[Gelöst]Freetz OpenVPN DS-Lite ipv6

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,

habe seit Jahren OpenVPN auf freetz mit ipv4 am laufen. Jetzt bin ich zur Deutschen Glasfaser gewechselt. Hier gibt es nur eine öffentliche ipv6 Adresse. Der Zugriff per OpenVPN app via Vodafone Mobilfunk klappt leider nicht. Fehler: "TCP recv EOF".

1613938288608.png

Ich habe mir bereits einen Portmapper bei feste-ip.net gebucht und in der ag7.cfg den Port 1194 umgeleitet:
1613937783914.png

Der Port ist via ipv6 (myfritz) und ipv4 (feste-ip) extern erreichbar.

Im OpenVPN Server habe ich gegenüber der alten ipv4 config auf TCP geändert (feste-ip.net mappt nur TCP) und IPV6 angekreuzt. Im Client habe ich die Server-Adresse, den Port(feste-ip.net) und das Protokoll auf TCP geändert.

1613937873550.png

Beim manuellen Start kommt diese Ausgabe (Auffälligkeiten BOLD)
[email protected]:/var/tmp/flash/openvpn# openvpn --config /mod/etc/openvpn.conf
Sun Feb 21 20:55:10 2021 OpenVPN 2.4.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jul 19 2019
Sun Feb 21 20:55:10 2021 library versions: OpenSSL 1.0.2s 28 May 2019, LZO 2.10
Sun Feb 21 20:55:10 2021 WARNING: --keepalive option is missing from server config
Sun Feb 21 20:55:10 2021 Diffie-Hellman initialized with 2048 bit key
Sun Feb 21 20:55:10 2021 TUN/TAP device tun0 opened
Sun Feb 21 20:55:10 2021 TUN/TAP TX queue length set to 100
Sun Feb 21 20:55:10 2021 /sbin/ifconfig tun0 192.168.210.1 pointopoint 192.168.210.2 mtu 1500
Sun Feb 21 20:55:10 2021 /sbin/route add -net 192.168.210.0 netmask 255.255.255.0 gw 192.168.210.2
Sun Feb 21 20:55:10 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Sun Feb 21 20:55:10 2021 Socket Buffers: R=[87380->87380] S=[16384->16384]
Sun Feb 21 20:55:10 2021 setsockopt(IPV6_V6ONLY=0)
Sun Feb 21 20:55:10 2021 Listening for incoming TCP connection on [AF_INET6][undef]:1194
Sun Feb 21 20:55:10 2021 TCPv6_SERVER link local (bound): [AF_INET6][undef]:1194
Sun Feb 21 20:55:10 2021 TCPv6_SERVER link remote: [AF_UNSPEC]
Sun Feb 21 20:55:10 2021 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Sun Feb 21 20:55:10 2021 GID set to openvpn
Sun Feb 21 20:55:10 2021 UID set to openvpn
Sun Feb 21 20:55:10 2021 MULTI: multi_init called, r=256 v=256
Sun Feb 21 20:55:10 2021 IFCONFIG POOL: base=192.168.210.8 size=4, ipv6=0
Sun Feb 21 20:55:10 2021 MULTI: TCP INIT maxclients=1020 maxevents=1024
Sun Feb 21 20:55:10 2021 Initialization Sequence Completed

Kann mir jemand helfen - Ggf. mit einer funktionierenden Beispiel-Config? (ipv6 ist mir leider noch ziemlich Fremd)
 

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Ich denke mir würde es schon helfen wenn jemand eine /mod/etc/openvpn.conf posten könnte wo der VPN Aufbau via ipv6 funktioniert. Nutzt das jemand?
 

prisrak1

Mitglied
Mitglied seit
14 Mai 2017
Beiträge
412
Punkte für Reaktionen
36
Punkte
28
evtl. hier: h**ps://janl1.de/fritzbox-heimnetzzugriff-durch-wireguard/
 

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Danke, habe ich mir angesehen. Der Groschen ist noch nicht gefallen.

