18
OpenVPN läuft nicht über iOS Hotspot
Hallo Admins,
ich habe ein etwas vertracktes Netzwerk-Problem:
- auf einem Notebook (Windows10 Pro 64bit) läuft OpenVPN (Anwendung über eine GUI), mit dem sich ein Kunde von außen in sein Firmennetz einwählt
- Gegenstelle zum OpenVPN ist am Server gestartet, auf den sich der Kunde einwählt
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- in Kunden-Firewall und am Server sind beide Ports freigegeben
- mit Notebook an beliebigem Ethernet-Kabel oder WLAN mit Internet-Anschluss kann OpenVPN-Verbindung aufgebaut werden
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht! (Beim Aufbau bekommt Client-GUI des OpenVPN immer Timeout-Meldung)
Ich habe nun schon verschiedene iOS-Geräte (iPad und iPhone), verschiedene Versionen (iOS 9.x, iOS 10.x) und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
Viele Grüße,
Sinzal
ich habe ein etwas vertracktes Netzwerk-Problem:
- auf einem Notebook (Windows10 Pro 64bit) läuft OpenVPN (Anwendung über eine GUI), mit dem sich ein Kunde von außen in sein Firmennetz einwählt
- Gegenstelle zum OpenVPN ist am Server gestartet, auf den sich der Kunde einwählt
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- in Kunden-Firewall und am Server sind beide Ports freigegeben
- mit Notebook an beliebigem Ethernet-Kabel oder WLAN mit Internet-Anschluss kann OpenVPN-Verbindung aufgebaut werden
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht! (Beim Aufbau bekommt Client-GUI des OpenVPN immer Timeout-Meldung)
Ich habe nun schon verschiedene iOS-Geräte (iPad und iPhone), verschiedene Versionen (iOS 9.x, iOS 10.x) und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
Viele Grüße,
Sinzal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378238
Url: https://administrator.de/contentid/378238
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Sinzal:
- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
Sicherlich nur ein Schreibfehler hier im Forum. Ports gehen nur bis 65535 bei TCP und bei UDP.- OpenVPN läuft nicht über Port 1194 bzw. 1195, sondern über selbst gewählten Port 69003 und 69004
- Kunde will OpenVPN aufbauen, wenn Internet über iPad oder iPhone als Hotspot genutzt wird -> dies funktioniert nicht!
Und die Hotspots sind dem Notebook bekannt und auch nutzbar?und verschiedene Mobilfunkanbieter (Vodafone, Telekom) ausprobiert, aber jedes Mal kann keine OpenVPN-Verbindung aufgebaut werden. Bei Anschluss ans LAN-Kabel geht alles wieder.
Und dieses Anbieter erlauben auch die genutzten Ports oder haben diese einschränkungen?Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft doch wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.Gruß,
Peter
Weiß jemand, ob und wie man bei iOS-GEräten erst Einstellungen vornehmen muss (z.B. Portfreigabe), bevor OpenVPN darüber läuft?
OpenVPN läuft dich wenn du ein Kabel (LAN) nutzt. Ergo ist das Problem nicht am Apfel gedöhns.Gruß,
Peter
Es könnte auch sein, das IOS die hohen Ports nicht durch den HotSpot schiebt. Probier mal 443 wenn es ohne diesen läuft.
Vielleicht sollte der TO mal etwas Grundlagen zum TCP/IP Protokoll Standard lesen:
https://de.wikipedia.org/wiki/Port_(Protokoll)
Thema: Gültige Portnummern sind 0 bis 65535 !!!
Wie sollte das also funktionieren wenn man Portnummern außerhalb des im Standard spezifizierten Bereiches nutzt ?
Das muss also scheitern wie sich jeder denken kann !
Im OpenVPN Log steht dann auch entsprechendes aber vermutlich hat der TO da nichtmal reingesehen ?!
Sinnvoll ist es wenn, dann hier Ports aus dem dafür von der IANA empfohlenen Ephemeral Portbereich 49152 bis 65535 zu verwenden !
Wie z.B. 51194 in Anlehnung an den Default Port von OpenVPN.
Dann wird das auch sofort klappen !
https://de.wikipedia.org/wiki/Port_(Protokoll)
Thema: Gültige Portnummern sind 0 bis 65535 !!!
Wie sollte das also funktionieren wenn man Portnummern außerhalb des im Standard spezifizierten Bereiches nutzt ?
Das muss also scheitern wie sich jeder denken kann !
Im OpenVPN Log steht dann auch entsprechendes aber vermutlich hat der TO da nichtmal reingesehen ?!
Sinnvoll ist es wenn, dann hier Ports aus dem dafür von der IANA empfohlenen Ephemeral Portbereich 49152 bis 65535 zu verwenden !
Wie z.B. 51194 in Anlehnung an den Default Port von OpenVPN.
Dann wird das auch sofort klappen !
Hallo,
Scheint es aber nicht wenn man dem TO glauben darf den sein
sagt es ja das der OpenVPN Server wohl doch reagiert.
Gruß,
Peter
Scheint es aber nicht wenn man dem TO glauben darf den sein
Bei Anschluss ans LAN-Kabel geht alles wieder.
Gruß,
Peter
Wäre ja technisch unmöglich, denn diese UDP Ports gibt es ja gar nicht.
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Auszug aus der Server oder Client Konfig könnte das sicher klären aber dazu hats bei ihm ja leider auch nicht gereicht..
Übrigens ein schneller lokaler Test mit iOS Ver. 11.4 2 RasPi's und OpenVPN mit UDP 51194 verlief wie erwartet erfolgreich. Klappt also.
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Auszug aus der Server oder Client Konfig könnte das sicher klären aber dazu hats bei ihm ja leider auch nicht gereicht..
Übrigens ein schneller lokaler Test mit iOS Ver. 11.4 2 RasPi's und OpenVPN mit UDP 51194 verlief wie erwartet erfolgreich. Klappt also.
Hallo aqui,
Und auch nicht als TCP Ports
Gruß,
Peter
Und auch nicht als TCP Ports
Entweder also er hat einen Tippfehler gemacht oder er vera.... uns alle hier.
Ackverlief wie erwartet erfolgreich. Klappt also.
Hat er ja schon festgestellt wenn er ein LAN-Kabel nimmt ...Gruß,
Peter
Wurde mit dem RasPi Client via WLAN getestet !
Nur der OVPN Server war in einem anderen IP Netz hinter NAT und Firewall angeschlossen.
Das sollte dann genau dem Szenario des TO entsprechen.
Nur der OVPN Server war in einem anderen IP Netz hinter NAT und Firewall angeschlossen.
Das sollte dann genau dem Szenario des TO entsprechen.
Hallo Leute,
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
Hallo,
Dein Problem hat nichts mit den Ports zu tun. Per LAN geht es doch wie du selber sagst. Dein WLAN / Hotspot ist eher deine Problemzone...
Gruß,
Peter
Dein Problem hat nichts mit den Ports zu tun. Per LAN geht es doch wie du selber sagst. Dein WLAN / Hotspot ist eher deine Problemzone...
Gruß,
Peter
Zitat von @Sinzal:
Hallo Leute,
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
Hallo Leute,
sorry, ihr habt recht, ich hatte die Port-Nummern aus'm Kopf geschrieben und einen Zahlendreher drin. Sind die Ports 62003 und 62004. Tut mir Leid. Ich versuche, die Konfig nochmal für UDP 51194 umzuschreiben und zu testen. Melde mich dann nochmal bei euch.
Viele Grüße,
Sinzal
Probier lieber testweise 443 um die Portthematik zu eruieren. Hier zu kannst du TCP nutzen. Lässt sich alles in OpenVPN locker konfigurieren.
Wenn es dann nicht geht liegt das Problem nicht am Hotspot.
Was hier sehr verwirrend ist: Warum zwei Portnummern ???
Normal benötigt OVPN nur eine einzige und die muss logischerweise konstant sein zw. Server und Client ! Solltest du Server und Client auf unterschiedlichen Portnummern betreiben wäre es klar warum ein Tunnelaufbau sofort scheitern muss.
Ein Test hier wie gesagt mit UDP 51194 auf Server und Client und auch testweise mal UDP 443 bei beiden funktionierte fehlerfrei zw. 2 RasPi's über den Apple Hotspot. Wäre auch sehr verwunderlich wenn nicht.
Und vor allem ein Log Auszug des Servers und des Clients beim Verbindungsaufbau wäre auch sehr hilfreich hier zum Troubleshooting !!
Normal benötigt OVPN nur eine einzige und die muss logischerweise konstant sein zw. Server und Client ! Solltest du Server und Client auf unterschiedlichen Portnummern betreiben wäre es klar warum ein Tunnelaufbau sofort scheitern muss.
Ein Test hier wie gesagt mit UDP 51194 auf Server und Client und auch testweise mal UDP 443 bei beiden funktionierte fehlerfrei zw. 2 RasPi's über den Apple Hotspot. Wäre auch sehr verwunderlich wenn nicht.
Und vor allem ein Log Auszug des Servers und des Clients beim Verbindungsaufbau wäre auch sehr hilfreich hier zum Troubleshooting !!
1
Hallo Leute,
ich habe folgende Konfigurationen für die Openvpn-Verbindungen:
1. Client:
2. Server:
Hierbei habe ich auch beide Ports (62003 und 62004) schon als 51194 eingetragen (gleichzeitig). Ebenso habe ich statt UDP schon TCP benutzt (Zeile proto... aus Kommentar nehmen). Hat alles nicht funktioniert. Log kommt gleich noch.
Viele Grüße,
Sinzal
ich habe folgende Konfigurationen für die Openvpn-Verbindungen:
1. Client:
; Client-ovpn-Datei
dev tun3
;proto tcp-client
remote firmaXY.spdns.org
float
ifconfig 10.0.0.2 10.0.0.1 # local addr. - remote addr.
lport 62003 # local port
rport 62004 # remote port
comp-lzo
secret firmaXY_key.txt
route 192.168.xy.0 255.255.255.0 10.0.0.1
# timeouts
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-key
# route-method exe
# route-delay 22. Server:
; Client-ovpn-Datei
dev tun3
;proto tcp-server
;remote firmaXY.spdns.org
float
ifconfig 10.0.0.1 10.0.0.2 # local addr. - remote addr.
lport 62004 # local port
rport 62003 # remote port
comp-lzo
secret firmaXY_key.txt
route 192.168.xy.0 255.255.255.0 10.0.0.2
# timeouts
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-keyHierbei habe ich auch beide Ports (62003 und 62004) schon als 51194 eingetragen (gleichzeitig). Ebenso habe ich statt UDP schon TCP benutzt (Zeile proto... aus Kommentar nehmen). Hat alles nicht funktioniert. Log kommt gleich noch.
Viele Grüße,
Sinzal
Hallo Leute,
hier ist das (um die IP-Adresse anonymisierte) Protokoll des Client bei der (missglückten) Anwahl:
Außer dass die Verbindung aufgrund von Timeouts abbricht, sehe ich gerade keinen Hinweis darin.
Viele Grüße,
Sinzal
hier ist das (um die IP-Adresse anonymisierte) Protokoll des Client bei der (missglückten) Anwahl:
Thu Jun 28 13:45:48 2018 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Thu Jun 28 13:45:48 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 28 13:45:48 2018 LZO compression initialized
Thu Jun 28 13:45:48 2018 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{314188E9-CBD3-4226-90C6-4DAEFA6C0BC1}.tap
Thu Jun 28 13:45:48 2018 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.252 on interface {314188E9-CBD3-4226-90C6-4DAEFA6C0BC1} [DHCP-serv: 10.0.0.1, lease-time: 31536000]
Thu Jun 28 13:45:48 2018 Successful ARP Flush on interface [19] {314188E9-CBD3-4226-90C6-4DAEFA6C0BC1}
Thu Jun 28 13:45:48 2018 UDPv4 link local (bound): [undef]:63003
Thu Jun 28 13:45:48 2018 UDPv4 link remote: xx.yy.zz.tt:63004
Thu Jun 28 13:50:48 2018 Inactivity timeout (--ping-restart), restarting
Thu Jun 28 13:50:48 2018 SIGUSR1[soft,ping-restart] received, process restarting
Thu Jun 28 13:50:50 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 28 13:50:50 2018 Re-using pre-shared static key
Thu Jun 28 13:50:50 2018 LZO compression initialized
Thu Jun 28 13:50:51 2018 Preserving previous TUN/TAP instance: LAN-Verbindung
Thu Jun 28 13:50:51 2018 UDPv4 link local (bound): [undef]:63003
Thu Jun 28 13:50:51 2018 UDPv4 link remote: xx.yy.zz.tt:63004Außer dass die Verbindung aufgrund von Timeouts abbricht, sehe ich gerade keinen Hinweis darin.
Viele Grüße,
Sinzal
Hallo Admins,
hier ist Teil 3, das Log vom Server während des Verbindungsversuchs:
Der Server scheint vom Verbindungsversuch gar nix mitzukriegen.
Viele Grüße,
Sinzal
hier ist Teil 3, das Log vom Server während des Verbindungsversuchs:
Thu Jun 28 13:37:51 2018 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Thu Jun 28 13:37:51 2018 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 28 13:37:51 2018 LZO compression initialized
Thu Jun 28 13:37:51 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16}.tap
Thu Jun 28 13:37:51 2018 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.1/255.255.255.252 on interface {4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Thu Jun 28 13:37:51 2018 Successful ARP Flush on interface [8] {4A4E23E5-B493-4773-8CE6-7D1DDC7A5D16}
Thu Jun 28 13:37:51 2018 UDPv4 link local (bound): [undef]:63004
Thu Jun 28 13:37:51 2018 UDPv4 link remote: [undef]Der Server scheint vom Verbindungsversuch gar nix mitzukriegen.
