bloodstix
Goto Top

Frage zu OpenVPN

Hallo zusammen,

ich hab einen vserver bei OVH (Rechenzentrum FR). Dort habe ich ein openVPN laufen zu dem ich mich mit meinem Heimrechner verbinde um gewisse "Sperrungen" zu umgehen.
Manche davon funktionieren auch mit VPN seit einigen Tagen nicht mehr.
Ich leite meinen kompletten Internet-Traffic durch den VPN und mein vserver hat auch eine IPv4-Adresse. Wenn VPN aktiv kann ich auch meinen speedport im LAN nicht erreichen. Ist richtig so und gewollt, wie gesagt, geht alles durch den Tunnel und der vserver kennt "speedport.ip" natürlich nicht.

Wenn ich jetzt mit aktiviertem VPN wieistmeineip.de aufrufe zeigt er mir nur eine IPv6-Adresse an (welche nicht die von meinem vserver ist) und bei IPv4 zeigt er "nicht vorhanden" an.
Normal sollte dort die IPv4 von meinem vserver stehen, was auch bis vor ein paar Tagen noch der Fall war.

Jemand eine Idee?

Grüße
bloody

Content-ID: 32959939545

Url: https://administrator.de/forum/frage-zu-openvpn-32959939545.html

Ausgedruckt am: 27.12.2024 um 01:12 Uhr

9697748851
9697748851 15.04.2024 um 17:09:48 Uhr
Goto Top
Hi,

Jemand eine Idee?
Logs lesen.

kompletten Internet-Traffic durch den VPN
Sicher?

Wenn VPN aktiv
bist Du denn auch vollständig verbunden mit deiner VPN Kiste? Was sagen die Logs?

Grüße
12168552861
12168552861 15.04.2024 aktualisiert um 17:19:23 Uhr
Goto Top
Jemand eine Idee?
Ja. Den Fehler beheben.mittels
  • Traceroute
  • PathPing
  • tcpdump
  • Deine Router, vServer und VPN Logs
speedport.ip
Würg, das ist schon mal der gröbste Fehler und das bei einem Level2 🤪, OMG, was kommt noch?!

Popcorn hol.


Weeeeeeneeee, die Russen sin daa.

Gruß
bloodstix
bloodstix 15.04.2024 aktualisiert um 17:47:29 Uhr
Goto Top
Hallo, das VPN-Log sieht so aus (anonymisiert):
⏎[Apr 15, 2024, 15:12:03] OpenVPN core 3.git::d3f8b18b win x86_64 64-bit built on Dec  8 2021 12:04:20
⏎[Apr 15, 2024, 15:12:03] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Apr 15, 2024, 15:12:03] UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
9 [cert] [Certificate:     Data:         Version: 3 (0x2)         Serial N...]
10 [key] [-----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcw...]
12 [key-direction] [1]
13 [tls-auth] [# # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key ...]
17 [verb] [3]
⏎[Apr 15, 2024, 15:12:03] EVENT: RESOLVE ⏎[Apr 15, 2024, 15:12:03] Contacting vpn.server.ipv4.adresse:1194 via UDP
⏎[Apr 15, 2024, 15:12:03] EVENT: WAIT ⏎[Apr 15, 2024, 15:12:03] WinCommandAgent: transmitting bypass route to vpn.server.ipv4.adresse
{
	"host" : "vpn.server.ipv4.adresse",  
	"ipv6" : false  
}

⏎[Apr 15, 2024, 15:12:03] Connecting to [vpn.server.ipv4.adresse]:1194 (vpn.server.ipv4.adresse) via UDPv4
⏎[Apr 15, 2024, 15:12:03] EVENT: CONNECTING ⏎[Apr 15, 2024, 15:12:03] Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
⏎[Apr 15, 2024, 15:12:03] Creds: UsernameEmpty/PasswordEmpty
⏎[Apr 15, 2024, 15:12:03] Peer Info:
IV_VER=3.git::d3f8b18b
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.4-2600
IV_SSO=webauth,openurl,crtext

⏎[Apr 15, 2024, 15:12:03] SSL Handshake: peer certificate: CN=vpn.example.de, 2048 bit RSA, cipher: TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD

⏎[Apr 15, 2024, 15:12:03] Session is ACTIVE
⏎[Apr 15, 2024, 15:12:03] EVENT: GET_CONFIG ⏎[Apr 15, 2024, 15:12:03] Sending PUSH_REQUEST to server...
⏎[Apr 15, 2024, 15:12:03] OPTIONS:
0 [redirect-gateway] [def1] [bypass-dhcp]
1 [dhcp-option] [DNS] [vserver.dns1.ipv4.addr]
2 [dhcp-option] [DNS] [vserver.dns2.ipv4.addr]
3 [route] [10.8.0.1]
4 [topology] [net30]
5 [ping] [10]
6 [ping-restart] [120]
7 [ifconfig] [10.8.0.6] [10.8.0.5]
8 [peer-id] [0]
9 [cipher] [AES-256-GCM]

⏎[Apr 15, 2024, 15:12:03] PROTOCOL OPTIONS:
  cipher: AES-256-GCM
  digest: NONE
  key-derivation: OpenVPN PRF
  compress: NONE
  peer ID: 0
  control channel: tls-auth enabled
⏎[Apr 15, 2024, 15:12:03] EVENT: ASSIGN_IP ⏎[Apr 15, 2024, 15:12:03] CAPTURED OPTIONS:
Session Name: vpn.server.ipv4.adresse
Layer: OSI_LAYER_3
Remote Address: vpn.server.ipv4.adresse
Tunnel Addresses:
  10.8.0.6/30 -> 10.8.0.5 [net30]
Reroute Gateway: IPv4=1 IPv6=0 flags=[ ENABLE REROUTE_GW DEF1 BYPASS_DHCP IPv4 ]
Block IPv6: no
Add Routes:
  10.8.0.1/32
Exclude Routes:
DNS Servers:
  vserver.dns1.ipv4.addr
  vserver.dns2.ipv4.addr
Search Domains:

⏎[Apr 15, 2024, 15:12:04] SetupClient: transmitting tun setup list to \\.\pipe\agent_ovpnconnect
{
	"allow_local_dns_resolvers" : false,  
	"confirm_event" : "6406000000000000",  
	"destroy_event" : "1c09000000000000",  
	"tun" :   
	{
		"adapter_domain_suffix" : "",  
		"add_routes" :   
		[
			{
				"address" : "10.8.0.1",  
				"gateway" : "",  
				"ipv6" : false,  
				"metric" : -1,  
				"net30" : false,  
				"prefix_length" : 32  
			}
		],
		"block_ipv6" : false,  
		"dns_servers" :   
		[
			{
				"address" : "vserver.dns1.ipv4.addr",  
				"ipv6" : false  
			},
			{
				"address" : "vserver.dns2.ipv4.addr",  
				"ipv6" : false  
			}
		],
		"layer" : 3,  
		"mtu" : 0,  
		"remote_address" :   
		{
			"address" : "vpn.server.ipv4.adresse",  
			"ipv6" : false  
		},
		"reroute_gw" :   
		{
			"flags" : 307,  
			"ipv4" : true,  
			"ipv6" : false  
		},
		"route_metric_default" : -1,  
		"session_name" : "vpn.server.ipv4.adresse",  
		"tunnel_address_index_ipv4" : 0,  
		"tunnel_address_index_ipv6" : -1,  
		"tunnel_addresses" :   
		[
			{
				"address" : "10.8.0.6",  
				"gateway" : "10.8.0.5",  
				"ipv6" : false,  
				"metric" : -1,  
				"net30" : true,  
				"prefix_length" : 30  
			}
		]
	},
	"wintun" : false  
}
POST np://[\\.\pipe\agent_ovpnconnect]/tun-setup : 200 OK
TAP ADAPTERS:
guid='{487364FE-07A0-43C7-A3E6-F9E8E704E76A}' index=8 name='LAN-Verbindung 2'  
Open TAP device "LAN-Verbindung 2" PATH="\\.\Global\{487364FE-07A0-43C7-A3E6-F9E8E704E76A}.tap" SUCCEEDED  
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=8
netsh interface ip set interface 8 metric=1
OK.
netsh interface ip set address 8 static 10.8.0.6 255.255.255.252 gateway=10.8.0.5 store=active
IPHelper: add route 10.8.0.1/32 8 10.8.0.5 metric=-1
netsh interface ip add route vpn.server.ipv4.adresse/32 14 192.168.2.1 store=active
Das Objekt ist bereits vorhanden.
netsh interface ip add route 0.0.0.0/1 8 10.8.0.5 store=active
OK.
netsh interface ip add route 128.0.0.0/1 8 10.8.0.5 store=active
OK.
netsh interface ip set dnsservers 8 static vserver.dns1.ipv4.addr register=primary validate=no
netsh interface ip add dnsservers 8 vserver.dns2.ipv4.addr 2 validate=no
NRPT::ActionCreate names=[.] dns_servers=[vserver.dns1.ipv4.addr,vserver.dns2.ipv4.addr]
ActionWFP openvpn_app_path=C:\Program Files\OpenVPN Connect\OpenVPNConnect.exe tap_index=8 enable=1
permit IPv4 DNS requests from OpenVPN app
permit IPv6 DNS requests from OpenVPN app
block IPv4 DNS requests from other apps
block IPv6 DNS requests from other apps
allow IPv4 traffic from TAP
allow IPv6 traffic from TAP
ipconfig /flushdns
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
TAP: ARP flush succeeded
TAP handle: 2c0c000000000000
⏎[Apr 15, 2024, 15:12:04] Connected via TUN_WIN
⏎[Apr 15, 2024, 15:12:04] EVENT: CONNECTED vpn.server.ipv4.adresse:1194 (vpn.server.ipv4.adresse) via /UDPv4 on TUN_WIN/10.8.0.6/ gw=[10.8.0.5/]⏎[Apr 15, 2024, 16:12:03] Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
⏎[Apr 15, 2024, 16:12:03] Creds: UsernameEmpty/PasswordEmpty
⏎[Apr 15, 2024, 16:12:03] Peer Info:
IV_VER=3.git::d3f8b18b
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.4-2600
IV_SSO=webauth,openurl,crtext