Hier meine aktuelle openvpn.conf:
# OpenVPN 2.4.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jul 19 2019
# library versions: OpenSSL 1.0.2s 28 May 2019, LZO 2.10
# Config date: Sun Feb 21 20:45:56 CET 2021
proto tcp-server
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 192.168.210.1 192.168.210.2
push "route 192.168.0.0 255.255.0.0"
mode server
ifconfig-pool 192.168.210.10 192.168.210.20
push "route 192.168.210.1"
route 192.168.210.0 255.255.255.0
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Das habe ich im Internet gefunden:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
server-ipv6 2a03:4000:6:11cd:bbbb::/112
ifconfig-pool-persist ipp.txt
push "route-ipv6 2000::/3 2a03:4000:6:11cd:bbbb::1 1"
script-security 2
learn-address "/usr/bin/sudo -u root /etc/openvpn/scripts/ndp-proxy-setup.sh"
push "redirect-gateway def1"
push "redirect-gateway ipv6"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
auth SHA512
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 6
user openvpn
group openvpn

Was mir fehlt ist also die Festlegung der Server IP und eine Route.

In der freetz openvpn.conf gibt es aber keine "Server" Option. Stattdessen wird per "ifconfig" und "ifconfig-pool" der VPN IP-Bereich gesetzt (?).
Im Gui sieht das so aus:
1614447646206.png



Ich kann ja über die die Option Zusatzparameter bis zu 3 Parameter die nicht in der Gui sind in die openvpn.conf setzen
1614447312849.png

Meine lokale ipv6-Adresse ist: fd00::a96:d7ff:fe6c:612d/64
Wie kann ich jetzt den ipv6-Adressbereich und die Route setzen?
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,675
Punkte für Reaktionen
17
Punkte
38
Was genau hast du denn jetzt vor? Willst du auf IPv6 umstellen oder nicht? Das geht ein bisschen durcheinander. Einmal schreibst du was von IPv6 und dann wieder von einen TCP Tunnel, den du für feste-ip.net brauchst. Letzteres ist aber eine IPv4 Verbindung. Übrigens: DG nutzt kein DS-Lite, sondern echten DS.

Vielleicht solltest du dir erst mal darüber klar werden, was du willst. Über IPv6 kannst du auch UDP verwenden, das klappt hervorragend aus dem Vodafone Mobilfunk-Netz heraus.

Die Box hat sicher eine korrekte IPv6 Adresse (siehe "undef" im Log)? Funktioniert die Portweiterleitung wirklich? Der Dienst "Telefonie" macht mich stutzig. Hast du die ar7.cfg an der richtigen Stelle modifiziert? Da gibt es ja unterschiedliche Orte für Portfreigaben.

Ein paar Logs vom Client wären auch nicht schlecht. Im Moment sieht man im Server Log gar nichts, auch keinen ankommenden Verbindungsversuch.

Nur am Rande, aber ich halte es für katastrophal, wenn das OpenVPN Netz Teil des gerouteten Netzes ist. Generell ist da Chaos bei den ifconfig und push-route Optionen in der Config. Ob das aber mit dem Problem zu tun hat, kann ich noch nicht sagen.
 
Zuletzt bearbeitet:

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Danke für die Infos.
Was ich will: Vom Smartphone (Vodafone)
- per e2remote App Zugriff auf die Dreambox
- per RDP auf den Windows-PC (schalte ich per wol ein)

Du schreibst, dass DG ein volles DS hat. Das kann ich so nicht bestätigen. Das gib es nur mit Businesstarif.

Zukunftssicher mit IPv6
Die alten IP-Adressen sind bald aufgebraucht. Ohne IP-Adresse läuft nichts. Jedes Gerät benötigt zum Senden und Empfangen von Daten einen eindeutigen „digitalen Personalausweis für das Internet“, eine sogenannte IP-Adresse. Der Restvorrat an noch verfügbaren Adressen gemäß dem alten Standard IPv4 ist nahezu erschöpft. Wir richten schon jetzt je nach Verfügbarkeit einen Internetzugang mit IPv6-Adressen ein!

