OpenVPN IPv6 Instanz startet nicht

Started by c-mu, July 27, 2021, 03:16:06 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
July 27, 2021, 03:16:06 PM Last Edit: July 27, 2021, 03:21:16 PM by c-mu
Hallo,
ich möchte einen IPv6 OpenVPN Server konfigurieren, aber er startet einfach nicht. Den einzigen Hinweis den ich bekomme:

Code Select
Jul 27 14:57:40 # php-cgi[549]: /vpn_openvpn_server.php: The command '/usr/local/sbin/openvpn --config '/var/etc/openvpn/server10.conf'' returned exit code '1', the output was '2021-07-27 14:57:40 Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.'

für mich sieht das auch eher nach einer Warnung aus, die nicht einen Crit Error der den Start verhindern sollte..

Das sind meine Settings, eigentlich nichts wildes, nutze ich auch so für IPv4.

Hat jemand eine Idee?
Danke!
EDIT: Sorry, habe echt Probleme hier einen Screenshot vernünftig einzubauen, also hier der Link zum Bild:
https://i.imgur.com/p31NGio.jpeg

July 27, 2021, 06:32:29 PM #1
Moin,

ich kann den Screenshot unter dem Link leider nur in sehr mieser Auflösung sehen (Smartphone) und daher nur erahnen, was da eingestellt wurde...
Willst Du den VPN Server auf v6 lauschen lassen und v4 darin verwenden oder willst Du wirklich v6 im Tunnel verwenden (unabhängig davon ob dieser auf v4 oder v6 lauscht) ?
i am not an expert... just trying to help...
July 28, 2021, 08:51:43 AM #2
Moin,
tatsächlich versuche ich den Zugang extern via IPv6 bereitzustellen. Vorerst will ich auch nur IPv6 Traffic durch den Tunnel routen, ggf. später dann auch IPv4, das muss ich dann noch sehen.

Ich habe ja schon dutzende VPN Server und Client Instanzen mit OPNSense gebaut und daher finde ich auch gerade keinen offensichtlichen Fehler. Der einzige Unterschied zu meinen bisherigen Erfahrungen ist, das es sich jetzt um IPv6 handelt.

Ich versuche die wesentlichen Settings in Schriftform festzuhalten:

ServerMode: SS/TLS + User Auth
Backend: ldap
Protocol: TCP6
Device Mode: tun
Interface: mein IPv6 CARP Interface (hier ist es aber auch egal ob CARP oder "nativ")
Local Port: 1195
Es folgen die default TLS und Certificate Settings

Tunnel Settings:
IPv4 Tunnel Network : leer
IPv6 Tunnel Network: ein Subnet aus meiner Prefix

Alle weiteren Settings leer bzw default.

Mit diesem Setup sollte der Dienst eigentlich in der Lage sein starten zu können. So denke ich jedenfalls.
Einzige Fehlermeldungen sind die wie im Ausgangspost beschrieben und bei "Connection Status":

Code Select
{error} Unable to contact daemon Service not running?



July 28, 2021, 11:48:26 AM #3
Da das Interface VPNnetVIP heißt - OK es ist ne CARP VIP aber ist das selbst auch ein Tunnel oder warum heißt das Interface VPNnetVIP? Oder liegt das einfach auf dem WAN auf? Ohne mehr Details kann man da wenig sagen.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 28, 2021, 12:12:28 PM #4
Das Interface heißt einfach so, es ist ein VLAN Interface auf auf dem die CARP IP auch gemappt ist. Bzw. es ist der Beschreibungstext der CARP Adresse. Nutze ich das "native" Interface der Firewall in diesem VLAN, ändert sich nicht an der Problemstellung.
July 28, 2021, 12:34:38 PM #5
Da im CLI ja der Fehler
Code Select
php-cgi[94174]: /vpn_openvpn_server.php: The command '/usr/local/sbin/openvpn --config '/var/etc/openvpn/server10.conf'' returned exit code '1', the output was '2021-07-28 12:30:58 Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.'

kommt, dachte ich das ich mal den Inhalt der Datei poste.

