C2s oder S2S Verbindung zwischen GL-MT300N-V2 und OPNSense

[Pat_itg]

Guten abend,
traurig aber war ich versuche seit wochen eine OpenVPN Verbindung zwischen einem GL-MT300N-V2 und unserer Firmenfirewall herzustellen, Ziel ist es diesen GL Router vor ein Gerät zu schalten, zb drucker, dieser soll dann im internen Netz über die normale internal IP ansprechbar sein und von remote aus soll auch darauf gedruckt werden können... davon sind wir jedoch noch weit entfernt u ist im Moment zweitrangig

Wir haben hier überhaupt keine komplexe config,.. GL Router auf Standard Settings, WAN in DHCP, settings site auf standard ip, alles standard da produkt neu ist...
... serverseitig wenn man so will unsere OPNSense, 192.168.16.0/24 Netz, gerade eben für Testzwecke aufgesetzt, voll funktionsfähig. Bedeutet OPEN VPN läuft bereits problemlos über instances.

Habe mich natürlich schlau gemacht und im prinzip (bitte korrigiert mich) sollte es ausreichend sein den OPEN VPN Client export zu machen um dann diese opvn datei dann am client, sprich GL Router, zu importieren... Klappt scheints bei jedem bei uns jedoch nicht!
WENN ICH DIE SELBE DATEI IM OPEN VPN CLIENT AN MEINEM LAPTOP IMPORTIERE KLAPPT ALLES, er verbindet sich will password... OK

hab x verschiedene configs an der OPNSense probiert, nichts zu machen, die verbindung wird nicht hergestellt u es kommt immer der folgende Fehler am GL in den logs

Mon Mar 24 10:34:42 2025 daemon.notice ovpnclient[14643]: UDP link local (bound): [AF_INET][undef]:0
Mon Mar 24 10:34:42 2025 daemon.notice ovpnclient[14643]: UDP link remote: [AF_INET]185.154.67.17:1194
Mon Mar 24 10:35:43 2025 daemon.err ovpnclient[14643]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 24 10:35:43 2025 daemon.err ovpnclient[14643]: TLS Error: TLS handshake failed
Mon Mar 24 10:35:43 2025 daemon.notice ovpnclient[14643]: SIGHUP[soft,tls-error] received, process restarting
Mon Mar 24 10:35:43 2025 daemon.notice ovpnclient[14643]: OpenVPN 2.5.7 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Mon Mar 24 10:35:43 2025 daemon.notice ovpnclient[14643]: library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
Mon Mar 24 10:35:48 2025 daemon.warn ovpnclient[14643]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Mar 24 10:35:48 2025 daemon.notice ovpnclient[14643]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.154.67.17:1194
Mon Mar 24 10:35:48 2025 daemon.notice ovpnclient[14643]: UDP link local (bound): [AF_INET][undef]:0
Mon Mar 24 10:35:48 2025 daemon.notice ovpnclient[14643]: UDP link remote: [AF_INET]185.154.67.17:1194
Mon Mar 24 10:36:48 2025 daemon.err ovpnclient[14643]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 24 10:36:48 2025 daemon.err ovpnclient[14643]: TLS Error: TLS handshake failed
Mon Mar 24 10:36:48 2025 daemon.notice ovpnclient[14643]: SIGHUP[soft,tls-error] received, process restarting
Mon Mar 24 10:36:48 2025 daemon.notice ovpnclient[14643]: OpenVPN 2.5.7 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Mon Mar 24 10:36:48 2025 daemon.notice ovpnclient[14643]: library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
Mon Mar 24 10:36:53 2025 daemon.warn ovpnclient[14643]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Mar 24 10:36:53 2025 daemon.notice ovpnclient[14643]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.154.67.17:1194
Mon Mar 24 10:36:53 2025 daemon.notice ovpnclient[14643]: UDP link local (bound): [AF_INET][undef]:0
Mon Mar 24 10:36:53 2025 daemon.notice ovpnclient[14643]: UDP link remote: [AF_INET]185.154.67.17:1194

Ich bitte um erlösung :)

[viragomann]

WENN ICH DIE SELBE DATEI IM OPEN VPN CLIENT AN MEINEM LAPTOP IMPORTIERE KLAPPT ALLES, er verbindet sich will password... OK

Vom Netzwerk des Routers, der sonst Client sein soll, aus?

