OpenVPN - bekomme keine Verbindung zustande

[fabian]

Die Regel sollte funktionieren, wenn du aus dem WAN kommst.

[Marcel_75]

So, jetzt habe ich noch mal einen TCPDUMP während des OpenVPN-Einwahlversuchs direkt auf der OPNsense laufen lassen.

Allerdings gibt es da gar keine Zeile mit VPN Infos? Und auch die IP des Hotspot (80.187.114.114) ist da gar nicht zu sehen?

https://pastebin.com/raw/BHXb5QtB

TCPDUMP hat automatisch auf em0 geschaut, was bei mir ja das LAN ist.

Vermutlich muss ich aber auf em1 (bei mir WAN) schauen lassen?

[Marcel_75]

Anbei auch noch mal ein Mitschnitt von em1 (also meiner WAN-Schnittstelle).

https://pastebin.com/raw/6ECJ3a72

Ich kann gern auch mal sämtliche anderen Geräte vom Netz nehmen damit mehr "Ruhe" ist im Netzwerk.

Am Rechner habe ich versucht, den Verbindungsversuch um 16:51 zu starten, nach knapp 45 Sekunden habe ich es dann abgebrochen.

Hilft das eventuell weiter? Ich sehe da leider auch keine einzige Zeile mit "vpn" und auch keine Anfrage von der externen IP 80.187.114.114 ... 

Muss ich den TCPDUMP dann besser mit der Option -vvv laufen lassen, damit da noch detaillierter mitgeschnitten wird?

Danke für jedwede Hilfe!

[chemlud]

Deine firewall rule ist immer noch port 1194, aber die Konfig versucht port 443?

Ohne die genaue Konfig kann das kein Mensch debuggen. Ich habe gestern einen neuen openVPN Tunnel gegraben, mit opnsense 17.7 (aktuell) und LibreSSL, das funzt einwandfrei. 99.9% ein Fehler in der Konfig. ;-)

Fang nochmal frisch von vorne an.

[Marcel_75]

Hatte weiter oben erwähnt, dass ich mich an die Anleitung von Viscosity gehalten habe und das deshalb noch einmal mit UDP auf Port 1194 konfiguriert habe.

Dabei habe ich die Macher von Viscosity übrigens auch auf einen Zahlendreher bei den DNS-Server-Settings Ihrer Anleitung hingewiesen - das war tatsächlich falsch angegeben (nämlich 10.8.0.1 statt 10.0.8.1), ist nun aber korrigiert.

https://www.sparklabs.com/support/kb/article/setting-up-an-openvpn-server-with-opnsense-and-viscosity/

Da ich mir dachte, dass das ein Fehler sein muss, hatte ich es schon entsprechend angepasst bei meinen Settings.

Also: Ja, es soll eigentlich auf dem Standard-UDP-Port 1194 laufen, deshalb habe ich es noch einmal frisch so konfiguriert per Wizard und die Firewall-Regeln wurden ja laut fabian auch korrekt gesetzt.

Aber trotzdem funktioniert es nicht, ich verstehe auch überhaupt nicht, warum ... 

(richte OpenVPN ja auch nicht zum ersten mal ein)

So sieht die server1.conf in /var/etc/openvpn der OPNsense aus:

dev ovpns1
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 100.93.0.154
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' 'false' 'server1'" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN_UDP_1194_Server_certificate_MacOn' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 10.0.8.1"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
passtos
persist-remote-ip
float
push "route 192.168.1.0 255.255.255.0"

[Marcel_75]

Habe jetzt auch noch mal geschaut, was eigentlich in /var/log/openvpn.log der OPNsense steht - da sehe ich von heute z.B. nur dies hier:

Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: CMD 'status 2'
Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: Client disconnected
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: CMD 'status 2'
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: Client disconnected

[chemlud]

Der Server läuft auf IPv6? Da kann ich leider nicht weiterhelfen ;-)

Ich würde mal mit preshared key und ipv4 probieren. dann von dort weiter...

Diese Meldungen hatte ich mal, als ich einen Tunnel mit gleicher server und client IP verbinden wollte. Aber das hattest du ja bereits ausgeschlossen.

[Marcel_75]

Und nun auch noch die Client-Config, die ich exportiert hatte für Viscosity:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA512
tls-client
client
resolv-retry infinite
remote ##hier#steht#meine#DynDNS-Adresse## 1194 udp
lport 0
auth-user-pass
remote-cert-tls server
comp-lzo adaptive
passtos

# dont terminate service process on wrong password, ask again
auth-retry interact
# open management channel
management 127.0.0.1 166
# wait for management to explicitly start connection
management-hold
# query management channel for user/pass
management-query-passwords
# disconnect VPN when management program connection is closed
management-signal
# forget password when management disconnects
management-forget-disconnect


<ca>
-----BEGIN CERTIFICATE-----
##hier#steht#ganz#viel##
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
##hier#steht#auch#ganz#viel##
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
##und#hier#auch#natürlich##
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
##und#auch#hier#noch#etwas##
-----END OpenVPN Static key V1-----
</tls-auth>
 key-direction 1

[chemlud]

Server:

dev-type tun
tun-ipv6

Client:

sehe nix von ipv6....

