VPN zwischen zwei FBF 7170

[speedup]

Wir versuchen seit einiger Zeit verzweifelt zwei FBF 7170 per VPN zu verbinden. Naja, per TCP fuktioniert es. Aus Performancegründen wollen wir jedoch unbedingt UDP verwenden - alles Probieren war bisher erfolglos.

Bevor jemand über mich herfällt. Ich habe alle Threads zu diesem Thema durchstöbert. Auch das OPENVPN-howto kenne ich schon fast auswendig

Folgendes haben wir gemacht:

• Beide Boxen laufen mit einer original Firmware (29.04.15). Natürlich sind ein paar Modifikationen am Laufen (z.B. ssh, lcr, etc)
• Jede Box hat ein virtuelles Interface (eth0:1) im LAN. Die notwendigen Protforwardings (Port 1194 UDP und TCP) sind eingerichtet
• Auf dem USB-Stick an der Box liegt die OPNVPN-Binary (von www.the-construct.com). Die Berechtigungen sind angepasst.
• Um die Grundfuntkionalität zu testen fange ich mal ganz am Anfang an (ohne Verschlüsselung, etc.) -> nur das Nötigste:

Auf der einen BOX starte ich OPENVPN so:

./openvpn --remote xxx.xxx.net --dev tun1 --ifconfig 10.0.0.1 10.0.0.2 --verb 9 --dev-node /dev/misc/net/tun

...auf der anderen so:

./openvpn --remote yyy.yyy.net --dev tun1 --ifconfig 10.0.0.2 10.0.0.1 --verb 9 --dev-node /dev/misc/net/tun

Eigentlich müsste man von jeder Box aus das lokale Tunnelinterface und das remote Tunnelinterface (also 10.0.0.1 und 10.0.0.2) pingen können. Aber Fehlanzeige!

Sobald ich das ganze mit TCP (--proto tcp-server bzw. tcp-client) mache tut's.

Habe ich was übersehen oder vergessen?
Hat jemand eine (oder mehrere) Idee(n)?
Wer hat sowas schon am Laufen - Beispielconfigs wären ggf. hilfreich.


Im voraus schon mal Danke für alle Infos!!!

 

[AndreR]

Tja, dann suchen wir mal an der offensichtlichsten Stelle: ist auf der Server-FB der Port (wahrscheinlich 1194) auch für UDP freigeschaltet?

 

[speedup]

Ei natürlich - wie ich oben schon geschrieben sind auf beiden Boxen die Portforwardings konfiguriert (über die WEB-Oberfläche / die ar7.cfg wurde nicht manuell verändert).

 

[AndreR]

Hm, nur nochmal gefragt: es gibt also 2 Freigaben? Einmal Port 1194 für TCP und einmal für UDP?

Wenn ja, poste mal die COnfigs, und vor allem die Meldung die der Client beim Starten ausgibt. Und ist der Prozess in der serverBox überhaupt gestartet?

 

[speedup]

Erst mal vorweg: das Problem sitzt hier nicht zwischen Tatatur und Stuhl! Natürlich ist OPENVPN auf beiden Boxen gestartet (und bevor jemand fragt: beide Boxen sind eingeschaltet, haben eine Internetverbindung,...)


Und jetzt wieder sachlich:

• Portforwardings sind eingerichtet!
• Die Config steht im ersten Post (ich arbeite zum Test halt einfach nicht mit einem Config file, sondern mit Parametern.
  

Logs (mit --verb9 , es sollten also alle Infos drin sein ) im Anhang!!
Wöhrend auf beiden Seiten OPENVPN läuft habe ich versucht jeweils beide Tunnelinterfaces zu pingen (siehe unten).

Interessant ist, dass ich - wenn ich einen Ping auf das gegenüberliegende Tunnelinterface mache - auf einer der beiden Seiten die Meldung "read UDPv4 [EHOSTUNREACH]: No route to host (code=148)" erhalte. Es ist nicht immer die selbe Box. Das System habe ich noch nicht ganz durchschaut, es scheint aber damit zusamen zu hängen, auf welcher Box ich OPENVPN zuerst starte. Auf dieser Box steigen dann auch die RX-Packets auf dem Tunnelinterface nicht an.

Ich kann jeweils nur das eigene Tunnelinterface pingen.
Anbei noch einige Captures bzgl. offener Ports, Routen, Interfaces, etc.

Box1:

# ifconfig tun1
tun1      Link encap:Point-Point Protocol
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:96 (96.0 B)  TX bytes:100 (100.0 B)

# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=255 time=10.0 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=0.0 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=0.0 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=0.0 ms

--- 10.0.0.1 ping statistics ---
7 packets transmitted, 7 packets received, 0% packet loss
round-trip min/avg/max = 0.0/1.4/10.0 ms
# ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes

--- 10.0.0.2 ping statistics ---
9 packets transmitted, 0 packets received, [COLOR="Red"]100% packet loss[/COLOR]
# ifconfig tun1
tun1      Link encap:Point-Point Protocol
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:96 (96.0 B)  TX bytes:856 (856.0 B)

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.180.1   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
10.0.0.2        0.0.0.0         255.255.255.255 UH       40 0          0 tun1
192.168.180.2   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
192.168.178.0   0.0.0.0         255.255.255.0   U        40 0          0 lan
192.168.2.0     0.0.0.0         255.255.255.0   U        40 0          0 lan
192.168.2.0     0.0.0.0         255.255.255.0   U        40 0          0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U        40 0          0 dsl
# netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:49000           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
udp        0      0 0.0.0.0:1024            0.0.0.0:*
udp        0      0 0.0.0.0:1025            0.0.0.0:*
udp        0      0 0.0.0.0:1026            0.0.0.0:*
udp        0      0 0.0.0.0:1028            0.0.0.0:*
udp        0      0 0.0.0.0:7077            0.0.0.0:*
udp        0      0 0.0.0.0:1194            0.0.0.0:*
udp        0      0 0.0.0.0:53              0.0.0.0:*
udp        0      0 0.0.0.0:5060            0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path
#