FAQ - Statische IP-Adresse
Jeder Geschäftskunde mit einem gebuchten Business-Tarif bekommt mindestens eine öffentliche IPv4 Adresse. Diese wird ganz einfach und unkompliziert über das dynamische Protokoll DHCP (Dynamic Host Configuration Protocol) vergeben. Somit benötigen Sie keinerlei weitere Einstellungen und Ihr Router, Firewall o.ä. erhält immer dieselbe öffentliche IP-Adresse. Dies ist notwendig um bestimmte Geräte, wie z.B. Server für das Internet erreichbar zu machen.

Mit ipv4 gibt es keine Erreichbarkeit der Fritzbox aus dem Internet. ipv6 Zugriff funktioniert prima. Ein Service, auf den ich hier nicht näher eingehen möchte, funktioniert via ipv6 (myfritz DDNS) und ipv4 via Portmapper (feste-ip.net). Das Portforwarding läuft hier über ar7.cfg (voip forwarding).

Das vodafone jetzt auch ipv6 unterstützt, wusste ich nicht. wieistmeineip.de hat das gerade bestätigt. Jetzt vergessen wir das mit feste-ip und TCP natürlich sofort.

Welche Einstellung ist katastrophal? Wie ist es korrekt?

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

So jetzt habe ich es getestet. Leider ohne Erfolg.

Server:
# OpenVPN 2.4.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jul 19 2019
# library versions: OpenSSL 1.0.2s 28 May 2019, LZO 2.10
# Config date: Sat Feb 27 20:59:01 CET 2021
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 192.168.210.1 192.168.210.2
push "route 192.168.0.0 255.255.0.0"
mode server
ifconfig-pool 192.168.210.10 192.168.210.20
push "route 192.168.210.1"
route 192.168.210.0 255.255.255.0
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Client:
##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp6

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote [zensiert].myfritz.net 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert iphone.crt
key iphone.key

# Verify server certificate by checking that the
# certicate has the correct key usage set.
# This is an important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the keyUsage set to
# digitalSignature, keyEncipherment
# and the extendedKeyUsage to
# serverAuth
# EasyRSA can do this for you.
remote-cert-tls server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth static.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
# Note that v2.4 client/server will automatically
# negotiate AES-256-GCM in TLS mode.
# See also the ncp-cipher option in the manpage
cipher AES-256-CBC

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
#comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20
2021-02-27 21:09:56 1
2021-02-27 21:09:56 ----- OpenVPN Start ----- OpenVPN core 3.git::58b92569 ios arm64 64-bit
2021-02-27 21:09:56 OpenVPN core 3.git::58b92569 ios arm64 64-bit
2021-02-27 21:09:56 Frame=512/2048/512 mssfix-ctrl=1250
2021-02-27 21:09:56 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
15 [verb] [3]
2021-02-27 21:09:56 EVENT: RESOLVE
2021-02-27 21:09:56 Contacting [100.75.xxx.xxx]:1194/UDP via UDP
2021-02-27 21:09:56 EVENT: WAIT
2021-02-27 21:09:56 Connecting to [4ofxxxxxxxxxxxxxxx.myfritz.net]:1194 (100.75.xxx.xxx) via UDPv4
2021-02-27 21:10:06 Server poll timeout, trying next remote entry…
2021-02-27 21:10:06 EVENT: RECONNECTING
2021-02-27 21:10:06 EVENT: RESOLVE
2021-02-27 21:10:06 Contacting [2a00:6020:xxxxxxxxxxxxxxxxxxxxxxxx]:1194/UDP via UDP
2021-02-27 21:10:06 EVENT: WAIT
2021-02-27 21:10:06 Connecting to [4ofxxxxxxxxxxxxxxxx.myfritz.net]:1194 (2a00:6020:xxxxxxxxxxxxxxxxxxxxx) via UDPv6
2021-02-27 21:10:06 EVENT: CONNECTING
2021-02-27 21:10:26 EVENT: CONNECTION_TIMEOUT [ERR]
2021-02-27 21:10:26 Raw stats on disconnect:
BYTES_IN : 56
BYTES_OUT : 1218
PACKETS_IN : 4
PACKETS_OUT : 29
BUFFER_ERROR : 4
CONNECTION_TIMEOUT : 1
N_RECONNECT : 1
2021-02-27 21:10:26 Performance stats on disconnect:
CPU usage (microseconds): 66056
Network bytes per CPU second: 19286
Tunnel bytes per CPU second: 0
2021-02-27 21:10:26 EVENT: DISCONNECTED
 
