OPNsense Forum
International Forums => German - Deutsch => Topic started by: c-mu on July 27, 2021, 03:16:06 pm
-
Hallo,
ich möchte einen IPv6 OpenVPN Server konfigurieren, aber er startet einfach nicht. Den einzigen Hinweis den ich bekomme:
Jul 27 14:57:40 # php-cgi[549]: /vpn_openvpn_server.php: The command '/usr/local/sbin/openvpn --config '/var/etc/openvpn/server10.conf'' returned exit code '1', the output was '2021-07-27 14:57:40 Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.'
für mich sieht das auch eher nach einer Warnung aus, die nicht einen Crit Error der den Start verhindern sollte..
Das sind meine Settings, eigentlich nichts wildes, nutze ich auch so für IPv4.
Hat jemand eine Idee?
Danke!
EDIT: Sorry, habe echt Probleme hier einen Screenshot vernünftig einzubauen, also hier der Link zum Bild:
https://i.imgur.com/p31NGio.jpeg (https://i.imgur.com/p31NGio.jpeg)
(https://i.ibb.co/BLZybnQ/service-not-running.png)
-
Moin,
ich kann den Screenshot unter dem Link leider nur in sehr mieser Auflösung sehen (Smartphone) und daher nur erahnen, was da eingestellt wurde...
Willst Du den VPN Server auf v6 lauschen lassen und v4 darin verwenden oder willst Du wirklich v6 im Tunnel verwenden (unabhängig davon ob dieser auf v4 oder v6 lauscht) ?
-
Moin,
tatsächlich versuche ich den Zugang extern via IPv6 bereitzustellen. Vorerst will ich auch nur IPv6 Traffic durch den Tunnel routen, ggf. später dann auch IPv4, das muss ich dann noch sehen.
Ich habe ja schon dutzende VPN Server und Client Instanzen mit OPNSense gebaut und daher finde ich auch gerade keinen offensichtlichen Fehler. Der einzige Unterschied zu meinen bisherigen Erfahrungen ist, das es sich jetzt um IPv6 handelt.
Ich versuche die wesentlichen Settings in Schriftform festzuhalten:
ServerMode: SS/TLS + User Auth
Backend: ldap
Protocol: TCP6
Device Mode: tun
Interface: mein IPv6 CARP Interface (hier ist es aber auch egal ob CARP oder "nativ")
Local Port: 1195
Es folgen die default TLS und Certificate Settings
Tunnel Settings:
IPv4 Tunnel Network : leer
IPv6 Tunnel Network: ein Subnet aus meiner Prefix
Alle weiteren Settings leer bzw default.
Mit diesem Setup sollte der Dienst eigentlich in der Lage sein starten zu können. So denke ich jedenfalls.
Einzige Fehlermeldungen sind die wie im Ausgangspost beschrieben und bei "Connection Status":
{error} Unable to contact daemon Service not running?
-
Da das Interface VPNnetVIP heißt - OK es ist ne CARP VIP aber ist das selbst auch ein Tunnel oder warum heißt das Interface VPNnetVIP? Oder liegt das einfach auf dem WAN auf? Ohne mehr Details kann man da wenig sagen.
Cheers
-
Das Interface heißt einfach so, es ist ein VLAN Interface auf auf dem die CARP IP auch gemappt ist. Bzw. es ist der Beschreibungstext der CARP Adresse. Nutze ich das "native" Interface der Firewall in diesem VLAN, ändert sich nicht an der Problemstellung.
-
Da im CLI ja der Fehler
php-cgi[94174]: /vpn_openvpn_server.php: The command '/usr/local/sbin/openvpn --config '/var/etc/openvpn/server10.conf'' returned exit code '1', the output was '2021-07-28 12:30:58 Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.'
kommt, dachte ich das ich mal den Inhalt der Datei poste.
dev ovpns10
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun10
writepid /var/run/openvpn_server10.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp6-server
cipher AES-256-GCM
auth SHA256
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 2xxx:xxx:xxxx:8413::1
client-disconnect "/usr/local/etc/inc/plugins.inc.d/openvpn/attributes.sh server10"
tls-server
username-as-common-name
auth-user-pass-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify user 'ldap-proxy' 'true' 'server10'" via-env
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'VPN-Server-Certificate' 1"
lport 1195
management /var/etc/openvpn/server10.sock unix
ca /var/etc/openvpn/server10.ca
cert /var/etc/openvpn/server10.cert
key /var/etc/openvpn/server10.key
dh /usr/local/etc/dh-parameters.2048.sample
crl-verify /var/etc/openvpn/server10.crl-verify
tls-auth /var/etc/openvpn/server10.tls-auth 0
-
ah interessant, das sieht tatsächlich nach nem Parameter Problem aus
-
Ich habe mal auf die Schnelle auf einem alten Server (20.7.8_4) eine Instanz angelegt, mit murks inhalt aber die Datei sieht schon etwas anders aus und startet auch.
EDIT: dabei sei erwähnt, dass ich das Problem auf der Version "21.1.8_1" habe.
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp6-server
cipher AES-128-CBC
auth SHA1
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
tls-server
ifconfig-ipv6 2xxx:xxxx:xxxx:8412::1 2xxx:xxx:xxxx:8412::2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls '%2A.fwerfw.de' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.2048.sample
tls-auth /var/etc/openvpn/server1.tls-auth 0
-
Korrekt, aber Version 20.x war IMHO noch gegen OVPN 2.4 gebaut, 21.1.x nutzt bereit OpenVPN 2.5.
In 2.5 wurden einige Settings umgebaut, andere deprecated und entfernt. Daher kann das durchaus sein, dass die Option nicht mehr korrekt ist.
-
Klingt irgendwie so, als müsste ich mal einen Bug Report stellen?
Ich überlege gerade: Ob das wohl klappt, wenn ich auf einem alten Server die VPN Settengs erstelle und die Config im CLI übernehme? Aber dann wird das WebUI die Settings früher oder später vermutlich überschreiben.
-
Ich glaube aber nicht dass das der ganze Fehler war. Das war im Output des Servers ja nur ein "Note:" Das tun-ipv6 Flag wurde IMHO auch nicht deprecated sondern erstmal ignoriert, somit sollte das nicht stören. Ich denke eher, dass was anderes in der Config streikt.
Kannst du mal den Screen zeigen, welche Einstellungen du beim Server machst? Dann bau ich das mal nach.
-
Ich hoffe über diesen Link sind die Einstellungen gut zu sehen:
https://drive.google.com/file/d/17StwfxZKGoH94W3oPJ-lxac6_ccSjFWi/view?usp=sharing (https://drive.google.com/file/d/17StwfxZKGoH94W3oPJ-lxac6_ccSjFWi/view?usp=sharing)
-
Du hast wenn ich das richtig sehe keinerlei v4 definiert, richtig?
Versuche mal ein IPv4 Tunnelnetz mit zu definieren. Einfach als Dummy irgendein Netz was nicht stört. Ich mutmaße, dass da irgendwas nicht sauber rausgeschrieben wird wenn v6 only konfiguriert wird. Da fehlen zumindest Parameter.
-
Ja, verrückt. Damit startet der Dienst und ist via IPv6 erreichbar!
Danke für deine Hilfe!
-
Ich hab mir das auf jeden Fall mal notiert und nochmal im englischen Teil rückgefragt. Kann mir aber nicht vorstellen, dass das "normal" sein soll, daher gehe ich von Bug aus. Zudem taucht bei neuen Installationen gerade ne Fehlermeldung im TLS Auth Static Key Feld auf, das ist definitiv nicht gewollt :)
2021-07-28 15:10:54 WARNING: Using --genkey --secret filename is DEPRECATED. Use --genkey secret filename instead.
#
# 2048 bit OpenVPN static key
#
...
-
OpenVPN gibt die Warnung auf stdout aus. Das ist wohl etwas unglücklich... oO
https://github.com/opnsense/core/commit/4738eb409
-
@Franco jap in der Tat. Da waren ja bei 2.5 in OpenVPN einige Kleinigkeiten eher so "unglücklich" die man dann gern anderen Projekten - in dem Fall OPNsense - zuschiebt. Hast du eine Idee an was konkret das andere Problem hängt, dass man ohne v4 Tunnelnetz keine gültige Konfig rausbekommt? Kann das in 21.1 und 21.7 nachstellen, bin aber aus Zeitmangel noch nicht zum Debuggen gekommen für nen ordentlichen Bugreport.
Ohne v4 Tunnelnetz fehlt zumindest wohl auf den ersten Blick ein Parameter oder ist nicht vollständig und daher kommt der VPN Server nicht hoch.
Cheers
\jens
-
Das tun-ipv6 habe ich mal rausgenommen da es angeblich nicht mehr geht ausser als push Option für alte Server vielleicht.
https://github.com/opnsense/core/commit/1176f829cb3
Zum IPv6-only bekomme ich dies:
> Options error: --client-disconnect requires --mode server
Und mit IPv4 Tunnelnetz geht es tatsächlich. Ich kümmere mich darum. :D
Grüsse
Franco
-
PS: Viel Spass damit https://github.com/opnsense/core/commit/c5c622fd
# opnsense-patch c5c622fd
-
Alles klar, ich hoffe es gibt heut noch ein halbes Stündchen Zeit, dann lass ich das mal durch die Testbench tickern :)
Danke dir schonmal :D
-
Super, merci :)
-
So nochmal kurz vor Feierabend reingeschneit:
Getestet in 21.1.9 und 21.7 - beide OpenVPN Testserver kommen mit den Einstellungen von c-mu sauber hoch und starten.
@c-mu: Du kannst gern auch mal Francos Patch ausführen und nochmal ohne IPv4 Netz testen :) Und ggf. mal schauen, ob in deinem Static Key Feld sich auch eine Warning reinverirrt hatte ;)
Ansonsten sieht das für mich fein aus :)
@franco Danke für die schnelle Behebung :) Soll ich euch für die Multi-Cipher-Selection Geschichte ggf. nen Feature Request ins Github stellen oder habt ihr das eh schon irgendwo in einem Issue auf dem Radar?