OpenVPN Client Config > sehe den Wald vor lauter Bäumen nicht.

Started by fw115, July 23, 2025, 03:14:52 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
July 25, 2025, 10:30:40 AM #15
Mach während eines kontinuierlichen Pings mal ein tcpdump auf dem OpenVPN-Interface der OPNsense.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 25, 2025, 10:47:34 AM #16
tcpdump -i ovpnc1 -n
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ovpnc1, link-type NULL (BSD loopback), snapshot length 262144 bytes
10:44:02.750760 IP [version 15 != 4] (invalid)
10:44:03.563562 IP [version 15 != 4] (invalid)
10:44:03.593065 IP 192.168.100.153.57620 > 199.7.91.13.53: 8251 [1au] NS? . (40)
10:44:03.593541 IP 192.168.100.153.47557 > 199.7.91.13.53: 59675 [1au] NS? cz. (43)
10:44:04.369931 IP [version 15 != 4] (invalid)
10:44:04.394346 IP 192.168.100.153.58344 > 192.58.128.30.53: 39946 [1au] NS? . (40)
10:44:04.587503 IP 192.168.100.153.53202 > 192.58.128.30.53: 12067 [1au] NS? cz. (43)
10:44:05.195718 IP [version 15 != 4] (invalid)
10:44:05.195878 IP 192.168.100.153.36201 > 198.41.0.4.53: 45679 [1au] NS? . (40)
10:44:05.611699 IP 192.168.100.153.56885 > 198.41.0.4.53: 12277 [1au] NS? cz. (43)
10:44:05.736549 IP [version 15 != 4] (invalid)
10:44:05.995999 IP 192.168.100.153.42768 > 202.12.27.33.53: 54126 [1au] NS? . (40)
10:44:06.091377 IP 192.168.100.153.56372 > 202.12.27.33.53: 1153 [1au] NS? cz. (43)
10:44:06.139168 IP [version 15 != 4] (invalid)
10:44:06.287814 IP [version 15 != 4] (invalid)
10:44:06.635397 IP [version 15 != 4] (invalid)
10:44:06.797299 IP 192.168.100.153.39366 > 170.247.170.2.53: 22501 [1au] NS? . (40)
10:44:06.798418 IP 192.168.100.153.36959 > 170.247.170.2.53: 28207 [1au] NS? cz. (43)
10:44:07.598910 IP 192.168.100.153.59108 > 198.97.190.53.53: 42831 [1au] NS? . (40)
10:44:07.599742 IP 192.168.100.153.38434 > 198.97.190.53.53: 8890 [1au] NS? cz. (43)
10:44:07.659824 IP [version 15 != 4] (invalid)

22 packets captured
22 packets received by filter
0 packets dropped by kernel

July 25, 2025, 11:25:53 AM #17
OK, das sieht nach einem VPN Problem aus. Verschlüsselung ? Cert ? Da keine Ahnung von VPN und das Probelme natürlich nicht
nur von meiner config aus passieren können.

10:44:06.139168 IP [version 15 != 4] (invalid)
10:44:06.287814 IP [version 15 != 4] (invalid)
10:44:06.635397 IP [version 15 != 4] (invalid)

Im Moment keine Ahnung wie ich das lösen könnte.
July 25, 2025, 11:55:49 AM #18
Ohne eine Einsicht in deine VPN Konfiguration tappen wir da wohl auch im Dunkeln.
July 25, 2025, 01:08:29 PM #19 Last Edit: July 25, 2025, 01:19:46 PM by fw115
Aus dem Backup der OPNsense extrahiert:

# OpenVPN Client-Konfiguration: X_VPN

client
dev tun
proto tcp
remote vpn3.xxx.de 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verb 3
topology subnet

# Zertifikat & Schlüssel
ca [Pfad zur CA-Datei: z. B. /conf/ca/xxxxxxxxx.pem]
cert [Pfad zum Client-Zertifikat: z. B. /conf/cert/xxxxx.pem]
key [Pfad zum privaten Schlüssel des Client-Zertifikats]
July 25, 2025, 01:15:33 PM #20
Das ist die Konfig, die du vom Provider erhalten hast. Die kennen wir schon und ich gehe davon aus, dass es damit auch funktionieren sollte.

Nun wäre aber interessant, was du daraus gemacht hast, denn das macht offenbar Probleme.
Ein direkte Konfig-Import Möglichkeit ist mir ja nicht bekannt. Und wenn, wäre auch interessant, wie das nun in OPNsense aussieht.
July 25, 2025, 01:36:46 PM #21 Last Edit: July 25, 2025, 01:41:30 PM by fw115
Quote from: viragomann on July 25, 2025, 01:15:33 PMDas ist die Konfig, die du vom Provider erhalten hast. Die kennen wir schon und ich gehe davon aus, dass es damit auch funktionieren sollte.