Zuletzt bearbeitet von einem Moderator:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,675
Punkte für Reaktionen
17
Punkte
38
Du schreibst, dass DG ein volles DS hat. Das kann ich so nicht bestätigen.
Ist aber so. DG nutzt zwar CGNAT für IPv4, deshalb die fehlende Erreichbarkeit von außen. Du hast aber eine native IPv4 und IPv6 Verbindung, kein DS-Lite mit irgendwelchen Tunnelmechanismen.

Ein Service, auf den ich hier nicht näher eingehen möchte, funktioniert via ipv6 (myfritz DDNS) und ipv4 via Portmapper (feste-ip.net). Das Portforwarding läuft hier über ar7.cfg (voip forwarding).
Und der Dienst läuft auf der Fritzbox? Wie greifst du darauf zu? Was bedeutet VoIP Forwarding? Hast du das Portforwarding in der Telefoniesektion eingetragen?

Welche Einstellung ist katastrophal? Wie ist es korrekt?
192.168.210.0/24 ist ein Teil von 19.168.0.0/16. Warum routest du das gesamte 192.168er Netz über den Tunnel? Ich würde das Transportnetz komplett vom gerouteten Netz separieren.

Was genau hast du nun gemacht? Auf UDP gestellt? Hast du weitere Logs?
 

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
OK, kein DS-lite. Aber auch keine ipv4 Erreichbarkeit.

192.168.210.0/24 ist ein Teil von 19.168.0.0/16. Warum routest du das gesamte 192.168er Netz über den Tunnel? Ich würde das Transportnetz komplett vom gerouteten Netz separieren.
Sorry, verstehe ich nicht. Was muss ich ändern?
1614460391225.png

Was genau hast du nun gemacht? Auf UDP gestellt? Hast du weitere Logs?
Ja, hab ich gepostet aber:
1614460354866.png

Nochmal hier reinkopiert:
So, hab das getestet. Leider ohne Erfolg:
Server:
# OpenVPN 2.4.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jul 19 2019
# library versions: OpenSSL 1.0.2s 28 May 2019, LZO 2.10
# Config date: Sat Feb 27 20:59:01 CET 2021
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 192.168.210.1 192.168.210.2
push "route 192.168.0.0 255.255.0.0"
mode server
ifconfig-pool 192.168.210.10 192.168.210.20
push "route 192.168.210.1"
route 192.168.210.0 255.255.255.0
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Client:
client
dev tun
proto udp6
remote [zensiert].myfritz.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert iphone.crt
key iphone.key
remote-cert-tls Server
tls-auth static.key 1
cipher AES-256-CBC
verb 3
2021-02-27 21:09:56 1
2021-02-27 21:09:56 ----- OpenVPN Start ----- OpenVPN core 3.git::58b92569 ios arm64 64-bit
2021-02-27 21:09:56 OpenVPN core 3.git::58b92569 ios arm64 64-bit
2021-02-27 21:09:56 Frame=512/2048/512 mssfix-ctrl=1250
2021-02-27 21:09:56 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
15 [verb] [3]
2021-02-27 21:09:56 EVENT: RESOLVE
2021-02-27 21:09:56 Contacting [100.75.xxx.xxx]:1194/UDP via UDP
2021-02-27 21:09:56 EVENT: WAIT
2021-02-27 21:09:56 Connecting to [4ofxxxxxxxxxxxxxxx.myfritz.net]:1194 (100.75.xxx.xxx) via UDPv4
2021-02-27 21:10:06 Server poll timeout, trying next remote entry…
2021-02-27 21:10:06 EVENT: RECONNECTING
2021-02-27 21:10:06 EVENT: RESOLVE
2021-02-27 21:10:06 Contacting [2a00:6020:xxxxxxxxxxxxxxxxxxxxxxxx]:1194/UDP via UDP
2021-02-27 21:10:06 EVENT: WAIT
2021-02-27 21:10:06 Connecting to [4ofxxxxxxxxxxxxxxxx.myfritz.net]:1194 (2a00:6020:xxxxxxxxxxxxxxxxxxxxx) via UDPv6
2021-02-27 21:10:06 EVENT: CONNECTING
2021-02-27 21:10:26 EVENT: CONNECTION_TIMEOUT [ERR]
2021-02-27 21:10:26 Raw stats on disconnect:
BYTES_IN : 56
BYTES_OUT : 1218
PACKETS_IN : 4
PACKETS_OUT : 29
BUFFER_ERROR : 4
CONNECTION_TIMEOUT : 1
N_RECONNECT : 1
2021-02-27 21:10:26 Performance stats on disconnect:
CPU usage (microseconds): 66056
Network bytes per CPU second: 19286
Tunnel bytes per CPU second: 0
2021-02-27 21:10:26 EVENT: DISCONNECTED

