sinzal
Goto Top

OpenVPN läuft nicht über iOS Hotspot

Hallo Admins,

ich habe ein etwas vertracktes Netzwerk-Problem:
- auf einem Notebook (Windows10 Pro 64bit) läuft OpenVPN (Anwendung über eine GUI), mit dem sich ein Kunde von außen in sein Firmennetz einwählt
- Gegenstelle zum OpenVPN ist am Server gestartet, auf den sich der Kunde einwählt
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- in Kunden-Firewall und am Server sind beide Ports freigegeben
- mit Notebook an beliebigem Ethernet-Kabel oder WLAN mit Internet-Anschluss kann OpenVPN-Verbindung aufgebaut werden
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht! (Beim Aufbau bekommt Client-GUI des OpenVPN immer Timeout-Meldung)
Ich habe nun schon verschiedene iOS-Geräte (iPad und iPhone), verschiedene Versionen (iOS 9.x, iOS 10.x) und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?

Viele Grüße,
Sinzal

Content-ID: 378238

Url: https://administrator.de/contentid/378238

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

Pjordorf
Pjordorf 26.06.2018, aktualisiert am 27.06.2018 um 09:53:03 Uhr
Goto Top
Hallo,

Zitat von @Sinzal:
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
Sicherlich nur ein Schreibfehler hier im Forum. Ports gehen nur bis 65535 bei TCP und bei UDP.

- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht!
Und die Hotspots sind dem Notebook bekannt und auch nutzbar?

und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Und dieses Anbieter erlauben auch die genutzten Ports oder haben diese einschränkungen?

Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft doch wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.

Gruß,
Peter
Spirit-of-Eli
Spirit-of-Eli 26.06.2018 um 23:09:43 Uhr
Goto Top
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft dich wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.

Gruß,
Peter

Es könnte auch sein, das IOS die hohen Ports nicht durch den HotSpot schiebt. Probier mal 443 wenn es ohne diesen läuft.
aqui
aqui 27.06.2018 aktualisiert um 11:51:38 Uhr
Goto Top
Vielleicht sollte der TO mal etwas Grundlagen zum TCP/IP Protokoll Standard lesen:
https://de.wikipedia.org/wiki/Port_(Protokoll)
Thema: Gültige Portnummern sind 0 bis 65535 !!!
Wie sollte das also funktionieren wenn man Portnummern außerhalb des im Standard spezifizierten Bereiches nutzt ?
Das muss also scheitern wie sich jeder denken kann !
Im OpenVPN Log steht dann auch entsprechendes aber vermutlich hat der TO da nichtmal reingesehen ?! face-sad

Sinnvoll ist es wenn, dann hier Ports aus dem dafür von der IANA empfohlenen Ephemeral Portbereich 49152 bis 65535 zu verwenden !
Wie z.B. 51194 in Anlehnung an den Default Port von OpenVPN.
Dann wird das auch sofort klappen !
Pjordorf
Pjordorf 27.06.2018 um 12:36:11 Uhr
Goto Top
Hallo,

Zitat von @aqui:
Das muss also scheitern wie sich jeder denken kann !
Scheint es aber nicht wenn man dem TO glauben darf den sein
Bei Anschluss ans LAN-Kabel geht alles wieder.
sagt es ja das der OpenVPN Server wohl doch reagiert.

Gruß,
Peter
aqui
aqui 27.06.2018 aktualisiert um 13:02:16 Uhr
Goto Top
Wäre ja technisch unmöglich, denn diese UDP Ports gibt es ja gar nicht.
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Auszug aus der Server oder Client Konfig könnte das sicher klären aber dazu hats bei ihm ja leider auch nicht gereicht.. face-sad

Übrigens ein schneller lokaler Test mit iOS Ver. 11.4 2 RasPi's und OpenVPN mit UDP 51194 verlief wie erwartet erfolgreich. Klappt also.
Pjordorf
Pjordorf 27.06.2018 um 13:05:55 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
Wäre ja technisch unmöglich, denn diese UDP Ports gibt es ja gar nicht.
Und auch nicht als TCP Ports face-smile

Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Ack

verlief wie erwartet erfolgreich. Klappt also.
Hat er ja schon festgestellt wenn er ein LAN-Kabel nimmt ...

Gruß,
Peter
aqui
aqui 27.06.2018 um 13:44:46 Uhr
Goto Top
Wurde mit dem RasPi Client via WLAN getestet !
Nur der OVPN Server war in einem anderen IP Netz hinter NAT und Firewall angeschlossen.
Das sollte dann genau dem Szenario des TO entsprechen.
Sinzal
Sinzal 27.06.2018 um 14:31:20 Uhr
Goto Top
Hallo Leute,

sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.