[Pat_itg]

jawoll, zb von zu hause aus wo ich mit meinem laptop die vpn problemlos starten kann über open vpn client mich sofort verbinde, schieb ich die selbe config ins iNET bekomm ich oben genannten Fehler... wissen nichtmehr weiter

gruss

[viragomann]

Der Fehler "TLS key negotiation failed" sagt aus, dass kein erfolgreicher TLS Handshake zustande gekommen ist.

Die häufigste Ursache dafür ist, dass der Client den Server gar nicht erreichen kann. Daher würde ich das dennoch mals serverseitig überprüfen, bspw. mittels Packet Capture.

Auch ein Blick ins Server Log könnte Aufschluss geben, ob der Verbindungsversuch ankommt und wenn, was das Problem ist. Dazu würde ich den Log Level auf 4 setzen.
Das könnte man auch am Client machen, um mehr Infos zu bekommen.

Ansonsten könnte der TLS Key falsch oder vielleicht gar nicht vorhanden sein.
Hast du diesen sowie den Private Key auch übernommen? Und sind in der Konfig auch die richtigen Pfade angegeben? Könnte sein, dass das Teil die Pfade absolut haben möchte.

[Pat_itg]

ich hatte auch schon den verdacht das nichts ankommt,
was ich jedoch trotzdem nicht raffe ist das der selbe config file bei mir ja funkt, jedoch bei diesem lowcost gerät anscheinend nicht, ich glaube ich muss bei diesem gerät mal vertiefen wie das funzt, vll muss man da ja vorab was freischalten

habe im live log geschaut, da sehe ich nichts, aber auch nicht wenn ichs mit dem laptop versuche (verstehe ich zwar nicht ganz),.. Log Level 4? Wo mach ich das?

Vielen dank

[viragomann]

Ist das Logging der Regel, die OpenVPN erlaubt, auch aktiviert?

Aber Packet Capture (Interfaces: Diagnostics: Packet Capture) wäre ohnehin das bessere Mittel, um ankommenden Traffic zu überprüfen.
Einfach das WAN Interface auswählen und den OpenVPN Port, das Capture starten und dann eine Verbindung vom Client versuchen. Dann finden sich rechtes Symbole zum Stoppen und Ansehen in diversen Detaildichten.

Ja, Log Level gibt es in Instances leider nicht mehr zum Einstellen. Ich vermute, OPNsense loggt da automatisch mit hohem Level und man kann es im Viewer entsprechend filtern. Da habe ich aber noch nicht die Erfahrung.
Level 4 ist eben der mindeste, der TLS Probleme zeigt.

Im Konfig File am Client kann man das mit der Zeile

Code Select Expand

verb 4setzen.
Aber wenn der den Server gar nicht erreicht, wird das Log auch nichts anderes zeigen.

[JeGr]

TLS key stinkt wirklich in dem Zusammenhang nach entweder static key der Verbindung der nicht geladen/ein anderer/nicht vorhanden ist oder nach Verbindungsaufbau. Eventuell - wenn vorhanden - auch Zertifikatsfehler.

Warums bei deinem Rechner vs. dem Gerät nicht geht: Unterschiedliche Versionen. Was hast du auf deiner Kiste installiert? Was läuft auf dem GLinet Teil? Meist wird in den fertig Routern älterer Stack verbaut, heißt da rennt dann gerne mal OpenVPN 2.4 oder 2.5 noch, während der Rest der Welt bei 2.6.x angekommen ist. Und da dort dann je nach Version die Parameter anders lauten oder eingelesen werden - weil sich defaults eben ändern - kann genau das dabei rauskommen.

Cheers :)

[viragomann]

Die Client Version ist im Log oben genannt: OpenVPN 2.5.7

Mir ist aber nicht (mehr) bekannt, was da anders zu konfigurieren bzw. problematisch wäre.
Ich hab auch einen OpenVPN 2.4.9 Client, der sich mit aktueller pfSense und OPNsense verbindet.

Aber vielleicht würden Konfigurationsdetails hier weiterhelfen, das Problem zu erkennen.

[JeGr]

Die Client Version ist im Log oben genannt: OpenVPN 2.5.7

Das würde schon reichen, da OPNsense auf OpenVPN 2.6.x läuft. Damit hat sich zum Beispiel der Default der Cipher sowie alte Compat Einstellungen signifikant verändert. Aber um zu erahnen, was da vllt. schief hängt, bräuchte man Einblick in die Konfiguration damit man weiter sehen kann.