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

Und der Dienst läuft auf der Fritzbox? Wie greifst du darauf zu? Was bedeutet VoIP Forwarding? Hast du das Portforwarding in der Telefoniesektion eingetragen?
Ja. Hier der Abschnitt aus der ar7.cfg
voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:5060 0.0.0.0:5060",
"udp 0.0.0.0:7078+32 0.0.0.0:7078";
voip_ip6_forwardrules = "udp 5060 # SIP", "tcp 5060 # SIP",
"udp 7078-7109 # RTP", "tcp 1194 # OpenVPN",
"udp 1194 # OpenVPN", "tcp 10020 # xxxx",
"tcp 10001 # xxxx",
"tcp 10002 # xxxx",
"udp 10010 # xxxx";
 
Zuletzt bearbeitet von einem Moderator:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,675
Punkte für Reaktionen
17
Punkte
38
Sorry, verstehe ich nicht. Was muss ich ändern?
Das kommt drauf an. Welches Netz nutzt du denn in deinem Heimnetz? Die Fritzbox nutzt ja normalerweise 192.168.178.0/24. Dann sollte 192.168.178.0 255.255.255.0 in das geroutete Netz. Die VPN Adressen können dann so bleiben.

In den Logs sieht man nur, dass es einen Timeout gibt, also keinerlei Verbindung zustande kommt.
 

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Meine Fritzbox hat 192.168.0.1
Wenn ich das richtig verstanden habe, muss ich nur das geoutete Netz verkleinern:
1614461481232.png

Noch eine Idee was ich an Client oder Server conf ändern kann?
Oder es ist doch die Portfreigabe. Warum soll 10010 gehen, aber 1194 nicht?
 
Zuletzt bearbeitet:

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Ich habe openvpn mit "Debug-Mode aktivieren (/var/tmp/debug_openvpn.out)" gestartet. Hier das Log:

