DG openvpn einrichtung

  • Hallo zusammen,


    ich bin soweit zufrieden mit meinem Glasfaseranschluss, bekomme es aber gerade auf biegen und brechen nicht hin, openvpn wieder in Betrieb zu nehmen.

    Portweiterleitung funktioniert (mittels socat) und eine ipv4 wird über einen externen vserver bereit gestellt.


    Um zu prüfen, ob die Portweiterleitung funktioniert habe ich auf meinem Server, auf dem auch der OpenVPN Server läuft, Wireshark installiert und ich konnte sehen, wenn ein Client sich verbinden wollte, dass Pakete an den Server geschickt wurden.


    Als kleines Hilftsscript zur Verwaltung meiner clients / des Servers nutze ich folgendes script: https://github.com/Nyr/openvpn-install

    Unter /etc/openvpn/server/ liegt auch noch eine OpenVPN Konfigurationsdatei: server.conf . Diese habe ich schon ein wenig Editiert, da ich schätze, dass das Problem hier drin steckt. Die Datei sieht wie folgt aus:




    "5 Blöcke von meiner ipv6" entspricht den ersten 5 Blöcken meiner externen Ipv6, welche ich mittels ifconfig auslese.

    Hat jemand eine Idee, wo hier das Poblem liegen könnte? - Port 1194 ist auch über die Firewall freigegeben.


    Grüße,

    Tobias

  • 5 Blöcke von deiner IPv6 Adresse sind einer zu viel. 4 Blöcke sind 64 bit. Schau außerdem mal nach, ob der OpenVPN Server überhaupt Verbindungen auf der IPv6-Adresse annimmt (sudo netstat -naput). Eine etwas genauere Beschreibung deines Netzwerksetups wäre hilfreich.

  • OpenVPN scheint keine Verbindung aufzubauen für ipv6. Wenn ich netstat -naput eingebe, erhalte ich nur folgende Ausgabe für Port 1194:

    Code
    1. udp 0 0 192.168.178.52:1194 0.0.0.0:* 31549/openvpn


    Zu meinem Setup:


    ich habe einen vServer, welcher eine IPv4 hat, da DG leider nur eine interne IPv4 bietet. Diese IPv4 habe ich für meine Domain eingetragen. Außerdem habe ich die öffentliche IPv6 von meinem Server in meiner Domain eingetragen. TCP Ports leite ich via 6tunnel weiter und UDP Ports mttels socat. Mein Server hängt direkt hinter einer Fritzbox, welche die Ports auf IPv4 und IPv6 weiterleitet. Weitere Applikationen laufen Problemlos (Sprich Webserver, etc pp).


    Ich hab das Gefühl, dass ich auch eine falsche IPv6 in die Config eintrage.


    Die Ausgabe von ifconfig gibt mir folgendes:

    Code
    1. eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
    2. inet 192.168.178.52 netmask 255.255.255.0 broadcast 192.168.178.255
    3. inet6 [8 Blöcke IPv6] prefixlen 64 scopeid 0x0<global>
    4. inet6 [5 Blöcke IPv6] prefixlen 64 scopeid 0x20<link>
    5. ether dc:4a:3e:6d:a7:7d txqueuelen 1000 (Ethernet)
    6. RX packets 6415823 bytes 1771378401 (1.7 GB)
    7. RX errors 0 dropped 722496 overruns 0 frame 0
    8. TX packets 6661368 bytes 4771042240 (4.7 GB)
    9. TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
    10. device interrupt 16 memory 0xe1000000-e1020000


    Beide IPv6 Adressen habe ich in der Konfig getestet.



    Grüße,

    Tobias

  • Ok, dann stimmen vermutlich zwei Dinge nicht:


    1) die richtige IPv6 Adresse ist die mit global Scope. Die andere fängt mit fe80:: an, korrekt? Das ist eine Adresse, die nur auf dem Link verwendbar ist. Die wird nicht geroutet. Die "fünf Blöcke" sind eigentlich auch 8, aber die Blöcke 2, 3 und 4 sind durch die doppelten Doppelpunkte abgekürzt.


