OpenVPN-Verbindung über Unitymedia mit Connect Box funktioniert nicht
Hallo zusammen,
ich möchte eine VPN-Verbindung von Zuhause zu unserer Firma etablieren.
Die aktuelle Konstellation:
Firma
Internetanbindung: Telekom VDSL 100
Firewall/Router: Netgate SG-2440 mit aktueller pfSense-Version
VPN-Server: OpenVPN ist aktiviert
Zuhause
Internetanbindung: Unitymedia (seit kurzem Vodafone) Internet PREMIUM 120
Router: Unitymedia Connect Box, Firmware aktualisiert sich automatisch und ist auf einem aktuellem Stand
Endgerät: MacBook Pro (Retina, 13-inch, Early 2015) mit aktueller macOS-Version 10.15.3; verbunden mit von der Connect Box bereitgestelltem WLAN
Installierte VPN-Clients: OpenVPN Connect V 2.7.1.100 und 3.1.0 (890) beta sowie alternativ Tunnelblick
IST-Zustand
Eine Verbindung mit allen 3 Clients kann etabliert werden (der connect kommt zustande), ich erreiche aber keinen der internen Server (ICMP (ping), ssh, http(s)).
Die inkludierte Firewall-Funktionalität in der Connect Box habe ich deaktiviert, aber keine Verbesserung.
Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box, der andere mit einem Router von Technicolor.
Wenn ich statt WLAN und Internetverbindung von Unitymedia den MacBook per Tethering mit einem iPhone verbinde und die Internetverbindung des Mobilfunkanbieters per LTE verwende, kann ich die internen Server sauber erreichen.
Es scheint also nicht am MacBook zu liegen, sondern eher an den Unitymedia-Komponenten.
Für Ideen zwecks Eingrenzung oder gar eine Lösung wäre ich dankbar!
ich möchte eine VPN-Verbindung von Zuhause zu unserer Firma etablieren.
Die aktuelle Konstellation:
Firma
Internetanbindung: Telekom VDSL 100
Firewall/Router: Netgate SG-2440 mit aktueller pfSense-Version
VPN-Server: OpenVPN ist aktiviert
Zuhause
Internetanbindung: Unitymedia (seit kurzem Vodafone) Internet PREMIUM 120
Router: Unitymedia Connect Box, Firmware aktualisiert sich automatisch und ist auf einem aktuellem Stand
Endgerät: MacBook Pro (Retina, 13-inch, Early 2015) mit aktueller macOS-Version 10.15.3; verbunden mit von der Connect Box bereitgestelltem WLAN
Installierte VPN-Clients: OpenVPN Connect V 2.7.1.100 und 3.1.0 (890) beta sowie alternativ Tunnelblick
IST-Zustand
Eine Verbindung mit allen 3 Clients kann etabliert werden (der connect kommt zustande), ich erreiche aber keinen der internen Server (ICMP (ping), ssh, http(s)).
Die inkludierte Firewall-Funktionalität in der Connect Box habe ich deaktiviert, aber keine Verbesserung.
Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box, der andere mit einem Router von Technicolor.
Wenn ich statt WLAN und Internetverbindung von Unitymedia den MacBook per Tethering mit einem iPhone verbinde und die Internetverbindung des Mobilfunkanbieters per LTE verwende, kann ich die internen Server sauber erreichen.
Es scheint also nicht am MacBook zu liegen, sondern eher an den Unitymedia-Komponenten.
Für Ideen zwecks Eingrenzung oder gar eine Lösung wäre ich dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 558065
Url: https://administrator.de/forum/openvpn-verbindung-ueber-unitymedia-mit-connect-box-funktioniert-nicht-558065.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
22 Kommentare
Neuester Kommentar
wie ist denn die IP-Range im Client-/Servernetz?
Kann es eigentlich nicht sein wenn es bei allen anderen fehlerlos funktioniert. Es sei denn....Es wurde für das interne OpenVPN IP Netz nicht intelligent nachgedacht und eines der dümmlichen Allerwelts 192.168er IP Adressen verwendet so das es zufällig zur Doppelung kommt ?!
Leider macht der TO aber dazu keinerlei Angaben und zwingt hier somit zum freien Raten.
VPNs einrichten mit PPTP
ich erreiche aber keinen der internen Server (ICMP (ping), ssh, http(s)).
- Diese haben die Firewall als default Gateway eingetragen ?!