Code Select
dev ovpns10
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun10
writepid /var/run/openvpn_server10.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp6-server
cipher AES-256-GCM
auth SHA256
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 2xxx:xxx:xxxx:8413::1
client-disconnect "/usr/local/etc/inc/plugins.inc.d/openvpn/attributes.sh server10"
tls-server
username-as-common-name
auth-user-pass-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify user 'ldap-proxy' 'true' 'server10'" via-env
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'VPN-Server-Certificate' 1"
lport 1195
management /var/etc/openvpn/server10.sock unix
ca /var/etc/openvpn/server10.ca
cert /var/etc/openvpn/server10.cert
key /var/etc/openvpn/server10.key
dh /usr/local/etc/dh-parameters.2048.sample
crl-verify /var/etc/openvpn/server10.crl-verify
tls-auth /var/etc/openvpn/server10.tls-auth 0
July 28, 2021, 12:47:59 PM #6
ah interessant, das sieht tatsächlich nach nem Parameter Problem aus
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 28, 2021, 12:56:09 PM #7
Ich habe mal auf die Schnelle auf einem alten Server (20.7.8_4) eine Instanz angelegt, mit murks inhalt aber die Datei sieht schon etwas anders aus und startet auch.

EDIT: dabei sei erwähnt, dass ich das Problem auf der Version "21.1.8_1" habe.

Code Select
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp6-server
cipher AES-128-CBC
auth SHA1
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
tls-server
ifconfig-ipv6 2xxx:xxxx:xxxx:8412::1 2xxx:xxx:xxxx:8412::2
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls '%2A.fwerfw.de' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.2048.sample
tls-auth /var/etc/openvpn/server1.tls-auth 0
July 28, 2021, 01:37:48 PM #8
Korrekt, aber Version 20.x war IMHO noch gegen OVPN 2.4 gebaut, 21.1.x nutzt bereit OpenVPN 2.5.

In 2.5 wurden einige Settings umgebaut, andere deprecated und entfernt. Daher kann das durchaus sein, dass die Option nicht mehr korrekt ist.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 28, 2021, 01:43:10 PM #9
Klingt irgendwie so, als müsste ich mal einen Bug Report stellen?

Ich überlege gerade: Ob das wohl klappt, wenn ich auf einem alten Server die VPN Settengs erstelle und die Config im CLI übernehme? Aber dann wird das WebUI die Settings früher oder später vermutlich überschreiben.
July 28, 2021, 02:14:36 PM #10
Ich glaube aber nicht dass das der ganze Fehler war. Das war im Output des Servers ja nur ein "Note:" Das tun-ipv6 Flag wurde IMHO auch nicht deprecated sondern erstmal ignoriert, somit sollte das nicht stören. Ich denke eher, dass was anderes in der Config streikt.

Kannst du mal den Screen zeigen, welche Einstellungen du beim Server machst? Dann bau ich das mal nach.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 28, 2021, 02:21:40 PM #11
Ich hoffe über diesen Link sind die Einstellungen gut zu sehen:

https://drive.google.com/file/d/17StwfxZKGoH94W3oPJ-lxac6_ccSjFWi/view?usp=sharing
July 28, 2021, 03:03:19 PM #12
Du hast wenn ich das richtig sehe keinerlei v4 definiert, richtig?

Versuche mal ein IPv4 Tunnelnetz mit zu definieren. Einfach als Dummy irgendein Netz was nicht stört. Ich mutmaße, dass da irgendwas nicht sauber rausgeschrieben wird wenn v6 only konfiguriert wird. Da fehlen zumindest Parameter.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 28, 2021, 03:09:20 PM #13
Ja, verrückt. Damit startet der Dienst und ist via IPv6 erreichbar!

Danke für deine Hilfe!
July 28, 2021, 03:24:37 PM #14
Ich hab mir das auf jeden Fall mal notiert und nochmal im englischen Teil rückgefragt. Kann mir aber nicht vorstellen, dass das "normal" sein soll, daher gehe ich von Bug aus. Zudem taucht bei neuen Installationen gerade ne Fehlermeldung im TLS Auth Static Key Feld auf, das ist definitiv nicht gewollt :)

Code Select

2021-07-28 15:10:54 WARNING: Using --genkey --secret filename is DEPRECATED.  Use --genkey secret filename instead.
#
# 2048 bit OpenVPN static key
#
...
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1 2
User actions