Viele Grüße,
Sinzal
Pjordorf
Pjordorf 27.06.2018 um 14:39:42 Uhr
Goto Top
Hallo,

Zitat von @Sinzal:
umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Dein Problem hat nichts mit den Ports zu tun. Per LAN geht es doch wie du selber sagst. Dein WLAN / Hotspot ist eher deine Problemzone...

Gruß,
Peter
Spirit-of-Eli
Spirit-of-Eli 27.06.2018 um 14:50:17 Uhr
Goto Top
Zitat von @Sinzal:

Hallo Leute,

sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.

Viele Grüße,
Sinzal

Probier lieber testweise 443 um die Portthematik zu eruieren. Hier zu kannst du TCP nutzen. Lässt sich alles in OpenVPN locker konfigurieren.

Wenn es dann nicht geht liegt das Problem nicht am Hotspot.
aqui
aqui 28.06.2018 um 09:41:42 Uhr
Goto Top
Was hier sehr verwirrend ist: Warum zwei Portnummern ???
Normal benötigt OVPN nur eine einzige und die muss logischerweise konstant sein zw. Server und Client ! Solltest du Server und Client auf unterschiedlichen Portnummern betreiben wäre es klar warum ein Tunnelaufbau sofort scheitern muss.
Ein Test hier wie gesagt mit UDP 51194 auf Server und Client und auch testweise mal UDP 443 bei beiden funktionierte fehlerfrei zw. 2 RasPi's über den Apple Hotspot. Wäre auch sehr verwunderlich wenn nicht.

Und vor allem ein Log Auszug des Servers und des Clients beim Verbindungsaufbau wäre auch sehr hilfreich hier zum Troubleshooting !!
Sinzal
Sinzal 28.06.2018 um 13:45:02 Uhr
Goto Top
Hallo Leute,

ich habe folgende Konfigurationen für die Openvpn-Verbindungen:
1. Client:
; Client-ovpn-Datei
dev tun3
;proto tcp-client
remote firmaXY.spdns.org
float
ifconfig 10.0.0.2 10.0.0.1    # local addr. - remote addr.
lport 62003                   # local port
rport 62004                   # remote port
comp-lzo
secret firmaXY_key.txt
route 192.168.xy.0 255.255.255.0 10.0.0.1
# timeouts
ping   15
ping-restart  300             # 5 minutes
resolv-retry  300             # 5 minutes
persist-tun
persist-key
# route-method exe
# route-delay 2

2. Server:
; Client-ovpn-Datei
dev tun3
;proto tcp-server
;remote firmaXY.spdns.org
float
ifconfig 10.0.0.1 10.0.0.2    # local addr. - remote addr.
lport 62004                   # local port
rport 62003                   # remote port
comp-lzo
secret firmaXY_key.txt
route 192.168.xy.0 255.255.255.0 10.0.0.2
# timeouts
ping   15
ping-restart  300             # 5 minutes
resolv-retry  300             # 5 minutes
persist-tun
persist-key

Hierbei habe ich auch beide Ports (62003 und 62004) schon als 51194 eingetragen (gleichzeitig). Ebenso habe ich statt UDP schon TCP benutzt (Zeile proto... aus Kommentar nehmen). Hat alles nicht funktioniert. Log kommt gleich noch.

Viele Grüße,
Sinzal
Sinzal
Sinzal 28.06.2018 um 13:56:25 Uhr
Goto Top
Hallo Leute,

hier ist das (um die IP-Adresse anonymisierte) Protokoll des Client bei der (missglückten) Anwahl:

Thu Jun 28 13:45:48 2018 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Thu Jun 28 13:45:48 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables  
Thu Jun 28 13:45:48 2018 LZO compression initialized
Thu Jun 28 13:45:48 2018 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{314188E9-CBD3-4226-90C6-4DAEFA6C0BC1}.tap
Thu Jun 28 13:45:48 2018 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.252 on interface {314188E9-CBD3-4226-90C6-4DAEFA6C0BC1} [DHCP-serv: 10.0.0.1, lease-time: 31536000]
Thu Jun 28 13:45:48 2018 Successful ARP Flush on interface [19] {314188E9-CBD3-4226-90C6-4DAEFA6C0BC1}
Thu Jun 28 13:45:48 2018 UDPv4 link local (bound): [undef]:63003
Thu Jun 28 13:45:48 2018 UDPv4 link remote: xx.yy.zz.tt:63004
Thu Jun 28 13:50:48 2018 Inactivity timeout (--ping-restart), restarting
Thu Jun 28 13:50:48 2018 SIGUSR1[soft,ping-restart] received, process restarting
Thu Jun 28 13:50:50 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables  
Thu Jun 28 13:50:50 2018 Re-using pre-shared static key
Thu Jun 28 13:50:50 2018 LZO compression initialized
Thu Jun 28 13:50:51 2018 Preserving previous TUN/TAP instance: LAN-Verbindung
Thu Jun 28 13:50:51 2018 UDPv4 link local (bound): [undef]:63003
Thu Jun 28 13:50:51 2018 UDPv4 link remote: xx.yy.zz.tt:63004