    2) In der Konfigurationsdatei von OpenVPN steht "local 192.168.178.52". Damit sagst du OpenVPN, dass es nur auf dieser Adresse auf Verbindungen warten soll. Da gehört entweder die öffentliche IPv6 Adresse hin, oder du lässt die Zeile weg, dann bindet sich OpenVPN an alle Adressen.

  • danke für die Antwort :)


    1) die richtige IPv6 Adresse ist die mit global Scope. Die andere fängt mit fe80:: an, korrekt? Das ist eine Adresse, die nur auf dem Link verwendbar ist. Die wird nicht geroutet. Die "fünf Blöcke" sind eigentlich auch 8, aber die Blöcke 2, 3 und 4 sind durch die doppelten Doppelpunkte abgekürzt.

    Genau, die IPv6 mit "prefixlen 64 scopeid 0x0<global>" habe ich auch probiert, leider klappt dies auch nicht. Eventuell vergesse ich hier noch etwas weiteres? Die Adresse mit fe80:: hatte ich zwischenzeitlch auch getestet, aber das hat, wie zu erwarten auch nicht funktioniert.


    2) In der Konfigurationsdatei von OpenVPN steht "local 192.168.178.52". Damit sagst du OpenVPN, dass es nur auf dieser Adresse auf Verbindungen warten soll. Da gehört entweder die öffentliche IPv6 Adresse hin, oder du lässt die Zeile weg, dann bindet sich OpenVPN an alle Adressen.


    Habe ich anschließend auch entfernt. Außerdem habe ich hier auch einmal meine IPv6 eingetragen. Leider kein Erfolg.


    Als Firewall nutze ich ufw, in einem anderen Tutorial habe ich auch schon ip6tables gesehen. Diese Applikation ist bei mir auch installiert, aber diese habe ich bisher noch nicht weiter Konfiguriert. - Kann es hier dran liegen?


    Grüße,

    Tobias

  • Hast du OpenVPN soweit, dass es auf der scope-global IPv6 Adresse oder auf allen IPv6 Adressen ("::") auf Verbindungen wartet (sudo netstat -nutap)? Wenn es dann keine Verbindungen annimmt, ist vielleicht eine Firewall im Weg, aber einen Schritt nach dem anderen.

  • Hi, vielen dank für alles. Ein Schritt weiter


    Leider ist das Problem manchmal einfacher als man denkt. Ein Problem war, dass ist den falschen Service neu gestartet habe. Ich werde jetzt erstmal die alten Services löschen. Ich hätte auch mal prüfen sollen, ob der Port geschlossen wird, wenn ich den Service nur stoppe.


    Zunächst habe ich meine server.config wieder zurückgesetzt und

    Code
    1. server-ipv6 [4 Blöcke]::/64
    2. push "route-ipv6 [1 Block]::/3"

    dazu hinzugefügt.


    Da der OpenVPN immer noch nicht lief, musste ich noch Einstellen, dass nicht udp, sondern udp6 genutzt wird. Fertig.


    Jetzt fehlt noch, dass ich Zugriff auf's Internet über den VPN bekomme, um nicht nur auf interne Applikationen zuhause zugreifen zu können.

    Das gucke ich mir mal morgen an. Eventuell fehlt ja noch eine Einstellungen, oder eine IP passt noch nicht.


    Vielen Dank und Grüße,

    Tobias

  • Hi zusammen,


    sorry, dass ich hier nochmal drunter Poste. Leider bekomme ich immer noch keine VPN Verbindung hin, durch die ich auf Webseiten zugreifen kann.

    Woran könnte es liegen?

    Auf meine IPs im lokalen Netzwerk kann ich Problemlos drauf zugreifen


    Grüße,

    Tobias

  • Das kann sehr viele Ursachen haben. Z.B. könnten es Routingprobleme sein: Immer beide Richtungen bedenken. Pakete nehmen nicht automatisch den gleichen Weg zurück. Es könnte auch ein MTU-Problem sein. Durch den Tunnel ist die MTU auf der VPN-Verbindung kleiner. Wenn dann Path-MTU-Discovery nicht funktioniert, gehen Pakete verloren. Mach doch mal ein paar Tests mit traceroute, schau dir die Routingtabellen auf den Endgeräten, dem Raspberry Pi und deinem Router an, und überprüfe, ob die Firewalls auch den Adressbereich für die externen Geräte durchlassen.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden