OPNsense Forum
International Forums => German - Deutsch => Topic started by: krischeu on September 02, 2021, 12:36:27 pm
-
Hi,
ich habe einen einzelnen Windows 10 Client mit der Problematik, daß ca. alle 1 Minute die Verbindung weg ist. Der VPN-Client bleibt davon unbeeindruckt und optisch ist das noch verbunden und nicht getrennt.
Einzig ein ping auf eine interne IP-Adresse zeigt mit an, daß das Ziel nicht mehr antwortet.
Die Firewall hat die Version
OPNsense 21.1.9_1-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1k 25 Mar 2021
Allen anderen Clients funktionieren auch mit Windows 10 und der OpenVPN Ver. 2.5.3
Hat da mal jemand einen heissen Tip?
Grüße
Heinz
Im LOG sehe ich keinen Fehler:
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 VERIFY SCRIPT OK: depth=0, C=DE, ST=Bavaria, L=Alzenau, O=PSTproducts GmbH, emailAddress=heinz.krischeu@kb-consulting.de, CN=kriesterer
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 VERIFY OK: depth=1, C=DE, ST=Bavaria, L=Alzenau, O=PSTproducts GmbH, emailAddress=heinz.krischeu@kb-consulting.de, CN=FW02 PSTproducts GmbH
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 VERIFY SCRIPT OK: depth=1, C=DE, ST=Bavaria, L=Alzenau, O=PSTproducts GmbH, emailAddress=heinz.krischeu@kb-consulting.de, CN=FW02 PSTproducts GmbH
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 TLS: Initial packet from [AF_INET]62.127.130.81:9018, sid=ec6f3931 5ea07a04
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-09-02T12:25:38 openvpn[92283] 62.127.130.81:9018 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2021-09-02T12:25:31 openvpn[92283] Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2021-09-02T12:25:31 openvpn[92283] Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-09-02T12:25:31 openvpn[92283] Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-09-02T12:25:31 openvpn[92283] WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA256'
2021-09-02T12:25:31 openvpn[92283] WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1549', remote='link-mtu 1524'
2021-09-02T12:25:31 openvpn[92283] TLS: Username/Password authentication succeeded for username 'mhase' [CN SET]
2021-09-02T12:25:31 openvpn[73346] user 'mhase' authenticated using 'Local Database'
2021-09-02T12:28:27 openvpn[92283] MANAGEMENT: CMD 'status 2'
2021-09-02T12:28:27 openvpn[92283] MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2021-09-02T12:27:43 openvpn[92283] kriesterer/62.127.130.81:9999 PUSH: Received control message: 'PUSH_REQUEST'
2021-09-02T12:27:43 openvpn[92283] kriesterer/62.127.130.81:9999 TLS Error: incoming packet authentication failed from [AF_INET]62.127.130.81:9999
2021-09-02T12:27:43 openvpn[92283] kriesterer/62.127.130.81:9999 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #13 / time = (1630578461) 2021-09-02 12:27:41 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
2021-09-02T12:27:42 openvpn[92283] kriesterer/62.127.130.81:9999 SENT CONTROL [kriesterer]: 'PUSH_REPLY,route 10.1.0.0 255.255.0.0,dhcp-option DOMAIN pst.local,dhcp-option DNS 10.1.3.34,dhcp-option DNS 10.1.3.21,route 172.168.192.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 172.168.192.14 172.168.192.13,peer-id 7,cipher AES-256-GCM' (status=1)
2021-09-02T12:27:42 openvpn[92283] kriesterer/62.127.130.81:9999 PUSH: Received control message: 'PUSH_REQUEST'
2021-09-02T12:27:42 openvpn[92283] Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-09-02T12:27:42 openvpn[92283] Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2021-09-02T12:27:42 openvpn[92283] MULTI: primary virtual IP for kriesterer/62.127.130.81:9999: 172.168.192.14
2021-09-02T12:27:42 openvpn[92283] MULTI: Learn: 172.168.192.14 -> kriesterer/62.127.130.81:9999
2021-09-02T12:27:42 openvpn[92283] MULTI_sva: pool returned IPv4=172.168.192.14, IPv6=(Not enabled)
2021-09-02T12:27:42 openvpn[92283] MULTI: new connection by client 'kriesterer' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 [kriesterer] Peer Connection Initiated with [AF_INET]62.127.130.81:9999
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1549', remote='link-mtu 1521'
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 TLS: Username/Password authentication succeeded for username 'kriesterer' [CN SET]
2021-09-02T12:27:42 openvpn[17334] user 'kriesterer' authenticated using 'Local Database'
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 peer info: IV_SSO=openurl
2021-09-02T12:27:42 openvpn[92283] 62.127.130.81:9999 peer info: IV_GUI_VER=net.openvpn.connect.ios_3.2.3-3760
-
Wird 2FA genutzt?