- Wenn das Winblows Systeme sind: Hast du deren lokale Firewall angepasst ? ICMP (Ping) wird dort per Default geblockt und muss man erst manuell freigeben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ... Ebenso blockt die lokale Firewall generell den Zugriff mit Absender IPs aus fremden Netzen. Auch hier ist zwingend die Firewall anzupassen.
Im Zweifel immer Drucker oder Clients ohne Firewall pingen zum Test.
Wenn es aber bei anderen fehlerfrei klappt dann kann der Fehler nur bei dir bzw. deinem Rechner selber liegen sofern man die oben angesprochen IP Adressierungsfehler im internen OpenVPN IP Netz sicher ausschliessen kann ?!
Ist das ein Winblows Rechner scheitert sehr oft, durch das fehlende Gateway, die Netzwerk Typ Erkennung des virtuellen VPN Interfaces und dieses wird dann als Public (Öffentlich) in der lokalen WINdows Firewall deklariert mit dem Ergebnis das dann jeglicher Zugang gesperrt ist.
Auch hier geht man dann in die Firewall mit erweiterten Eigenschaften und setzt das Profil auf Privat.
Das sollte dann vermutlich dein Problem lösen.
Ebenfalls passiert sowas regelmässig wenn statt des Defenders überflüssige Viren- und Firewall Tools zusätzlich installiert sind. (Kaspersky, Norton usw.)
Siehe auch:
Merkzettel: VPN Installation mit OpenVPN
und auch
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das ist natürlich Quatsch.
Ob TCP oder UDP als Encapsulation verwendet wird hat mit dem o.a. Problem nichts zu tun. Allein schon die Tatsache das alle anderen mit dem VPN fehlerfrei arbeiten können straft diesen Rat als technisch falsch.
Das wäre nur der Fall wenn eine andere Applikation auch den OpenVPN Port UDP 1194 (oder TCP) nutzen würde was aber wegen der fest reservierten IANA Ports für OpenVPN faktisch ausgeschlossen ist.
Schlimmer noch... Wegen des erheblich höheren Overheads bei TCP und der daraus resultierenden höheren CPU Belastung beim Paket Handling leidet die VPN Performance massiv. OpenVPN selber rät deshalb aus guten Grund dringenst von einer TCP Encapsulation ab. Man sollte wenn immer möglich bei UDP bleiben. Das gilt generell für alle VPN Tunnel Enkapsulierungen.
Das ist hier auch niemals der Fehler bei dem hier geschilderten Verhalten.
Ob TCP oder UDP als Encapsulation verwendet wird hat mit dem o.a. Problem nichts zu tun. Allein schon die Tatsache das alle anderen mit dem VPN fehlerfrei arbeiten können straft diesen Rat als technisch falsch.
Das wäre nur der Fall wenn eine andere Applikation auch den OpenVPN Port UDP 1194 (oder TCP) nutzen würde was aber wegen der fest reservierten IANA Ports für OpenVPN faktisch ausgeschlossen ist.
Schlimmer noch... Wegen des erheblich höheren Overheads bei TCP und der daraus resultierenden höheren CPU Belastung beim Paket Handling leidet die VPN Performance massiv. OpenVPN selber rät deshalb aus guten Grund dringenst von einer TCP Encapsulation ab. Man sollte wenn immer möglich bei UDP bleiben. Das gilt generell für alle VPN Tunnel Enkapsulierungen.
Das ist hier auch niemals der Fehler bei dem hier geschilderten Verhalten.
Kann dann nur ein Firewall Problem sein und vermutlich auch nur dann wenn man OpenVPN auf einen anderen Port als 1194 gezwungen hat das mit anderen Rechner Diensten kollidiert !
Möglich auch das Unitymedia generell auf billigen Consumer Anschlüssen die klassischen UDP Ports filtert und diesen dann teureren Business Verträgen vorbehält. Hat dann jeder selber Schuld wenn er diesen Provider wählt...
Aber das es das de facto nicht ist beweist das Zitat vom TO: "Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box," Wobei es auch niemals von der Router Hardware abhängt denn OpenVPN ist ein robustes SSL Protokoll.
Wäre ja auch sinnfrei wenn Unitymedia in Ostfriesland UDP 1194 durchlässt und es in Bayern aber blockiert.
funktioniert an einem Unitymedia-Anschluss nicht.
Ist auch kein Wunder, denn das sind in der Regel alles DS-Lite Anschlüsse.Möglich auch das Unitymedia generell auf billigen Consumer Anschlüssen die klassischen UDP Ports filtert und diesen dann teureren Business Verträgen vorbehält. Hat dann jeder selber Schuld wenn er diesen Provider wählt...