Außer dass die Verbindung aufgrund von Timeouts abbricht, sehe ich gerade keinen Hinweis darin.

Viele Grüße,
Sinzal
Sinzal
Sinzal 28.06.2018 um 14:05:35 Uhr
Goto Top
Hallo Admins,

hier ist Teil 3, das Log vom Server während des Verbindungsversuchs:

Thu Jun 28 13:37:51 2018 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Thu Jun 28 13:37:51 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables  
Thu Jun 28 13:37:51 2018 LZO compression initialized
Thu Jun 28 13:37:51 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16}.tap
Thu Jun 28 13:37:51 2018 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.1/255.255.255.252 on interface {4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Thu Jun 28 13:37:51 2018 Successful ARP Flush on interface [8] {4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16}
Thu Jun 28 13:37:51 2018 UDPv4 link local (bound): [undef]:63004
Thu Jun 28 13:37:51 2018 UDPv4 link remote: [undef]

Der Server scheint vom Verbindungsversuch gar nix mitzukriegen.

Viele Grüße,
Sinzal
Pjordorf
Pjordorf 28.06.2018 um 14:34:16 Uhr
Goto Top
Hallo,

Zitat von @Sinzal:
hier ist Teil 3, das Log vom Server während des Verbindungsversuchs:
Nö, dein Client versucht gegen 13:45 bis 13:50 und dein Serevr zeigt uns Einträge von 13:37 only an. Oder war das Log von später aber nichts steht drin?
Schmeiß dir dein Wireshark an und geh es im einzelnen punkt für punkt durch wer was macht und wo es nicht mehr geht. VPN ist auch nur eine 2 wege Kommunikation so wie jetzt hier. Ich tippe auf nach wie vor auf dein Hotspot...

http://www.gilles-bertrand.com/2016/07/iphoneappwebtrafficcaptureproxym ...
https://www.quora.com/Is-there-something-like-Wireshark-or-a-terminal-ap ...
https://medium.com/@MikeFurtak/go-deep-on-ios-packet-analysis-6a7542eeff ...
https://osqa-ask.wireshark.org/questions/10010/can-wireshark-be-installe ...

Und sicher das die ISPs nichts blockieren (obwohl UDP 443 frei sein sollte)?

Gruß,
Peter
aqui
aqui 28.06.2018 um 20:53:31 Uhr
Goto Top
Lass doch einfach mal den ganzen (sinnfreien) Kasperkram mit den Ports weg und mache eine stinknormale OVPN Standard Konfig wie z.B. hier:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Client analog passend dazu.
So war der Labor Aufbau hier auf den RasPis und das hat fehlerlos geklappt über den Hotspot.
Sinzal
Sinzal 13.01.2021 um 09:55:16 Uhr
Goto Top
Hallo Admins,

es ist zwar schon eine Weile her, aber ich wollte trotzdem noch eine kurze Rückmeldung hinterlassen.
Trotz der vielen Hinweise von Euch (vielen, vielen Dank dafür) habe ich das Problem mit OpenVPN leider nicht lösen können.
Letztlich ist dann eine Lösung über LancomVPN realisiert worden. Der Kunde hat sich dafür einen Lancom-Router geleistet, auf den er von außen zugreift. Diese Verbindung funktioniert ohne Probleme über den Hotspot des iPhones.

Viele Grüße,
Sinzal
aqui
aqui 13.01.2021 aktualisiert um 10:11:45 Uhr
Goto Top
Typischer OpenVPN Konfig Fehler an dem es dann letztlich gescheitert ist. Schade...aber egal.
Damit so etwas nicht mehr passiert gibt es mittlerweile ein OpenVPN Tutorial hier im Forum mit dem auch VPN Anfänger sofort klar kommen:
Merkzettel: VPN Installation mit OpenVPN

Case closed !