Messages

Hallo viragomann,

erst einmal Sorry für die verspätete Antwort.

Habe das jetzt nochmal getestet mit einer neuen Testinstanz. Der alte OpenVPN Server (legacy) läuft super stabil ohne jegliche Abbrüche. Wenn ich nun die OpenVPN Instances aufbaue und dann teste, kommt wieder immer nach genau 60 Sekunden der Abbruch.

2025-02-02T11:50:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:50:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:50:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
...
...
...
2025-02-02T11:49:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:49:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:49:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
...
...
...
2025-02-02T11:48:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:48:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:48:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
...
...
...
2025-02-02T11:47:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:47:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:47:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx

Habe jetzt auch Deine empfohlene Einstellung in der "Auth Token Lifetime" vorgenommen (auf 43200 gesetzt, also auch 12 Stunden). Trotzdem gleiches Verhalten.

Das muss meiner Meinung nach irgendwas in der OPNsense bzw. dem OpenVPN selbst sein. Ich verfolge gerade mal, parallel wo ich hier die Antwort tippe, das Log von OpenVPN und diese "Client disconnected" Meldungen kommen auch jetzt, wo mein Testclient gar nicht verbunden ist. Was fehlt sind natürlich die dazwischen liegenden Connects eines Client.

2025-02-02T11:57:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:57:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:57:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx   
2025-02-02T11:56:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:56:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:56:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
2025-02-02T11:55:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:55:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:55:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
2025-02-02T11:54:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:54:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:54:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
2025-02-02T11:53:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:53:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:53:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx
2025-02-02T11:52:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2025-02-02T11:52:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'   
2025-02-02T11:52:00   Notice   openvpn_server2   MANAGEMENT: Client connected from /var/etc/openvpn/instance-xxxxxxxxxx

Aber ich habe keine Idee, woran das liegen könnte.

Viele Grüße

Hallo zusammen,

m.E. funktioniert OpenVPN mit Benutzer-Authentifizierung TOTP nicht korrekt. Vielleicht mache ich aber ja auch einen Gedankenfehler. Dann wäre ich sehr dankbar für Hilfe.

Folgende Situation:

Ich wollte meine OpenVPN Server (legacy) Einstellungen umstellen auf die Instances. Soweit klappt das auch und man kann einen Tunnel zumindest schon mal aufbauen. Dieser bricht jedoch nach ca. 30-40 Sekunden ab mit dem Hinweis

2024-11-20T14:16:00   Notice   openvpn_server2   MANAGEMENT: Client disconnected   
2024-11-20T14:16:00   Notice   openvpn_server2   MANAGEMENT: CMD 'status 3'

Nach einigem Testen bin ich dann auf die Einstellungen Renegotiate time und Auth Token Lifetime gekommen. Laut der Hilfebeschreibung muss man die Renegotiate time auf "0" setzen wenn man ein One Time Password nutzt, was ja auch Sinn macht. Setzt man dies aber auf "0" wir im Feld "Auth Token Lifetime" ein Wert ungleich Null erwartet. Gibt man jedoch einen Wert > 0 ein kann man die Config nicht speichern mit dem Hinweis "A token lifetime requires a non zero Renegotiate time." Gibt mal den Wert "0" ein, kann man zwar speichern aber der OpenVPN Service lässt sich nicht mehr starten.

Ich habe mal etwas herumgetestet und kann nun eine "vermeintlich" konstante VPN Verbindung mit einer Benutzer-Authentifizierung mit Benutzername+Passwort+TOTP herstellen. Ich habe lediglich bei Auth Token Lifetime den Wert "0" stehen. Ich habe das "vermeintlich" aber in Anführungsstriche gesetzt, weil der VPN alle ca 60 Sekunden auch den o.g. Hinweis wirft und die VPN Verbindung kurz unterbricht aber sich danach sofort wieder reconnected. Das ist aber doch auch nicht richtig.