Nun wäre aber interessant, was du daraus gemacht hast, denn das macht offenbar Probleme.
Ein direkte Konfig-Import Möglichkeit ist mir ja nicht bekannt. Und wenn, wäre auch interessant, wie das nun in OPNsense aussieht.
<OPNsense>
  <OpenVPN version="1.0.1"persisted_at="1753436035.20">
    <Instances>
      <Instance uuid="xxxxxxxxx">
        <vpnid>1</vpnid>
        <enabled>1</enabled>
        <dev_type>tun</dev_type>
        <verb>3</verb>
        <proto>tcp4</proto>
        <port>1194</port>
        <topology>subnet</topology>
        <remote>vpn3.xxx.de</remote>
        <role>client</role>
        <cert>xxxxxxxxxxxx</cert>
        <ca>xxxxxxxxxxxxx</ca>
        <verify_client_cert>require</verify_client_cert>
        <remote_cert_tls>0</remote_cert_tls>
        <description>X_VPN</description>
        <mssfix>0</mssfix>
        <username_as_common_name>0</username_as_common_name>
        <strictusercn>0</strictusercn>
        <provision_exclusive>0</provision_exclusive>
        <register_dns>0</register_dns>
        <compress_migrate>0</compress_migrate>
        <ifconfig-pool-persist>0</ifconfig-pool-persist>
      </Instance>
    </Instances>
    <StaticKeys/>
  </OpenVPN>
</OPNsense>

<interfaces>
  <opt3>
    <if>ovpnc1</if>
    <descr>X_VPN</descr>
    <enable>1</enable>
    <lock>1</lock>
    <spoofmac/>
  </opt3>
</interfaces>
July 25, 2025, 02:22:00 PM #22
Mir fällt da nicht Verdächtiges auf, das ich mit dem Fehler in Zusammenhang bringen würde.
Eine falsche Compression Einstellung könnte ich mir am ehesten denken. Und dazu habe ich nochmals oben nachgesehen in deinem ersten Post. Das enthält doch zusätzlich
Code Select
cipher BF-CBC
comp-lzo
Warum hast du das dann weggelassen? Hast du eine neue Konfig vom Provider erhalten?
July 25, 2025, 02:48:53 PM #23
Quote from: viragomann on July 25, 2025, 02:22:00 PMMir fällt da nicht Verdächtiges auf, das ich mit dem Fehler in Zusammenhang bringen würde.
Eine falsche Compression Einstellung könnte ich mir am ehesten denken. Und dazu habe ich nochmals oben nachgesehen in deinem ersten Post. Das enthält doch zusätzlich
Code Select
cipher BF-CBC
comp-lzo
Warum hast du das dann weggelassen? Hast du eine neue Konfig vom Provider erhalten?
Nein, würde ich gerne setzen, kann ich aber nicht unter instances in der 25.7:

cipher BF-CBC
comp-lzo (ist dazu depricated)

und ich weiss nicht, ob ich das einfach so von Hand in die VPN config eintragen kann, ohne das es Probleme erzeugt.
Ich glaube die 25.7 hat diese Option sowieso nicht mehr.
July 25, 2025, 03:03:53 PM #24
Quote from: fw115 on July 25, 2025, 02:48:53 PMNein, würde ich gerne setzen, kann ich aber nicht unter instances in der 25.7:
Beide Einstellungen sind veraltet, sollten aber noch unterstützt werden. Jedoch kann man in in der OPNsense Instanz nicht mehr konfigurieren.

Du solltest deinen Provider ersuchen, sein OpenVPN upzudaten und neue Konfigurationen auszugeben.

Wenn du das in 25.7 einrichten möchtest, benötigst meines Wissens das Lecacy Plugin.
Da sollte beides auswählbar sein.
July 25, 2025, 04:22:37 PM #25
Antwort vom Provider:

nach Prüfung durch unsere Technik kann ich Folgendes mitteilen:
Der betroffene Host erhält konstant eingehenden Traffic in Form von TCP-SYN-Paketen. Allerdings erfolgt darauf keinerlei Antwort, weder durch TCP-RST noch über ICMP, es wird schlichtweg nicht reagiert.
July 25, 2025, 04:39:00 PM #26
Ich weiß jetzt nicht, ob der Techniker auf der Remoteseite überhaupt sehen könnte, dass dein Client ein Problem hat.
Eventuell könntest du aber auf deiner Seite Hinweise in den Logs finden.

Aber solange du keine kompatiblen VPN Client hast, sehe ich weiteres Troubleshooting für Zeitverschwendung.
July 25, 2025, 05:02:30 PM #27
So jetzt plugin installiert und ganz andere Probleme:

Wenn ich jetzt die config speichern will :
QuoteAn IPv4 protocol was selected but the selected interface has no ipV4 address

Gehe ich ins Interface und will die IP Adresse festlegen:
QuoteCannot assign an IP Address to a tunnel interface

OK, wie dann?
July 25, 2025, 05:05:38 PM #28
Unter Interface hast du WAN ausgewählt?
July 25, 2025, 05:30:02 PM #29 Last Edit: July 25, 2025, 05:31:44 PM by fw115
irgendwas war hier nicht richtig ... kann weg
Print
Go Up Pages 1 2 3
User actions