Viele Grüße,
Sinzal
Hallo,
Nö, dein Client versucht gegen 13:45 bis 13:50 und dein Serevr zeigt uns Einträge von 13:37 only an. Oder war das Log von später aber nichts steht drin?
Schmeiß dir dein Wireshark an und geh es im einzelnen punkt für punkt durch wer was macht und wo es nicht mehr geht. VPN ist auch nur eine 2 wege Kommunikation so wie jetzt hier. Ich tippe auf nach wie vor auf dein Hotspot...
http://www.gilles-bertrand.com/2016/07/iphoneappwebtrafficcaptureproxym ...
https://www.quora.com/Is-there-something-like-Wireshark-or-a-terminal-ap ...
https://medium.com/@MikeFurtak/go-deep-on-ios-packet-analysis-6a7542eeff ...
https://osqa-ask.wireshark.org/questions/10010/can-wireshark-be-installe ...
Und sicher das die ISPs nichts blockieren (obwohl UDP 443 frei sein sollte)?
Gruß,
Peter
Nö, dein Client versucht gegen 13:45 bis 13:50 und dein Serevr zeigt uns Einträge von 13:37 only an. Oder war das Log von später aber nichts steht drin?
Schmeiß dir dein Wireshark an und geh es im einzelnen punkt für punkt durch wer was macht und wo es nicht mehr geht. VPN ist auch nur eine 2 wege Kommunikation so wie jetzt hier. Ich tippe auf nach wie vor auf dein Hotspot...
http://www.gilles-bertrand.com/2016/07/iphoneappwebtrafficcaptureproxym ...
https://www.quora.com/Is-there-something-like-Wireshark-or-a-terminal-ap ...
https://medium.com/@MikeFurtak/go-deep-on-ios-packet-analysis-6a7542eeff ...
https://osqa-ask.wireshark.org/questions/10010/can-wireshark-be-installe ...
Und sicher das die ISPs nichts blockieren (obwohl UDP 443 frei sein sollte)?
Gruß,
Peter
Lass doch einfach mal den ganzen (sinnfreien) Kasperkram mit den Ports weg und mache eine stinknormale OVPN Standard Konfig wie z.B. hier:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client analog passend dazu.
So war der Labor Aufbau hier auf den RasPis und das hat fehlerlos geklappt über den Hotspot.
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client analog passend dazu.
So war der Labor Aufbau hier auf den RasPis und das hat fehlerlos geklappt über den Hotspot.
Hallo Admins,
es ist zwar schon eine Weile her, aber ich wollte trotzdem noch eine kurze Rückmeldung hinterlassen.
Trotz der vielen Hinweise von Euch (vielen, vielen Dank dafür) habe ich das Problem mit OpenVPN leider nicht lösen können.
Letztlich ist dann eine Lösung über LancomVPN realisiert worden. Der Kunde hat sich dafür einen Lancom-Router geleistet, auf den er von außen zugreift. Diese Verbindung funktioniert ohne Probleme über den Hotspot des iPhones.
Viele Grüße,
Sinzal
es ist zwar schon eine Weile her, aber ich wollte trotzdem noch eine kurze Rückmeldung hinterlassen.
Trotz der vielen Hinweise von Euch (vielen, vielen Dank dafür) habe ich das Problem mit OpenVPN leider nicht lösen können.
Letztlich ist dann eine Lösung über LancomVPN realisiert worden. Der Kunde hat sich dafür einen Lancom-Router geleistet, auf den er von außen zugreift. Diese Verbindung funktioniert ohne Probleme über den Hotspot des iPhones.
Viele Grüße,
Sinzal
Typischer OpenVPN Konfig Fehler an dem es dann letztlich gescheitert ist. Schade...aber egal.
Damit so etwas nicht mehr passiert gibt es mittlerweile ein OpenVPN Tutorial hier im Forum mit dem auch VPN Anfänger sofort klar kommen:
Merkzettel: VPN Installation mit OpenVPN
Case closed !
Damit so etwas nicht mehr passiert gibt es mittlerweile ein OpenVPN Tutorial hier im Forum mit dem auch VPN Anfänger sofort klar kommen:
Merkzettel: VPN Installation mit OpenVPN
Case closed !