⏎[Apr 15, 2024, 16:12:03] SSL Handshake: peer certificate: CN=vpn.example.de, 2048 bit RSA, cipher: TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD

⏎[Apr 15, 2024, 17:12:03] Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
⏎[Apr 15, 2024, 17:12:03] Creds: UsernameEmpty/PasswordEmpty
⏎[Apr 15, 2024, 17:12:03] Peer Info:
IV_VER=3.git::d3f8b18b
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.4-2600
IV_SSO=webauth,openurl,crtext

⏎[Apr 15, 2024, 17:12:03] SSL Handshake: peer certificate: CN=vpn.example.de, 2048 bit RSA, cipher: TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD

⏎

Ich habe weder auf dem Server, seit das Problem besteht, etwas verändert noch an meinem Client.

Eine tracepath im WSL liefert folgendes:
 1?: [LOCALHOST]                      pmtu 1492
 1:  DESKTOP-E393S3S.mshome.net                            0.220ms
 1:  DESKTOP-E393S3S.mshome.net                            0.228ms
 2:  10.8.0.1                                             12.870ms
 3:  xx.xx.188.1                                          12.489ms
 4:  192.168.143.254                                      13.279ms
 5:  10.13.88.190                                         13.233ms
 6:  10.13.88.64                                          13.168ms
 7:  10.13.95.82                                          13.311ms
 8:  10.73.41.16                                          13.572ms
 9:  10.73.249.66                                         17.458ms
10:  fra-fr5-sbb1-nc5.de.eu                               15.446ms
11:  10.200.0.31                                          14.992ms
Wobei "3:" die IPv4 meines vservers ist.

Ohne aktives VPN krieg ich bei ner Seite die mit VPN funktionieren sollte ne Zert-Warnung im FF von notice.cuii.info.
Mit aktivem wird die Seite angezeigt aber streams funktionieren nicht da die Seite meint "ich bräuchte ein VPN weil die aus DE gesperrt ist".