Box2:

# ifconfig tun1
tun1      Link encap:Point-Point Protocol
          inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:100 (100.0 B)  TX bytes:196 (196.0 B)

# ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=0.0 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=0.0 ms

--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes

--- 10.0.0.1 ping statistics ---
8 packets transmitted, 0 packets received, [COLOR="Red"]100% packet loss[/COLOR]
# ifconfig tun1
tun1      Link encap:Point-Point Protocol
          inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:856 (856.0 B)  TX bytes:1624 (1.5 KiB)

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH       40 0          0 tun1
192.168.180.1   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
192.168.178.0   0.0.0.0         255.255.255.0   U        40 0          0 lan
172.16.0.0      0.0.0.0         255.255.255.0   U        40 0          0 lan
172.16.0.0      0.0.0.0         255.255.255.0   U        40 0          0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U        40 0          0 dsl
# netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:49000           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
udp        0      0 0.0.0.0:1024            0.0.0.0:*
udp        0      0 0.0.0.0:1025            0.0.0.0:*
udp        0      0 0.0.0.0:1026            0.0.0.0:*
udp        0      0 0.0.0.0:1027            0.0.0.0:*
udp        0      0 0.0.0.0:7077            0.0.0.0:*
udp        0      0 0.0.0.0:1194            0.0.0.0:*
udp        0      0 0.0.0.0:53              0.0.0.0:*
udp        0      0 0.0.0.0:5060            0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
raw        0      0 0.0.0.0:2               0.0.0.0:*               0
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path
#

Ich bin ratlos!!

 

[AndreR]

Hi,

ich hab dich nicht angreifen wollen, aber deine Aussagen waren nicht eindeutig.

Also, die Logs von Box 2 (der Client) zeigen, dass er alle 10 Sekunden versucht die Verbindung neu zu öffnen, keine Antwort erhält und dann mit

Connection refused

reagiert.

Das Bedeutet in aller Regel, dass eine Verbindung auf der Adresse mit dem Port nicht möglich war, oder dass der Server auf einem anderen Port lauscht (tut er aber nicht).

Deshalb folgende Bitte: Poste mal den Teil "Forwardrules" aus der Datei /var/flash/ar7.cfg der Server Box

öffnen tust du sie (falls nicht bekannt) mittels

nvi /var/flash/ar7.cfg

und schließen mittels druck der ESC Taste und Eingabe von

 :!q

und Enter

Im Übrigen: warum machst du das ohne Config-Dateien? Wäre mit doch sehr viel angenehmer

 

[speedup]

Hi,

das "connection refused" habe ich auch gesehen, es ist aber in dem einen Logfile nur ganz am Anfang einmal drin (zu dieser Zeit lief OPENVPN nur auf einer Box - auf der anderen ist der Port noch zu, meine Finger sind zu langsam um es auf beiden absolut zur selben Zeit starten zu können ).
Im anderen Logfile ist es nur einmal ganz am Ende (gleiches Problem beim Beenden von OPENVPN...).

Also glaub mir, Die Forwardings sind nicht das Problem... (der Vollständigkeit halber im Anhang die ar7.cfg) Ich suche aktuell an folgenden Stellen:

- ein NAT-Problem
- generelles Problem in der Binary (drum würde mich interessieren, ob jemand das so - also mit UDP - in Betrieb hat!)
- Routing (drum arbeite ich ja schon mit der einfachsten möglichen Konfiguration und versuche nur die Tunnelinterfaces zu pingen).

PS: die "produktive Konfiguration" die normalerweise Läuft (per TCP) ist natürlich per Config-File gemacht. Zum Test ist's halt so einfacher muss ich nicht jedes mal an einer Config rumstricken sondern paste die Aufrufe einfach aus 'ner Textdatei und habe so noch eine Art History...
Und noch was: mit VI bin ich quasi verheiratet...

 

[AndreR]

Hi,

also um das Thema Portforwarding (auch wenn die Meldungen darauf hindeuten) auszuschließen: die Freigaben sind korrekt.

Nur so zum Test, versuch doch mal in der Config-Datei für TCP Verbindungen einfach statt tcp udp zu verwenden. Sollte schnell machbar sein. Geht es dann? Oder die gleichen Meldungen?

Wenn das alles nicht hilft, verweise ich an das OpenVPN-Forum

 

[voipjedi]

Wenn´s ganz sicher mit VPN klappen soll: auf die neue FBF Firmware warten - VPN KOMMT HOCHOFFIZIELL noch dieses Jahr!

Die Beta demnächst, Release bis Jahresende (Quelle AVM Roadshow)

 

[j-g-s]

Das währe ja super!

Viele andere Router haben schon so was, hoffendlich kommt das auch.
Wozu hat man sonst heute die hohen DSL-Geschwindigkeiten, bei DSL 6000 oder 16000 währe das doch gut!

 

[speedup]

Natürlich habe ich auch mit meinen bestehenden Configs UDP getestet - natürlich ohne Erfolg...!! Das war ja eigentlich der allererste Ansatz.

Mich wundert, dass das offenbar noch niemand mit UDP im Einsatz hat:?