OpenVPN Serverkonfiguration Instance (new)

[RES217AIII]

Dann versuch 0.0.0.0 oder 0.0.0.0/0, wenn frei lassen nicht funktioniert. Ich bin nach Doku gegangen bei meiner Antwort und hab es zugegebenermaßen nicht ausprobiert.

Du benutzt Port 1199? Mach doch mal mit "nichts" und mit den beiden Alternativen oben auf der Sense jeweils ein

netstat -na | grep 1199

Wenn da mit "nichts" nichts rauskommt, ist das m.E. ein Bug.

Folgendes zeigte sich in den einzelnen Einstellungen.

Ergebnis mit ,,Nichts":
root@OPNsense:~ # netstat -na | grep 1199
udp46      0      0 *.1199                 *.*   

Ergebnis mit 0.0.0.0:
root@OPNsense:~ # netstat -na | grep 1199
udp4       0      0 *.1199                 *.*

Ergebnis mit 0.0.0.0/0:
wird bereits in der Servereinstellung nicht als gültige IP Adresse akzeptiert

Ergebnis mit 93.21X.2XX.XX3:
root@OPNsense:~ # netstat -na | grep 1199
udp4       0      0 93.21X.2XX.XX3.1199    *.*

[Patrick M. Hausen]

Aber dann sind die ersten beiden doch super und das muss funktionieren. Das Problem muss dann woanders liegen.

[RES217AIII]

OK.

Ich hätte in meiner Unkenntnis erwartet, dass dort die IP Adresse der WAN Schnittstelle angezeigt wird.

Gibt es weitere Tests die ich machen kann, um das Problem einzugrenzen?

[RES217AIII]

Hallo an Alle,
gibt es jemanden im Forum der einen OpenVPN Server mit der neuen Instanz und einer dynamischen IP über dynDNS erfolgreich konfiguriert hat?

Mein Problem scheint zu sein, dass der Client keine Antwort vom Server bekommt, da die IP der WAN Schnittstelle nicht bekannt ist.
Konfigurationprobleme der Firewall und der übrigen Servereinstellungen scheinen nicht das Problem zu sein, da die Einrichtung mit dem "alten" Server, aber der identischen Konfiguration zu einer sofortigen Verbindung führen, wie auch die händische Bekanntgabe der derzeit gültigen IP in dem "neuen" Server.

[Patrick M. Hausen]

1. Benutz mal tcpdump und schau dir die Pakete auf Port 1199 an.

2. Eine weitere Möglichkeit ist, 127.0.0.1 als Bind Address für den Server einzutragen und eine eingehende NAT Port Forward Regel anzulegen. Eine bewährte Methode, eine stabile Adresse für einen Dienst zu bekommen.

Source: any
Destination: WAN address
Source port: any
Destination port: 1199
Protocol UDP
Redirection target: 127.0.0.1:1199
Associated firewall rule: pass

[RES217AIII]

Nochmals vielen Dank, dass Du Dir Gedanken machst.

Werde es heute Abend nach der Arbeit versuchen.

Möglicherweise ist das Port forwarding eine Lösung des Problems.
Ist es aber im Vergleich zur "alten" Lösung, die auf die WAN Schnittstelle gehört hat, die weniger elegantere und vielleicht auch weniger sichere Lösung?
Bisher bin ich im Internet unsichtbar.

[Patrick M. Hausen]

Ich hätte in meiner Unkenntnis erwartet, dass dort die IP Adresse der WAN Schnittstelle angezeigt wird.

Das * bedeuted "alle Adressen/Interfaces".

[vpx23]

Wieso benutzt du eigentlich Tunnelblick, für macOS gibt es auch OpenVPN Connect:

https://openvpn.net/client-connect-vpn-for-mac-os/

[RES217AIII]

root@OPNsense:~ # tcpdump -v port \1199
tcpdump: listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes

WAN Port ist igb1, Standardkonfiguration.
Nein exakter vlan01 (parent igb1; TAG 7) PPPOE Telekom

[RES217AIII]

Wieso benutzt du eigentlich Tunnelblick, für macOS gibt es auch OpenVPN Connect:

https://openvpn.net/client-connect-vpn-for-mac-os/

Habe Viscosity. Nutze Tunnelblich nur für Testzwecke um ein bisschen Ordnung zu haben.

[RES217AIII]

2. Eine weitere Möglichkeit ist, 127.0.0.1 als Bind Address für den Server einzutragen und eine eingehende NAT Port Forward Regel anzulegen. Eine bewährte Methode, eine stabile Adresse für einen Dienst zu bekommen.

Source: any
Destination: WAN address
Source port: any
Destination port: 1199
Protocol UDP
Redirection target: 127.0.0.1:1199

Associated firewall rule: pass

Auch mit den Einstellungen kommt keine Verbindung zustande.
Händische IP funktioniert, also VPN Einstellungen stimmen (wenn der Rückschluss zulässig ist)

[RES217AIII]

root@OPNsense:~ # tcpdump -v port \1199

Stimmt eigentlich die Syntax?

[RES217AIII]

Muss man hier etwas einstellen (siehe Bild unten?)

[vpx23]

Nein, NAT Reflection brauchst du nicht für OpenVPN.

Hier ist dein Fehler beschrieben:

https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity/

Hat dein DynDNS die aktuelle IP?

Ist die CA richtig erstellt und steht in der .ovpn-Datei der korrekte DynDNS Host drin?

[RES217AIII]

Vielen Dank für den Link. Den habe ich auch gefunden und die Punkte abgearbeitet. Die IP ist aktuell. Meine alten Server sind verbunden. Auch habe ich den korrekten Eintrag überprüft.
Verweist tcpdump bei der Suche nach Port 1199 nicht nur auf die falsche Schnittstelle? Wird deswegen nicht die externe IP Adresse des Servers vom Client gefunden?
Hast Du eine Verbindung mit dynDNS etablieren können?