Aber das es das de facto nicht ist beweist das Zitat vom TO: "Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box," Wobei es auch niemals von der Router Hardware abhängt denn OpenVPN ist ein robustes SSL Protokoll.
Wäre ja auch sinnfrei wenn Unitymedia in Ostfriesland UDP 1194 durchlässt und es in Bayern aber blockiert.
Zitat von @MartinStrasser:
Ich konnte das Verhalten genau so reproduzieren.
OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht. Gibt auch genug andere Beträge (u.a. auch in anderen Foren) dazu.
Ich konnte das Verhalten genau so reproduzieren.
OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht. Gibt auch genug andere Beträge (u.a. auch in anderen Foren) dazu.
Nein, unitymedia/Vodafone kann eigentlich nicht die generelle Fehlerquelle sein. Ich selbst nutze nahezu die gleiche Konfig wie der TO (außer genannter Firewall/ Router-Typ) um auf das zentrale Serversystem der Firma zuzugreifen und habe mit OpenVPN / UPD überhaupt keine Probleme. Weder mit Windows, noch mit Mac (Tunnelblick).
Zitat von @aqui:
und habe mit OpenVPN / UPD überhaupt keine Probleme.
Was ja auch völlig normal und das klassische Setup ist.War natürlich in Verbindung mit meinem Anschluss von Unitymedia gemeint und sollte sich auf die generelle Aussage: "OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht" beziehen.
Port: UDP 1195
Keine besonders intelligente Wahl für einen Netzwerker, denn dieser Port ist weltweit nicht OpenVPN von der IANA zugeteilt sondern offiziell für einen anderen Dienst reserviert !https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Keine gute Idee also.
Wenn du unbedingt Ports verschleiern willst solltest du wenn möglich immer Ports aus der Range der sog. Ephemeral Ports 49152 bis 65535 verwenden. Encapsulation immer UDP.
https://en.wikipedia.org/wiki/Ephemeral_port
Die nicht weltweit reserviert sind. 51194 oder 59494 wäre also hier etwas intelligenter und normalerweise scannen Port Scaning Angreifer diesen Bereich auch nicht oder nur wenig.
Zu Doppelungen sollte es nicht kommen, weil das Tunnel network 10.0 ist, oder?
Kommt drauf an... Wenn das Hotel oder Hotspot oder... Netzwerk auch zufällig in der 10.0.10.0 /24er Range liegt ist es aus mit dem VPN. Viel sinnvoller wäre es hier einen krummen Bereich wie 10.72.27.0 /24 o.ä. zu nehmen der wenig bis fast nie verwendet wird.Ist kein Windows, sondern macOS
OK, sorry endlich mal ein vernünftiges OS ! Dann ist natürlich Tunnelblick dein Freund ! https://tunnelblick.netauch mal die lokale Firewall deaktiviert. Keine Veränderung.
Das ist auch nicht das Problem, das liegt dann woanders.D.h. er kann nur IPv6. Nahezu jede VPN-Software würde allerdings IPv4 benötigen.
Nein, gerade für OpenVPN als SSL Protokoll gilt das nicht solange der Client, also der der den VPN Tunnel initiiert am DS-Lite Anschluss hängt. Der kommt ja dann problemlos auch über ein CGN Gateway des Providers ins IPv4 wo der Server ist. Wie gesagt nur in dieser Konstellation !Folgendes habe ich getestet:
Recht viel aber das Wichtigste was wir hier benötigen um zielführend helfen zu können ist:- OpenVPN Log des Servers wenn der Mac Client sich einwählt
- Open VPN Log des Clients (Tunnelblick) vom Verbindungsaufbau
- OpenVPN Konfig Files des Servers
- OpenVPN Konfig File des Clients (Tunnelblick)
Allein das unterschiedliche Verhalten der PC OVPN Clients zeigt schon das hier irgendwas falsch ist. Primär vermutlich in der Server Konfig.
Wie klassische Konfigs aussehen zeigt dir z.B. dieser Thread:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Ein häufiger Fehler warum der Tunnel nicht richtig zustande kommt ist die Kompression. Die sollte man heutzutage generell deaktivieren mit compress no sowohl im Server als auch Client, da heutzutage Daten eh fast alle komprimiert sind und dieses Feature eher schadet als hilft.
All das sind mögliche Fehler die aber ohne Kenntniss der Konfig Dateien nur geraten werden können.
