OpenVPN - bekomme keine Verbindung zustande

Started by Marcel_75, November 09, 2017, 11:18:51 PM

Die Regel sollte funktionieren, wenn du aus dem WAN kommst.

November 13, 2017, 09:37:26 AM #16 Last Edit: November 13, 2017, 05:01:02 PM by Marcel_75
So, jetzt habe ich noch mal einen TCPDUMP während des OpenVPN-Einwahlversuchs direkt auf der OPNsense laufen lassen.

Allerdings gibt es da gar keine Zeile mit VPN Infos? Und auch die IP des Hotspot ( ist da gar nicht zu sehen?

TCPDUMP hat automatisch auf em0 geschaut, was bei mir ja das LAN ist.

Vermutlich muss ich aber auf em1 (bei mir WAN) schauen lassen?
November 13, 2017, 05:00:36 PM #17 Last Edit: November 13, 2017, 06:18:25 PM by Marcel_75
Anbei auch noch mal ein Mitschnitt von em1 (also meiner WAN-Schnittstelle).

Ich kann gern auch mal sämtliche anderen Geräte vom Netz nehmen damit mehr "Ruhe" ist im Netzwerk.

Am Rechner habe ich versucht, den Verbindungsversuch um 16:51 zu starten, nach knapp 45 Sekunden habe ich es dann abgebrochen.

Hilft das eventuell weiter? Ich sehe da leider auch keine einzige Zeile mit "vpn" und auch keine Anfrage von der externen IP ...  :-[

Muss ich den TCPDUMP dann besser mit der Option -vvv laufen lassen, damit da noch detaillierter mitgeschnitten wird?

Danke für jedwede Hilfe!
Deine firewall rule ist immer noch port 1194, aber die Konfig versucht port 443?

Ohne die genaue Konfig kann das kein Mensch debuggen. Ich habe gestern einen neuen openVPN Tunnel gegraben, mit opnsense 17.7 (aktuell) und LibreSSL, das funzt einwandfrei. 99.9% ein Fehler in der Konfig. ;-)

Fang nochmal frisch von vorne an.
November 13, 2017, 05:59:56 PM #19 Last Edit: November 13, 2017, 06:21:27 PM by Marcel_75
Hatte weiter oben erwähnt, dass ich mich an die Anleitung von Viscosity gehalten habe und das deshalb noch einmal mit UDP auf Port 1194 konfiguriert habe.

Dabei habe ich die Macher von Viscosity übrigens auch auf einen Zahlendreher bei den DNS-Server-Settings Ihrer Anleitung hingewiesen - das war tatsächlich falsch angegeben (nämlich statt, ist nun aber korrigiert.

Da ich mir dachte, dass das ein Fehler sein muss, hatte ich es schon entsprechend angepasst bei meinen Settings.

Also: Ja, es soll eigentlich auf dem Standard-UDP-Port 1194 laufen, deshalb habe ich es noch einmal frisch so konfiguriert per Wizard und die Firewall-Regeln wurden ja laut fabian auch korrekt gesetzt.

Aber trotzdem funktioniert es nicht, ich verstehe auch überhaupt nicht, warum ...  :(

(richte OpenVPN ja auch nicht zum ersten mal ein)

So sieht die server1.conf in /var/etc/openvpn der OPNsense aus:

dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/
#user nobody
#group nobody
script-security 3
keepalive 10 60
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/
client-disconnect /usr/local/sbin/
client-config-dir /var/etc/openvpn-csc/1
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' 'false' 'server1'" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN_UDP_1194_Server_certificate_MacOn' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route"
push "dhcp-option DNS"
push "redirect-gateway def1"
ca /var/etc/openvpn/
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
push "route"

Habe jetzt auch noch mal geschaut, was eigentlich in /var/log/openvpn.log der OPNsense steht - da sehe ich von heute z.B. nur dies hier:

Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: CMD 'status 2'
Nov 13 10:14:33 OPNsense openvpn[505]: MANAGEMENT: Client disconnected
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: CMD 'status 2'
Nov 13 16:33:25 OPNsense openvpn[505]: MANAGEMENT: Client disconnected
Der Server läuft auf IPv6? Da kann ich leider nicht weiterhelfen ;-)

Ich würde mal mit preshared key und ipv4 probieren. dann von dort weiter...

Diese Meldungen hatte ich mal, als ich einen Tunnel mit gleicher server und client IP verbinden wollte. Aber das hattest du ja bereits ausgeschlossen.
Und nun auch noch die Client-Config, die ich exportiert hatte für Viscosity:

dev tun
cipher AES-256-CBC
auth SHA512
resolv-retry infinite
remote ##hier#steht#meine#DynDNS-Adresse## 1194 udp
lport 0
remote-cert-tls server
comp-lzo adaptive

# dont terminate service process on wrong password, ask again
auth-retry interact
# open management channel
management 166
# wait for management to explicitly start connection
# query management channel for user/pass
# disconnect VPN when management program connection is closed
# forget password when management disconnects

# 2048 bit OpenVPN static key
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
key-direction 1
dev-type tun


sehe nix von ipv6....
Also ich hatte zumindest nicht bewusst irgendwo IPv6 angegeben, zumindest nicht bei den OpenVPN-Server-Settings.