Was ist an dem "speedport.ip" auszusetzen? Bin nur ich allein in meinem LAN zuhause, niemand sonst.
bloodstix
bloodstix 15.04.2024 um 17:42:17 Uhr
Goto Top
Hab mir die Logs und die tracepath etc leider bisher nicht angeschaut, weils genau das tat was ich wollte. Daher kann ich da leider nicht erkennen was vllt. jetzt anders/falsch ist.
12168552861
12168552861 15.04.2024 aktualisiert um 18:06:01 Uhr
Goto Top
Naja was erwartest du, du hast OpenVPN nur für IPv4 konfiguriert, also kann aus Prinzip kein IPv6 Traffic über den vServer laufen. Das erklärt auch die Ausgabe der IPv6-Adresse aus dem Prefix welches dir von deinem Internetprovider zugewiesen wurde.
  • Wer stellt denn die OpenVPN Verbindung in deinem Netzwerk zum vServer her?
  • Wenn nicht das GW, ist das Policy-Routing auf dem GW richtig konfiguriert?
  • SRCNAT(MASQUERADING) am WAN auf dem vServer noch korrekt konfiguriert?
  • FORWARDING am vServer noch aktiviert
  • Firewall am vServer erlaubt das Forwarding in der Forward Chain für die Netze?
  • Wir kennen deinen Netzaufbau hier nicht, also kleine Zeichnung mit entsprechenden Netzen, Adressierung etc. pp
  • Fragen über Fragen ...
bloodstix
Lösung bloodstix 15.04.2024 um 18:17:38 Uhr
Goto Top
Ok das mit wieistmeineip.de hat sich geklärt. Das war nach einem Neustart von Firefox behoben, so dass die IPv4 vom vserver angezeigt wird. Jedoch auch meine Provider-IPv6. Da hät ich ja nicht gedacht das Firefox das routing quasi "cached" und sich am VPN vorbeimogelt wenns nicht aktiv war als FF gestartet wurde.

Ja das Masquerading und Forwarding ist alles korrekt konfiguriert. Aktuell betrifft es auch nur eine Seite die "halb" funktioniert mit VPN. Das ist ein ganz simples Szenario. Mein PC selbst hat den openvpn-Client und baut die Connection auf. Mein Router isn speedport von der Tkom. Da gibts nicht viel richtung routing usw zu konfigurieren ;/.

Das VPN hab ich eingerichtet weil ich in ner Einrichtung war wo man zwar WLAN nutzen durfte aber ne sofos alles geblockt hat was denen nicht passt. Hat dann mitm VPN sauber funktioniert. Und hier zuhause auch bis vor ein paar Tagen.

Die besagte Seite empfiehlt NordVPN, was natürlich nach 30 Tagen kostet und ich nicht weiss was die wirklich mitlesen. Deshalb nutze ich openVPN mit meiner eigenen Gegenstelle in FR.
Kann natürlich auch sein das die jetzt ein Deal oder so mit NordVPN haben und da irgendwie Provision kriegen und somit alles Filtern was nicht von NordVPN-IPs kommt.
aqui
aqui 15.04.2024 um 23:07:15 Uhr
Goto Top
Die besagte Seite empfiehlt NordVPN
Vom Regen in die Traufe... Kann man nur dringenst abraten. Bei allen diesen dubiosen öffentlichen VPN Providern gilt: Finger weg wenn dir die Datensicherheit etwas wert ist.
Was haltet ihr von VPN?
bloodstix
bloodstix 15.04.2024 um 23:40:05 Uhr
Goto Top
Ja aqui, eben drum will ich gerne herausfinden wieso mein openVPN plötzlich nicht mehr funktioniert wie es das 3 Jahre lang getan hat bis vor ein paar Tagen.
12168552861
Lösung 12168552861 16.04.2024 aktualisiert um 07:42:58 Uhr
Goto Top
Zitat von @bloodstix:

Ja aqui, eben drum will ich gerne herausfinden wieso mein openVPN plötzlich nicht mehr funktioniert

Wieso sollte sie nicht funktionieren ? Du schreibst doch selbst:
Das war nach einem Neustart von Firefox behoben, so dass die IPv4 vom vserver angezeigt wird
Ergo muss die VPN-Verbindung ja stehen 🙃.

