OpenVPN Client Verbindung fällt zusammen

[Fossi]

Hallo liebes Forum.

An meiner Opnsense hängen mehrere weiter Opnsense per N2N über OpenVPN. Alle Tunnel funktionieren zumeist einwandfrei, alle Clients und der Server hängen an Internetanschlüssen mit wechselden IP Adressen. Der Wechsel erfolgt nachts, so dass eigentlich niemand dahinter kommt oder Dienste zusammenbrechen.

Bis auf eine einzellne Clientverbindung. Die Konfiguration habe ich inzw. mehrfach mit den anderen abgeglichen und auch einmal vollständig neu erzeugt. An diesem Client gibt es zwei wesentliche Unterschiede: Der Zugang erfolgt über einen Zyxel Router der Telekom (alle anderen hängen an Fritzboxen) und der Zugang erfolgt über einen Telekom Business Zugang. Die IP-Adresse wechselt nicht regelmässig, ist teilweise über 3 Monate identisch.

Kann jemand anhand dieser Daten einschätzen, wo ich ansetzen kann bzw. einschätzen, wo diese Herausforderung seinen Ursprung haben könnte? Gibt es da ein problem mit der Erkennung eines Wechsels der IP Adresse? Ich würde sonst evt. mal die Routerzwangstrennung aktivieren, Vielleicht wählt der Client dann selbstständig neu ein.

Danke für die Unterstützung.

VG Fossi

[micneu]

moin,
- bitte mal einen netzwerkplan (gerne grafisch)
- also dein N2N soll bedeuten site2site warscheinlich oder?
- wenn du von einem OpenVPN Client schreibst, meinst du dann einen benutzer der sich mit seinem Rechner/Client an dem OpenVPN anmeldet (deshalb den netzwerkplan, so kann man das geschrieben besser verstehen)?
- läuft deine sense auf echtem blech oder als vm?

wenn du die sachen beantwortet hast kommen bestimmt mehr fragen.

[Fossi]

Ok, einen Plan habe ich zwar nicht, aber ich versuchs zu erklären:

Es geht um Netz zu Netz (N2N) Verbindungen.

Der Server (Master) mit inzwischen 10 Verbindungen zu anderen Netzen (Clients/ Slaves) steht bei uns und läuft barematal auf einer Sophos SG310. Die Clients laufen als VMs auf Proxmox. Alles ist auf dem aktuellsten Stand gepatched.

Netz_100 ---- OPNse ---- Fritz.box ---- WAN ---- Zyxcel ---- VM-OPNse ---- Netz_xxx
                            |                                                                       |
                            |_____________   OpenVPN  ____________|

Alle bis auf ein Netz laufen einwandfrei, nur das mit dem Zyxcel-Router und dem T-Com Anschluss, der keine Zwangstrennung durchführt, baut sich nicht automatisch wieder auf.

Ich habe bereits den Punkt "ServerIP unbegrenzt auflösen" und "IP des Clients dynamisch" in der OVPN Server bzw. Client konfiguration geändert. Der Tunnel kommt aber immer erst nach einem Neustart des Clients wieder hoch - Neustart innerhalb der VM, der Virtualisierer läuft weiter. Da am Server in dem Moment nichts geändert wird, und die anderen Tunnel laufen, gehe ich nicht von einem DNS-Problem aus. Ich vermute, das der Client auf Grund der nicht durchgeführten Zwangstrennung den Wechsel der IP des Servers nicht erkennt und somit nicht neu gestartet wird.

Wie kann ich da ansetzen? Wie kann ich z.B. einen Neustart der VPN Clientkonfiguration über Cron einpflegen?

VG Fossi

[micneu]

Bitte mal die OpenVPN Client konfig von der zyxel Seite als bild


Gesendet von iPad mit Tapatalk Pro

[Fossi]

Bild machen und dann irgendwas ausixsen geht grad nicht. Ich hab mal den entspr. Teil der Konfig.xml gepostst. Die gesetzten Parameter sind ja zu sehen. 