Hallo Trontur,
wie schon geschrieben, nutze ich OpenVPN mit UDP unter der nahezu gleichen Konstellation (Mac, Unitymedia/Vodafone + Connect Box) für den Zugriff auf das zentrale Firmensystem:
- Mac (Ende 2013) OS Catalina 10.15.3
Bei mir funktioniert das mit Tunnelblick (3.8.2beta05) einwandfrei. Tunnelblick installiert, die von der Firma bereitgestellte OpenVPN-Datei mit den notwendigen Zugangsdaten in Tunnelblick importiert. Hat auf Anhieb funktioniert und läuft immer noch stabil. Leider bin ich kein ausgewiesener Netzwerkspezialist wie beispielsweise aqui, deshalb kann ich leider keine zielgerichteten, potentiellen Fehlerquellen aufzeigen ;-(
Grüße
wie schon geschrieben, nutze ich OpenVPN mit UDP unter der nahezu gleichen Konstellation (Mac, Unitymedia/Vodafone + Connect Box) für den Zugriff auf das zentrale Firmensystem:
- Mac (Ende 2013) OS Catalina 10.15.3
Bei mir funktioniert das mit Tunnelblick (3.8.2beta05) einwandfrei. Tunnelblick installiert, die von der Firma bereitgestellte OpenVPN-Datei mit den notwendigen Zugangsdaten in Tunnelblick importiert. Hat auf Anhieb funktioniert und läuft immer noch stabil. Leider bin ich kein ausgewiesener Netzwerkspezialist wie beispielsweise aqui, deshalb kann ich leider keine zielgerichteten, potentiellen Fehlerquellen aufzeigen ;-(
Grüße
Zur aktuellen VPN Situation gibts nun auch ein spezielles OpenVPN Tutorial im Forum:
Merkzettel: VPN Installation mit OpenVPN
Merkzettel: VPN Installation mit OpenVPN
Hallo,
ich habe ca. dasselbe Problem und bekomme es einfach nicht gelöst.
Ich habe ein Synology NAS und betreibe darauf auch den OpenVPN Server.
An der Fritzbox hab ich den Port 1194 UDP an das NAS weitergeleitet. Funktioniert eigentlich alles einwandfrei.
Dacht ich zumindest. Ich hatte bis jetzt keine Probleme mit der VPN Verbindung. Nur jetzt wollte ich mich erstmalig über eine Unitymedia mit Connect Box verbinden und hab Probleme. Die VPN Verbindung wird hergestellt. Aber wenn ich mich dann per RDP auf einen PC verbinden will, bekomm ich immer eine Fehlermeldung bzgl. Netzwerkkonnektivitätsprobleme.
anpingen kann ich den PC. Wenn ich die Internetverbindung über meinen Handyhotspot mache klappt es einwandfrei.
Also kann man den Laptop auch ausschließen oder??? Das einzige was dann meiner Meinung nach, noch Probleme verursachen kann ist die Connect box. Hat hier irgendwer eine Ahnung was ich einstellen bzw. umstellen muss, dass ich das Problem lösen kann.
VPN IP range ist 10.8.0.0
IP Range Connect box ist 192.168.0.0
mfG
Mathias
ich habe ca. dasselbe Problem und bekomme es einfach nicht gelöst.
Ich habe ein Synology NAS und betreibe darauf auch den OpenVPN Server.
An der Fritzbox hab ich den Port 1194 UDP an das NAS weitergeleitet. Funktioniert eigentlich alles einwandfrei.
Dacht ich zumindest. Ich hatte bis jetzt keine Probleme mit der VPN Verbindung. Nur jetzt wollte ich mich erstmalig über eine Unitymedia mit Connect Box verbinden und hab Probleme. Die VPN Verbindung wird hergestellt. Aber wenn ich mich dann per RDP auf einen PC verbinden will, bekomm ich immer eine Fehlermeldung bzgl. Netzwerkkonnektivitätsprobleme.
anpingen kann ich den PC. Wenn ich die Internetverbindung über meinen Handyhotspot mache klappt es einwandfrei.
Also kann man den Laptop auch ausschließen oder??? Das einzige was dann meiner Meinung nach, noch Probleme verursachen kann ist die Connect box. Hat hier irgendwer eine Ahnung was ich einstellen bzw. umstellen muss, dass ich das Problem lösen kann.
VPN IP range ist 10.8.0.0
IP Range Connect box ist 192.168.0.0
mfG
Mathias
Sehr wahrscheinlich ist das ein MTU Problem das die Connect Box oder der VPN Router eine falsche MTU im Tunnel benutzt. Diese muss kleiner sein als die PPPoE MTU (1488) des xDSL Anschlusses. Setze die Tunnel MTU testweise mal auf 1300 und checke das nochmal.