IPv6 kann bei dir wie schon gesagt aus Prinzip nicht über den Tunnel weil du auf dem Tunnel kein IPv6 eingerichtet hast!
Wenn du es nicht nutzt deaktiviere die IPv6 Bindung auf der NIC zum Speedport gänzlich, sonst hat dein Rechner einen Bypass über V6 über deinen Provider, oder richte IPv6 auf dem OpenVPN Tunnel korrekt ein und danach auch dort ein IPv6 Gateway Redirect und am vServer ein SRC-NAT auf dessen öffentliche IPv6 am WAN falls du kein extra Subnetz gestellt bekommst.

Wieso überhaupt noch das lahme OpenVPN nutzen? IPSec IKEv2 oder Wireguard ist um längen effizienter schneller und Ressourcen sparender.
bloodstix
bloodstix 16.04.2024 um 07:43:50 Uhr
Goto Top
Ok, ich versuch erstmal das zu deaktivieren. Mal gucken was dann alles wieder geht oder nicht geht .. war eigentlich der Ansicht ich hab das schon deaktiviert, aber war nicht so.
aqui
Lösung aqui 16.04.2024 aktualisiert um 13:02:18 Uhr
Goto Top
wieso mein openVPN plötzlich nicht mehr funktioniert wie es das 3 Jahre lang getan
Vielleicht auch einmal Zeit sich Gedanken zu machen ggf. das Protokoll zu wechseln anstatt am in die Jahre gekommenen OVPN zu kleben. Kollege @12168552861 hat es ja schon treffend gesagt: Nicht nur erspart das ggf. die Client Frickelei sondern auch vom Durchsatz her sind andere um Welten besser...
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Merkzettel: VPN Installation mit Wireguard
bloodstix
bloodstix 16.04.2024 um 13:29:36 Uhr
Goto Top
Der durchsatz reicht mir eigentlich. Aber danke für den Tip. Schau ich mir mal an wenn ich Laune drauf hab face-smile
Leider aber auch mit geblocktem ivp6 selbes Ergebnis. Wird wohl an der Seite liegen. Man kann da 100% Werbung blocken. Rentiert sich wohl nicht.
9697748851
9697748851 16.04.2024 um 14:18:34 Uhr
Goto Top
Man kann da 100% Werbung blocken
??? ublock?

Gruß
bloodstix
bloodstix 16.04.2024 aktualisiert um 14:23:49 Uhr
Goto Top
u.a. und noscript .. dauert beim 1. mal bis man die scripts rausfindet von den 40-50 die die seite sonst laden würde, sonst aber immer nur zw. 5-10
Egal ich schiebs jetzt mal auf die Streamseite. .. Danke trotzdem für Eure Hilfe
9697748851
9697748851 16.04.2024 um 14:25:10 Uhr
Goto Top
Ich habe keine Ahnung wovon Du sprichst. Mit VPN hat das aber nichts mehr zutun. 0o

Das war nach einem Neustart von Firefox behoben
Bitte: das nächste Mal solche Themen vorab prüfen. Haufen Zeit für ein Layer8 Problem investiert. Wir sind hier ein Adminforum, nicht ein "hast Du schon mal einen reboot probiert?"-Forum. Und als Fachinformatiker .. mit Level 2 .. sollte das nicht passieren. Ärgert mich etwas, darum bin ich auch hier raus.
bloodstix
Lösung bloodstix 18.04.2024 um 15:13:17 Uhr
Goto Top
Tut mir leid dich in deiner professionalität gestört zu haben. Ich nutze Firefox seit Jahren und so ein verhalten ist mir noch nicht untergekommen, deshalb verzeihung wenn das nicht mein erster Anlaufpunkt war.

Fuktionieren tut es trotzdem weiterhin bei der einen Seite nicht von daher schieb ich das jetzt mal auf "machenschaften" des Betreibers.

Danke trotzdem für alle Antworten.

Grüße
bloody
aqui
aqui 18.04.2024 aktualisiert um 16:02:08 Uhr
Goto Top
Ggf. eine hilfreiche Lektüre sofern du bei dem VPN Protokoll bleiben willst:
https://www.heise.de/select/ct/2018/13/1529374309620058