufig beobachtet, wenn man den Klienten fürs Forewarding aus der Liste pickt, statt die IP von Hand einzugeben.
Daher vielleicht zunächst das Forewarding nochmal neu einrichten (zwischendrin unbedingt übernehmen) und, auch wenn es unnötig sein sollte, nochmal einen Blick darauf, ob auch eingehend auf WAN der oVPN Port geöffnet ist auf der pf.
-
@sebden said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Daher vielleicht zunächst das Forewarding nochmal neu einrichten
Musste ich eh machen wie ich hier schrieb.
Ich musste die alte pf erst raswerfen, sonst ging es nicht nach draußen, weil die gleiche IP aber andere MAC Adresse.ich werde später schauen mit der IPv4 und wenn das nichts bringt stelle ich auf TCP, vielleicht sehe ich dann wenigstens im tcpdump etwas mehr.
-
@tobi said in Neue Hardware - OpenVPN geht nicht. Wo/ wie mit der Fehlersuche anfangen?:
Auch wenn es im allgemeinen heißt es wäre unhöflich - kannst Du mir erklären warum es interessant sein sollte?
Wenn ein Gerät einen Fehler beim Versuch eine Route hinzuzufügen meldet, ist die aktuelle Routingtabelle das nächste, das mich interessiert, weil ich Konflikte mit am Gerät konfigurierten Netzwerken für die wahrscheinlichste Ursache halte. Deshalb war es meine erste Frage hier.
Es ist doch so, dass ich nach 1:1 Umstellung nicht Verbindung mit dem Server aufbauen kann und nicht weil ich plötzlich nicht an irgendein internes Netz oder Dienst kommen.
Es mag gewiss unterschiedliche Herangehensweisen bei der Fehlersuche geben, die früher oder später zum Erfolg führen, doch denke ich, diese Einstellung wird dich nicht weiterbringen.
-
@tobi JA, und ich bin sogar der meinung das war mal gewünscht in jedem post. ich denke das hilft auch anderen (nicht nur mir). ich hatte es schon öfter das leute im netzwerkplan auf einmal einen aufbau hatten mit dem man nicht gerechnet hat, der plan hat zur lösung des problems geholfen und die postersteller haben sich nochmal gedanken gemacht. also bitte IMMER einen grafischen netzwerkplan anhängen.
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann
-
Danke für die zahlreiche Antworten.
Das Problem ist nicht mehr aktuell.