[email protected]:/var/tmp# more debug_openvpn.out
Sun Feb 28 11:24:16 2021 OpenVPN 2.4.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jul 19 2019
Sun Feb 28 11:24:16 2021 library versions: OpenSSL 1.0.2s 28 May 2019, LZO 2.10
Sun Feb 28 11:24:16 2021 Diffie-Hellman initialized with 2048 bit key
Sun Feb 28 11:24:16 2021 TUN/TAP device tun0 opened
Sun Feb 28 11:24:16 2021 TUN/TAP TX queue length set to 100
Sun Feb 28 11:24:16 2021 /sbin/ifconfig tun0 192.168.210.1 pointopoint 192.168.210.2 mtu 1500
Sun Feb 28 11:24:16 2021 /sbin/route add -net 192.168.210.0 netmask 255.255.255.0 gw 192.168.210.2
Sun Feb 28 11:24:16 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Sun Feb 28 11:24:16 2021 Socket Buffers: R=[229376->229376] S=[229376->229376]
Sun Feb 28 11:24:16 2021 setsockopt(IPV6_V6ONLY=0)
Sun Feb 28 11:24:16 2021 UDPv6 link local (bound): [AF_INET6][undef]:1194
Sun Feb 28 11:24:16 2021 UDPv6 link remote: [AF_UNSPEC]
Sun Feb 28 11:24:16 2021 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Sun Feb 28 11:24:16 2021 GID set to openvpn
Sun Feb 28 11:24:16 2021 UID set to openvpn
Sun Feb 28 11:24:16 2021 MULTI: multi_init called, r=256 v=256
Sun Feb 28 11:24:16 2021 IFCONFIG POOL: base=192.168.210.8 size=4, ipv6=0
Sun Feb 28 11:24:16 2021 Initialization Sequence Completed
Sun Feb 28 11:26:47 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS: Initial packet from [AF_INET6]2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7:63517, sid=9aef0e2e 43f6e6bb
Sun Feb 28 11:26:47 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS Error: reading acknowledgement record from packet
Sun Feb 28 11:26:48 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS Error: reading acknowledgement record from packet
Sun Feb 28 11:26:49 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS Error: reading acknowledgement record from packet
Sun Feb 28 11:26:50 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS Error: reading acknowledgement record from packet
Sun Feb 28 11:26:51 2021 2a00:20:8029:52f6:a9bc:9cf2:9bdf:bd7 TLS Error: reading acknowledgement record from packet

Man sieht den Zugriff vom Client, d.h. der Port ist schonmal erreichbar. Was bedeutet TLS Error?
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,675
Punkte für Reaktionen
17
Punkte
38
Hallo,

die Routen sehen so gut aus. Das wird auf Dauer für Stabilität sorgen.

Das [undef] bzw. [AF_UNSPEC] wird in meinem Log auch so angezeigt, es geht aber trotzdem. Ich vermute, das ist einfach dem Log in OpenVPN geschuldet.

In meiner server.conf steht bei proto "udp6" anstatt udp. Vielleicht macht das einen Unterschied.

Außerdem nutze ich die ip-tools anstatt ifconfig. Das kann man in den freetz Einstellungen festlegen, wenn man das Image baut. Ich kann mich erinnern, dass es Probleme mit ifconfig und IPv6 gab, das war damals auch der Grund, warum ich es umgestellt habe. Du solltest also das Image noch mal neu bauen und dabei die OpenVPN Konfiguration entsprechend anpassen. Dabei kannst du auch gleich auf eine enigermaßen aktuelle Software aktualisieren.

Ich halte es immer noch für riskant, die Portfreigaben bei den voip_rules einzutragen. In der Fritzbox gibt es ggf. mehrere IP Verbindungen, darunter auch welche explizit für VoIP. Deshalb wird der voipd und seine Netzwerkverbindung komplett anders gehandhabt. Das kann unter Umständen zu Problemen führen.

//Nachtrag 16:35:
Bezüglich der TLS Fehler: Sind alle Zertifikate noch gültig? Testest du den Zugangs aus deinem lokalen WLAN oder über eine Mobilfunkverbindung?
 
Zuletzt bearbeitet:

skyman!

Neuer User
Mitglied seit
23 Jun 2020
Beiträge
11
Punkte für Reaktionen
1
Punkte
3
Ich werde mal neue Zertifikate per easyRSA erstellen. Wie lange sind die Zertifikate normalerweise gültig? Meine sind von Mitte 2019.

Test selbstverständlich aus dem Mobilfunknetz.

[Edit Novize: Beiträge zusammen gefasst - siehe Forumsregeln]

Ja, das wars. Mit den neuen Zertifikaten ging es!
@frank_m24: Danke für Deine Hilfe und Geduld!
 
Zuletzt bearbeitet von einem Moderator:

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via