Beim LAN- und WAN-Interface habe ich jetzt mal umgestellt auf "None", da stand bei "IPv6 Configuration Type" die Option "Track Interface" (beim LAN-Interface) bzw. "DHCPv6" (beim WAN-Interface).

Jetzt stehen wie gesagt beide auf "None" bei der Option "IPv6 Configuration Type".

Aber eine OpenVPN-Verbindung bekomme ich trotzdem noch nicht hin.

Woher kommt denn die Option "tun-ipv6" beim Server?

Doch wahrscheinlich nur daher, dass man möchte, dass sämtlicher Netzwerk-Verkehr durch den VPN-Tunnel laufen soll?

Quote from: chemlud on November 13, 2017, 06:35:51 PM
Der Server läuft auf IPv6? Da kann ich leider nicht weiterhelfen ;-)
November 13, 2017, 07:13:48 PM #25 Last Edit: November 13, 2017, 07:18:50 PM by Marcel_75
Beim Server habe ich beim IPv6-Tunnel gar nichts angegeben (weil ich auch gar nicht wüsste, was ich da eintragen soll). Ist das eventuell der Fehler?

Bei den Tunnel Settings sieht es bei mir so aus:

IPv4 Tunnel Network:
IPv6 Tunnel Network. ##das Feld ist wie gesagt leer bei mir##

Und die Option "Disable IPv6" habe ich nicht aktiviert, denn laut Beschreibung würde da ja "Don't forward IPv6 traffic" passieren, was ich aber will (sämtlicher Traffic soll durch den VPN-Tunnel umgeleitet werden).

Die Option "Redirect Gateway" wiederum ist bei mir aktiviert, denn "Force all client generated traffic through the tunnel" möchte ich ja wie gesagt.
klingt evtl. etwas blöd, aber wie hängt die OPNsense am Internet?
Direkt per Modem (PPoE) oder hast Du evtl. einen Router davor der die Einwahl erledigt!?
Ich hatte anfangs auch einen Router vor meiner OPNsense. In den WAN-Einstellungen der OPNsense muss dann der Haken bei 'Block private networks' rausgenommen werden. Sonst klappt es trotz korrektem Port-Forwarding auf dem Router nicht mit OpenVPN.


@Marcel: Was hast du beim OpenVPN Server denn als gebundenes Interface ausgewählt? WAN? Und was als Protokoll? UDP oder UDP6? Ansonsten wenn du kein v6 über den Tunnel machst/machen möchtest ggf. auch noch Disable v6 in der Server Konfig setzen und dann nochmal schauen wie sich die Konfiguration ggf. verändert.

Ansonsten wäre es fein, wenn du die Server Konfig mal zeigen könntest :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

November 14, 2017, 04:40:03 PM #28 Last Edit: November 14, 2017, 05:32:07 PM by Marcel_75
- die OPNsense hängt direkt am Kabel-Modem (THOMSON), es ist also kein zusätzlicher Router dazwischen
- als angebundenes Interface beim OpenVPN-Server ist WAN ausgewählt
- als Protokoll UDP

Ansonsten ist meine aktuelle Server-Config wie auch die Client-Config ja schon weiter oben gepostet.

Danke für Hilfe (ich stehe völlig auf dem Schlauch und kann mir keinen Reim darauf machen, warum das nicht funktionieren will)!
November 14, 2017, 07:28:19 PM #29 Last Edit: November 14, 2017, 07:33:29 PM by Marcel_75
So, hatte jetzt auch noch einmal wie empfohlen "Disable IPv6" bei der Server-Config gesetzt, trotzdem  - es geht nicht.  :o

Anbei noch einmal die aktuelle Server-Config:

dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/
#user nobody
#group nobody
script-security 3
keepalive 10 60
proto udp
cipher AES-256-CBC
auth SHA512
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/
client-disconnect /usr/local/sbin/
client-config-dir /var/etc/openvpn-csc/1
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' 'false' 'server1'" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN_UDP_1194_Server_certificate_MacOn' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 5
push "route"
push "dhcp-option DNS"
push "redirect-gateway def1"
ca /var/etc/openvpn/
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.4096
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
push "route"

Sowie die Client-Config (exportiert als "Viscosity bundle OSX"):

#-- Config Auto Generated for Viscosity --#

#viscosity startonopen false
#viscosity dhcp true
#viscosity dnssupport true
#viscosity name OpenVPN-UDP-1194-Mac-On

dev tun
cipher AES-256-CBC
auth SHA512
resolv-retry infinite
remote ##hier#steht#meine#DynDNS#Adresse## 1194 udp
lport 0
verify-x509-name "OpenVPN_UDP_1194_Server_certificate_MacOn" name
remote-cert-tls server
comp-lzo adaptive

ca ca.crt
tls-auth ta.key 1
cert cert.crt
key key.key

Noch irgend jemand eine Idee?