Code Select Expand

<openvpn-client>
      <protocol>UDP4</protocol>
      <dev_mode>tun</dev_mode>
      <server_addr>xxx.xxxxx.de</server_addr>
      <server_port>1194</server_port>
      <resolve_retry>yes</resolve_retry>
      <proxy_authtype>none</proxy_authtype>
      <description>somedesccript</description>
      <mode>p2p_tls</mode>
      <crypto>AES-256-GCM</crypto>
      <digest>SHA512</digest>
      <engine>rdrand</engine>
      <tunnel_network>x.x.x.0/30</tunnel_network>
      <remote_network>x.x.x.0/25, x.x.x.0/25</remote_network>
      <compression>adaptive</compression>
      <no_tun_ipv6>yes</no_tun_ipv6>
      <verbosity_level>1</verbosity_level>
      <interface>wan</interface>
      <vpnid>1</vpnid>
      <custom_options/>
      <caref>xxx</caref>
      <certref>xxx</certref>
      <tls> xxx</tls>
   </openvpn-client>


[lfirewall1243]

Bild machen und dann irgendwas ausixsen geht grad nicht. Ich hab mal den entspr. Teil der Konfig.xml gepostst. Die gesetzten Parameter sind ja zu sehen. 

Code Select Expand

<openvpn-client>
      <protocol>UDP4</protocol>
      <dev_mode>tun</dev_mode>
      <server_addr>xxx.xxxxx.de</server_addr>
      <server_port>1194</server_port>
      <resolve_retry>yes</resolve_retry>
      <proxy_authtype>none</proxy_authtype>
      <description>somedesccript</description>
      <mode>p2p_tls</mode>
      <crypto>AES-256-GCM</crypto>
      <digest>SHA512</digest>
      <engine>rdrand</engine>
      <tunnel_network>x.x.x.0/30</tunnel_network>
      <remote_network>x.x.x.0/25, x.x.x.0/25</remote_network>
      <compression>adaptive</compression>
      <no_tun_ipv6>yes</no_tun_ipv6>
      <verbosity_level>1</verbosity_level>
      <interface>wan</interface>
      <vpnid>1</vpnid>
      <custom_options/>
      <caref>xxx</caref>
      <certref>xxx</certref>
      <tls> xxx</tls>
   </openvpn-client>


Per screenshot ist denke ich am Sinnvollsten.
Wir sehen dann auf den ersten Blick was nicht passen könnte, und können deine Einstellungen mit unseren vergleichen.

[Fossi]

Das ist richtig, aber ich hab grad kein grafisches Tool zur Hand gehabt, um die einige der Infos auszuxxxen.

Aber was anderes habe ich festgestellt. Die nicht funktionierende VPN-Verbindung wird mit einem nicht funktionierenden Dyn-DNS zusammenhängen. Der ist zwar am Client auch nicht kriegsentscheidend, aber irgendwas im Hintergrund wird blockiert werden.

Folgendes ist passiert: Mir ist gestern Vormittag aufgefallen, das auf dem betroffenen Client der Punkt DynDNS nicht richtig ansprechbar war. Das war mir zwar mal aufgefallen, ist dann aber wieder ins Hinterstübchen gewandert. Zufällig habe ich gerstern auf meiner eigenen Firewall Wireguard eingerichtet. Und heute hatte ich den gleichen Fehler auch bei mir - die DynDNS Accounts haben sich nicht mehr aktualisiert und wenn man den Punkt in der Webgui anklickt, dreht das system erstmal 5 Sekunden im Kreis und zeigt einem erst dann den Punkt an.
Also kurz nachgedacht - was habe ich verändert - ok Wireguard wieder deaktiviert. Neustart und DynDNS lässt sich flüssig ansprechen, Accounts sind grün. Das selbe habe ich jetzt auch auf dem anderen OPNSense gemacht, also WG erstmal deaktiviert. Auch da ist DynDNS jetzt wieder normal anzusprechen - wir hatten schon überlegt die Kiste neu aufzusetzen. Morgen kann ich sehen, ob die VPN-Verbindung wieder sauber läuft.

Lange Rede kurzer Sinn: Warum beeinflusst Wireguard die Funktion vom DynDNS, so das der Dienst ausfällt?

VG Fossi

PS: Sollte ich da einen neuen Thread aufmachen?

[micneu]

das scheint mir eine fehlkonfiguration deines wireguard zu sein
hatte ich auch mal, ich kann dir aber nicht sagen was bei mir falsch war (ist zu lange her)

[Fossi]

Das vermute ich auch - kann mir nicht vorstellen, dass die ein Bug ist, dann würde man da mehr von lesen.

Erstmal läuft die Maschine normal - das ist das wichtigste. Der Tunnel stand heute Morgen.

Aber Danke für die Unterstützung.

VG Fossi