Wie eingangs geschrieben, vielleicht mache ich ja auch einen Gedankenfehler, aber irgendwie wirkt das auf mich gerade nicht richtig. Ich switche erstmal wieder auf OpenVPN (legacy) zurück. Vielleicht hat ja jemand einen Tip für mich.

Danke und viele Grüße

Hallo zusammen,

ich habe in den letzten Tagen hier schon öfters mitgelesen, wo es um Fragen rund um WireGuard Site-2-Site Verbindung ging und um die in der Tunnel-Schnittstelle eingetragene IP-Adresse. Leider funktioniert bei mir die Möglichkeit nicht, dass ich eine VIP anlege und der WireGuard Schnittstelle zuordne, weshalb ich leider noch einmal ein Post hier eröffnen muss und bitte Hilfe benötige.

Kurze Erklärung:
Ich habe eine Site-2-Site Verbindung von einer OPNsense an einen normalen DSL Anschluss zu einer OPNsense in der Hetzner Cloud. Bis dato hat das auch immer sehr gut funktioniert. Ich musste jedoch auf der Hetzner Cloud Seite zwingend eine IP-Adresse in der WG-Schnittstelle eintragen. Ohne kann man zwar die Site-2-Site Verbindung initiieren und diese läuft dann auch, aber man erreicht kein Netzwerk mehr in der Cloudumgebung die hinter der OPNsense sich befinden. Wie oben schon beschrieben, habe ich die mögliche Lösung, eine virtuelle IP anstatt der statischen IPv4 aus der WG-Schnittstelle anzulegen, getestet. Leider funktioniert das bei mir in der Hetzner Cloud Umgebung nicht. Eine NAT ausgehende Regel habe ich natürlich auch. Ich dachte mir dann, dass es vielleicht daran liegt weil jetzt ja nicht mehr die Regel eigentlich greift, die ich unter der WG-Schnittstelle angelegt habe sondern wohl die WG-Gruppe Regeln, aber selbst wenn ich hier ANY/ANY eintrage, komme ich nirgends mehr dran.
Ich vermute, dass das sicherlich mit dem "Umstand" zusammenhängt, dass in der Hetzner Cloud alles geroutet wird durch Hetzner (wer die Hetzner Cloud kennt weiß was ich meine). Ich wäre für jeden Tip dankbar. Vielleicht hat ja auch einer von Euch eine vergleichbare Site-2-Site Verbindung in die Hetzner Cloud und kann mir die Lösung direkt nennen.  :)

Viele Grüße

Leider nein. Hatte ich schon versucht. Daher meine Hoffnung, dass es evtl. über die CLI geht.

Hallo zusammen,

ich brauche mal bitte Eure Hilfe. Ich hatte auf meiner OPNsense bis vor kurzem Zenarmor mal laufen und dies dann aber wieder deinstalliert (über die Deinstall Funktion von Zenarmor). Leider bekomme ich aber den roten Eintrag "os-sunnyvalley (fehlend)" unter den Erweiterungen nicht weg. Auch hinten am Ende der Zeile ich als Symbol nur das Info "i" und den Installieren-Button aber nicht der Papierkorb, so dass man dies entfernen kann. Hat jemand einen Tip wie ich das ggf. über die CLI machen kann?

Viele Grüße

Vielleicht hilft dir dieser Artikel:

https://www.thomas-krenn.com/de/tkmag/allgemein/usvs-mit-opnsense-und-nut-plugin-ueberwachen/

Weiter unten steht, das für Netclient eine Firewall Regel erstellt werden muss.

Vielleicht ist das die Lösung :)

Gruß, Thomas

Hallo Thomas,

wie ich hier lese nutzt Du NUT mit Deiner OPNsense per USB. Kannst Du mir sagen, ob dieser Bug

"Achtung: Das Plugin darf jetzt noch nicht aktiviert werden, sondern erst, wenn die anderen Einstellungen gesetzt sind, da der Dienst sonst in eine Timeout-Schleife fällt und nicht mehr reagiert."

der von Thomas-Krenn in dem Artikel den Du hier verlinkt hast noch besteht?

Gruß