[Marcel_75]

Also ich hatte zumindest nicht bewusst irgendwo IPv6 angegeben, zumindest nicht bei den OpenVPN-Server-Settings.

Beim LAN- und WAN-Interface habe ich jetzt mal umgestellt auf "None", da stand bei "IPv6 Configuration Type" die Option "Track Interface" (beim LAN-Interface) bzw. "DHCPv6" (beim WAN-Interface).

Jetzt stehen wie gesagt beide auf "None" bei der Option "IPv6 Configuration Type".

Aber eine OpenVPN-Verbindung bekomme ich trotzdem noch nicht hin.

Woher kommt denn die Option "tun-ipv6" beim Server?

Doch wahrscheinlich nur daher, dass man möchte, dass sämtlicher Netzwerk-Verkehr durch den VPN-Tunnel laufen soll?

Der Server läuft auf IPv6? Da kann ich leider nicht weiterhelfen ;-)

[Marcel_75]

Beim Server habe ich beim IPv6-Tunnel gar nichts angegeben (weil ich auch gar nicht wüsste, was ich da eintragen soll). Ist das eventuell der Fehler?

Bei den Tunnel Settings sieht es bei mir so aus:

IPv4 Tunnel Network: 10.0.8.0/24
IPv6 Tunnel Network. ##das Feld ist wie gesagt leer bei mir##

Und die Option "Disable IPv6" habe ich nicht aktiviert, denn laut Beschreibung würde da ja "Don't forward IPv6 traffic" passieren, was ich aber will (sämtlicher Traffic soll durch den VPN-Tunnel umgeleitet werden).

Die Option "Redirect Gateway" wiederum ist bei mir aktiviert, denn "Force all client generated traffic through the tunnel" möchte ich ja wie gesagt.

[monstermania]

Moin,
klingt evtl. etwas blöd, aber wie hängt die OPNsense am Internet?
Direkt per Modem (PPoE) oder hast Du evtl. einen Router davor der die Einwahl erledigt!?
Ich hatte anfangs auch einen Router vor meiner OPNsense. In den WAN-Einstellungen der OPNsense muss dann der Haken bei 'Block private networks' rausgenommen werden. Sonst klappt es trotz korrektem Port-Forwarding auf dem Router nicht mit OpenVPN.

Gruß
Dirk

[JeGr]

@Marcel: Was hast du beim OpenVPN Server denn als gebundenes Interface ausgewählt? WAN? Und was als Protokoll? UDP oder UDP6? Ansonsten wenn du kein v6 über den Tunnel machst/machen möchtest ggf. auch noch Disable v6 in der Server Konfig setzen und dann nochmal schauen wie sich die Konfiguration ggf. verändert.

Ansonsten wäre es fein, wenn du die Server Konfig mal zeigen könntest

[Marcel_75]

- die OPNsense hängt direkt am Kabel-Modem (THOMSON), es ist also kein zusätzlicher Router dazwischen
- als angebundenes Interface beim OpenVPN-Server ist WAN ausgewählt
- als Protokoll UDP

Ansonsten ist meine aktuelle Server-Config wie auch die Client-Config ja schon weiter oben gepostet.

Danke für Hilfe (ich stehe völlig auf dem Schlauch und kann mir keinen Reim darauf machen, warum das nicht funktionieren will)!

[Marcel_75]

So, hatte jetzt auch noch einmal wie empfohlen "Disable IPv6" bei der Server-Config gesetzt, trotzdem  - es geht nicht. 

Anbei noch einmal die aktuelle Server-Config:

dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 100.93.0.154
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' 'false' 'server1'" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN_UDP_1194_Server_certificate_MacOn' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 10.0.8.1"
push "redirect-gateway def1"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
passtos
persist-remote-ip
float
push "route 192.168.1.0 255.255.255.0"

Sowie die Client-Config (exportiert als "Viscosity bundle OSX"):

#-- Config Auto Generated for Viscosity --#

#viscosity startonopen false
#viscosity dhcp true
#viscosity dnssupport true
#viscosity name OpenVPN-UDP-1194-Mac-On

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA512
tls-client
client
resolv-retry infinite
remote ##hier#steht#meine#DynDNS#Adresse## 1194 udp
lport 0
verify-x509-name "OpenVPN_UDP_1194_Server_certificate_MacOn" name
auth-user-pass
remote-cert-tls server
comp-lzo adaptive
passtos

ca ca.crt
tls-auth ta.key 1
cert cert.crt
key key.key

Noch irgend jemand eine Idee?