OpenVPN läuft nicht über iOS Hotspot
Hallo Admins,
ich habe ein etwas vertracktes Netzwerk-Problem:
- auf einem Notebook (Windows10 Pro 64bit) läuft OpenVPN (Anwendung über eine GUI), mit dem sich ein Kunde von außen in sein Firmennetz einwählt
- Gegenstelle zum OpenVPN ist am Server gestartet, auf den sich der Kunde einwählt
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- in Kunden-Firewall und am Server sind beide Ports freigegeben
- mit Notebook an beliebigem Ethernet-Kabel oder WLAN mit Internet-Anschluss kann OpenVPN-Verbindung aufgebaut werden
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht! (Beim Aufbau bekommt Client-GUI des OpenVPN immer Timeout-Meldung)
Ich habe nun schon verschiedene iOS-Geräte (iPad und iPhone), verschiedene Versionen (iOS 9.x, iOS 10.x) und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
Viele Grüße,
Sinzal
ich habe ein etwas vertracktes Netzwerk-Problem:
- auf einem Notebook (Windows10 Pro 64bit) läuft OpenVPN (Anwendung über eine GUI), mit dem sich ein Kunde von außen in sein Firmennetz einwählt
- Gegenstelle zum OpenVPN ist am Server gestartet, auf den sich der Kunde einwählt
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- in Kunden-Firewall und am Server sind beide Ports freigegeben
- mit Notebook an beliebigem Ethernet-Kabel oder WLAN mit Internet-Anschluss kann OpenVPN-Verbindung aufgebaut werden
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht! (Beim Aufbau bekommt Client-GUI des OpenVPN immer Timeout-Meldung)
Ich habe nun schon verschiedene iOS-Geräte (iPad und iPhone), verschiedene Versionen (iOS 9.x, iOS 10.x) und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
Viele Grüße,
Sinzal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378238
Url: https://administrator.de/contentid/378238
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Sinzal:
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
Sicherlich nur ein Schreibfehler hier im Forum. Ports gehen nur bis 65535 bei TCP und bei UDP.- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht!
Und die Hotspots sind dem Notebook bekannt und auch nutzbar?und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Und dieses Anbieter erlauben auch die genutzten Ports oder haben diese einschränkungen?Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft doch wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.Gruß,
Peter
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft dich wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.Gruß,
Peter
Es könnte auch sein, das IOS die hohen Ports nicht durch den HotSpot schiebt. Probier mal 443 wenn es ohne diesen läuft.
Vielleicht sollte der TO mal etwas Grundlagen zum TCP/IP Protokoll Standard lesen:
https://de.wikipedia.org/wiki/Port_(Protokoll)
Thema: Gültige Portnummern sind 0 bis 65535 !!!
Wie sollte das also funktionieren wenn man Portnummern außerhalb des im Standard spezifizierten Bereiches nutzt ?
Das muss also scheitern wie sich jeder denken kann !
Im OpenVPN Log steht dann auch entsprechendes aber vermutlich hat der TO da nichtmal reingesehen ?!
Sinnvoll ist es wenn, dann hier Ports aus dem dafür von der IANA empfohlenen Ephemeral Portbereich 49152 bis 65535 zu verwenden !
Wie z.B. 51194 in Anlehnung an den Default Port von OpenVPN.
Dann wird das auch sofort klappen !
https://de.wikipedia.org/wiki/Port_(Protokoll)
Thema: Gültige Portnummern sind 0 bis 65535 !!!
Wie sollte das also funktionieren wenn man Portnummern außerhalb des im Standard spezifizierten Bereiches nutzt ?
Das muss also scheitern wie sich jeder denken kann !
Im OpenVPN Log steht dann auch entsprechendes aber vermutlich hat der TO da nichtmal reingesehen ?!
Sinnvoll ist es wenn, dann hier Ports aus dem dafür von der IANA empfohlenen Ephemeral Portbereich 49152 bis 65535 zu verwenden !
Wie z.B. 51194 in Anlehnung an den Default Port von OpenVPN.
Dann wird das auch sofort klappen !
Hallo,
Scheint es aber nicht wenn man dem TO glauben darf den sein
sagt es ja das der OpenVPN Server wohl doch reagiert.
Gruß,
Peter
Scheint es aber nicht wenn man dem TO glauben darf den sein
Bei Anschluss ans LAN-Kabel geht alles wieder.
Gruß,
Peter
Wäre ja technisch unmöglich, denn diese UDP Ports gibt es ja gar nicht.
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Auszug aus der Server oder Client Konfig könnte das sicher klären aber dazu hats bei ihm ja leider auch nicht gereicht..
Übrigens ein schneller lokaler Test mit iOS Ver. 11.4 2 RasPi's und OpenVPN mit UDP 51194 verlief wie erwartet erfolgreich. Klappt also.
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Auszug aus der Server oder Client Konfig könnte das sicher klären aber dazu hats bei ihm ja leider auch nicht gereicht..
Übrigens ein schneller lokaler Test mit iOS Ver. 11.4 2 RasPi's und OpenVPN mit UDP 51194 verlief wie erwartet erfolgreich. Klappt also.
Hallo aqui,
Und auch nicht als TCP Ports
Gruß,
Peter
Und auch nicht als TCP Ports
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Ackverlief wie erwartet erfolgreich. Klappt also.