-
Nö
Ganz normal.
Username und Passwort
Es geht ja auch. Ca. 45 Sekunden, dann ca. 45 Sekunden nicht, dann wieder und so weiter.
-
was für eine internet anbindung und welches protokol?
-
Protokoll?
RDP
Smb mappings
Netzwerk ist Tethering vom Handy und in der Wohnung muss ich mal nachfragen.
-
Folgendes würde mich interessieren:
Was passiert wenn du während die VPN immer wieder zusammenbricht die öffentliche IP des VPN-Servers und eine andere wie z.B: 1.1.1.1 vom Client aus pingst.
Fällt einer der Pings aus, wenn die VPN immer wieder zusammenbricht?
-
Es bricht der Ping auf den internen Server zusammen
Der Ping auf 1.1.1.1 ist immer stabil
Die Verbindung ist per Glasfaser
Provider Telia
-
Es bricht der Ping auf den internen Server zusammen
Der Ping auf 1.1.1.1 ist immer stabil
Die Verbindung ist per Glasfaser
Provider Telia
Und der Ping vom Client auf die öffentliche IP des VPN Servers?
-
80.153.164.12 öffentliche Adresse --> immer pingbar, auch wenn der Verbindungsabbruch kommt
-
Evtl. helfen Dir meine Tipps weiter - beziehen sich aber auf IPSec https://forum.opnsense.org/index.php?topic=24074.msg115673#msg115673 (https://forum.opnsense.org/index.php?topic=24074.msg115673#msg115673)
-
Ich würde mal einen anderen VPN-Client probieren wollen
Was könnt ihr denn empfehlen?
-
Ich würde mal einen anderen VPN-Client probieren wollen
Was könnt ihr denn empfehlen?
Hauptsächlich nutze ich den SSL-VPN Client von Securepoint, der kann auch mehrere VPNs gleichzeitig aufbauen.
https://www.securepoint.de/produkte/utm-firewalls/vpn-client.html
in manchen Umgebungen aber auch den OpenVPN Connect ab Vers.3 (auch wenn dieser nicht offiziell für OpenVPN empfohlen wird)
https://openvpn.net/client-connect-vpn-for-windows/
Bisher beide ohne Probleme, der Securepoint kann aber mehr.
-
> in manchen Umgebungen aber auch den OpenVPN Connect ab Vers.3 (auch wenn dieser nicht offiziell für OpenVPN empfohlen wird)
Connect macht mit manchen OpenVPN Settings der Community Edition Probleme. Hatten wir schon, würde ich sein lassen. Je nach Konfiguration bekommt man da nur planlose Logs geschickt, mit denen man nichts anfangen kann weil Connect die Setups nicht lesen kann. Mag für sehr simple Configs noch laufen, aber bei etwas größeren gehts leider schief. Wollte ich nur einwerfen bevor jemand zu viel Zeit da rein investiert.
-
Also das Problem ist gefunden. Ich dachte zwar, das in der Konfiguration das so angegeben ist, dass man mehrfach sich anmelden kann. Aber dem ist nicht so.
Der Gute war mit dem Mobile dauerhaft angemeldet. Daher kam das abstruse Fehlerbild am Notebook.
Grüße
Heinz