Frames die über die MTU von 1488 anwachesen nach der VPN Encapsulierung müssten fragmentiert werden was dann die Übertragung scheitern lässt.
Sowas wie
tun-mtu 1488
mssfix 1400
am Client sollte ggf. schon helfen.
Nebenbei: Welchen Sinn macht es die an sich gute FritzBox gegen diesen absoluten Schrott von Connect Box auszutauschen ? Das wäre wenn du einen rostigen Dacia und einen neuen Porsche zur freien Wahl hast und du dich für den Dacia entscheidest. Eigentlich unverständlich...?!
Frames die über die MTU von 1488 anwachesen nach der VPN Encapsulierung müssten fragmentiert werden was dann die Übertragung scheitern lässt.
Sowas wie
tun-mtu 1488
mssfix 1400
am Client sollte ggf. schon helfen.
Nebenbei: Welchen Sinn macht es die an sich gute FritzBox gegen diesen absoluten Schrott von Connect Box auszutauschen ? Das wäre wenn du einen rostigen Dacia und einen neuen Porsche zur freien Wahl hast und du dich für den Dacia entscheidest. Eigentlich unverständlich...?!
Hallo aqui
Danke für den Tipp. Ich werde es bei Gelegenheit testen.
Und zu deiner Meinung bzgl. Connect Box gebe ich dir recht. Das Problem ist nur,dass ich eine Firma gegründet hab und am Firmenstandort hab ich eh die Fritzbox.
Die connectbox hat mein Partner bei sich zu Hause. Und wir arbeiten auch viel von zu Hause aus. Uch selbst hb privat auch eine Fritzbox und es fubktioniert alles wunderbar.
Er hat privat eben diese Connectbox. Aber wenn ich es nicht lösen kann wird ihm eohl oder übel nichts anderes über bleiben als sich auch eine Fritzbox zuzulegen
Weißt du zufällig wie ich das am OpenVPN Server einstelle?? Ich finde hierzu nichts.
Beim PPTP VPN Server kann ich es einstellen. Den hab ich aber nicht in Verwendung
Mit freundlichen Grüßen
Mathias
Danke für den Tipp. Ich werde es bei Gelegenheit testen.
Und zu deiner Meinung bzgl. Connect Box gebe ich dir recht. Das Problem ist nur,dass ich eine Firma gegründet hab und am Firmenstandort hab ich eh die Fritzbox.
Die connectbox hat mein Partner bei sich zu Hause. Und wir arbeiten auch viel von zu Hause aus. Uch selbst hb privat auch eine Fritzbox und es fubktioniert alles wunderbar.
Er hat privat eben diese Connectbox. Aber wenn ich es nicht lösen kann wird ihm eohl oder übel nichts anderes über bleiben als sich auch eine Fritzbox zuzulegen
Weißt du zufällig wie ich das am OpenVPN Server einstelle?? Ich finde hierzu nichts.
Beim PPTP VPN Server kann ich es einstellen. Den hab ich aber nicht in Verwendung
Mit freundlichen Grüßen
Mathias
Die connectbox hat mein Partner bei sich zu Hause.
Der soll das Gruselteil schnell wegschmeissen und sich eine FritzBox holen und dahinstellen. Wer lässt sich denn als mündiger Kunde noch Miete für so ein Schrotteil abknöpfen geschweige denn sich freiwillig sowas hinstellen zu lassen. Es herrscht freie Routerwahl in der EU !Weißt du zufällig wie ich das am OpenVPN Server einstelle?? Ich finde hierzu nichts.
Suchmaschine kaputt ?? https://is.gd/RKRiFn
Hallo.
hab das gestern getestet
als ich die mtu auf 1432 gesetzt habe,war der ping auch erfolgreich. die rdp verbindung allerdings wieder nicht. erst als ich die mtu auf 1300 gesetzt habe hat dann auch die rdp verbindung geklappt.
mein kollege wird es in den nächsten tage testen und er überlegt sich auch eine fritzbox anzuschaffen.
aber danke für die hilfe
hab das gestern getestet
als ich die mtu auf 1432 gesetzt habe,war der ping auch erfolgreich. die rdp verbindung allerdings wieder nicht. erst als ich die mtu auf 1300 gesetzt habe hat dann auch die rdp verbindung geklappt.
mein kollege wird es in den nächsten tage testen und er überlegt sich auch eine fritzbox anzuschaffen.
aber danke für die hilfe