Hat er ja schon festgestellt wenn er ein LAN-Kabel nimmt ...Gruß,
Peter
Hallo,
Dein Problem hat nichts mit den Ports zu tun. Per LAN geht es doch wie du selber sagst. Dein WLAN / Hotspot ist eher deine Problemzone...
Gruß,
Peter
Dein Problem hat nichts mit den Ports zu tun. Per LAN geht es doch wie du selber sagst. Dein WLAN / Hotspot ist eher deine Problemzone...
Gruß,
Peter
Zitat von @Sinzal:
Hallo Leute,
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
Hallo Leute,
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
Probier lieber testweise 443 um die Portthematik zu eruieren. Hier zu kannst du TCP nutzen. Lässt sich alles in OpenVPN locker konfigurieren.
Wenn es dann nicht geht liegt das Problem nicht am Hotspot.
Was hier sehr verwirrend ist: Warum zwei Portnummern ???
Normal benötigt OVPN nur eine einzige und die muss logischerweise konstant sein zw. Server und Client ! Solltest du Server und Client auf unterschiedlichen Portnummern betreiben wäre es klar warum ein Tunnelaufbau sofort scheitern muss.
Ein Test hier wie gesagt mit UDP 51194 auf Server und Client und auch testweise mal UDP 443 bei beiden funktionierte fehlerfrei zw. 2 RasPi's über den Apple Hotspot. Wäre auch sehr verwunderlich wenn nicht.
Und vor allem ein Log Auszug des Servers und des Clients beim Verbindungsaufbau wäre auch sehr hilfreich hier zum Troubleshooting !!
Normal benötigt OVPN nur eine einzige und die muss logischerweise konstant sein zw. Server und Client ! Solltest du Server und Client auf unterschiedlichen Portnummern betreiben wäre es klar warum ein Tunnelaufbau sofort scheitern muss.
Ein Test hier wie gesagt mit UDP 51194 auf Server und Client und auch testweise mal UDP 443 bei beiden funktionierte fehlerfrei zw. 2 RasPi's über den Apple Hotspot. Wäre auch sehr verwunderlich wenn nicht.
Und vor allem ein Log Auszug des Servers und des Clients beim Verbindungsaufbau wäre auch sehr hilfreich hier zum Troubleshooting !!
Hallo,
Nö, dein Client versucht gegen 13:45 bis 13:50 und dein Serevr zeigt uns Einträge von 13:37 only an. Oder war das Log von später aber nichts steht drin?
Schmeiß dir dein Wireshark an und geh es im einzelnen punkt für punkt durch wer was macht und wo es nicht mehr geht. VPN ist auch nur eine 2 wege Kommunikation so wie jetzt hier. Ich tippe auf nach wie vor auf dein Hotspot...
http://www.gilles-bertrand.com/2016/07/iphoneappwebtrafficcaptureproxym ...
https://www.quora.com/Is-there-something-like-Wireshark-or-a-terminal-ap ...
https://medium.com/@MikeFurtak/go-deep-on-ios-packet-analysis-6a7542eeff ...
https://osqa-ask.wireshark.org/questions/10010/can-wireshark-be-installe ...
Und sicher das die ISPs nichts blockieren (obwohl UDP 443 frei sein sollte)?
Gruß,
Peter
Nö, dein Client versucht gegen 13:45 bis 13:50 und dein Serevr zeigt uns Einträge von 13:37 only an. Oder war das Log von später aber nichts steht drin?
Schmeiß dir dein Wireshark an und geh es im einzelnen punkt für punkt durch wer was macht und wo es nicht mehr geht. VPN ist auch nur eine 2 wege Kommunikation so wie jetzt hier. Ich tippe auf nach wie vor auf dein Hotspot...
http://www.gilles-bertrand.com/2016/07/iphoneappwebtrafficcaptureproxym ...
https://www.quora.com/Is-there-something-like-Wireshark-or-a-terminal-ap ...
https://medium.com/@MikeFurtak/go-deep-on-ios-packet-analysis-6a7542eeff ...
https://osqa-ask.wireshark.org/questions/10010/can-wireshark-be-installe ...
Und sicher das die ISPs nichts blockieren (obwohl UDP 443 frei sein sollte)?
Gruß,
Peter
Lass doch einfach mal den ganzen (sinnfreien) Kasperkram mit den Ports weg und mache eine stinknormale OVPN Standard Konfig wie z.B. hier:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client analog passend dazu.
So war der Labor Aufbau hier auf den RasPis und das hat fehlerlos geklappt über den Hotspot.
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client analog passend dazu.
So war der Labor Aufbau hier auf den RasPis und das hat fehlerlos geklappt über den Hotspot.
Typischer OpenVPN Konfig Fehler an dem es dann letztlich gescheitert ist. Schade...aber egal.
Damit so etwas nicht mehr passiert gibt es mittlerweile ein OpenVPN Tutorial hier im Forum mit dem auch VPN Anfänger sofort klar kommen:
Merkzettel: VPN Installation mit OpenVPN
Case closed !
Damit so etwas nicht mehr passiert gibt es mittlerweile ein OpenVPN Tutorial hier im Forum mit dem auch VPN Anfänger sofort klar kommen:
Merkzettel: VPN Installation mit OpenVPN
Case closed !