trontur
Goto Top

OpenVPN-Verbindung über Unitymedia mit Connect Box funktioniert nicht

Hallo zusammen,

ich möchte eine VPN-Verbindung von Zuhause zu unserer Firma etablieren.

Die aktuelle Konstellation:

Firma

Internetanbindung: Telekom VDSL 100
Firewall/Router: Netgate SG-2440 mit aktueller pfSense-Version
VPN-Server: OpenVPN ist aktiviert

Zuhause

Internetanbindung: Unitymedia (seit kurzem Vodafone) Internet PREMIUM 120
Router: Unitymedia Connect Box, Firmware aktualisiert sich automatisch und ist auf einem aktuellem Stand
Endgerät: MacBook Pro (Retina, 13-inch, Early 2015) mit aktueller macOS-Version 10.15.3; verbunden mit von der Connect Box bereitgestelltem WLAN
Installierte VPN-Clients: OpenVPN Connect V 2.7.1.100 und 3.1.0 (890) beta sowie alternativ Tunnelblick

IST-Zustand

Eine Verbindung mit allen 3 Clients kann etabliert werden (der connect kommt zustande), ich erreiche aber keinen der internen Server (ICMP (ping), ssh, http(s)).
Die inkludierte Firewall-Funktionalität in der Connect Box habe ich deaktiviert, aber keine Verbesserung.

Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box, der andere mit einem Router von Technicolor.

Wenn ich statt WLAN und Internetverbindung von Unitymedia den MacBook per Tethering mit einem iPhone verbinde und die Internetverbindung des Mobilfunkanbieters per LTE verwende, kann ich die internen Server sauber erreichen.

Es scheint also nicht am MacBook zu liegen, sondern eher an den Unitymedia-Komponenten.

Für Ideen zwecks Eingrenzung oder gar eine Lösung wäre ich dankbar!

Content-ID: 558065

Url: https://administrator.de/forum/openvpn-verbindung-ueber-unitymedia-mit-connect-box-funktioniert-nicht-558065.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

BirdyB
BirdyB 16.03.2020 um 15:53:00 Uhr
Goto Top
Moin,
wie ist denn die IP-Range im Client-/Servernetz?
Sind die zufällig gleich?
VG
aqui
aqui 16.03.2020, aktualisiert am 15.09.2021 um 09:49:26 Uhr
Goto Top
wie ist denn die IP-Range im Client-/Servernetz?
Kann es eigentlich nicht sein wenn es bei allen anderen fehlerlos funktioniert. Es sei denn....
Es wurde für das interne OpenVPN IP Netz nicht intelligent nachgedacht und eines der dümmlichen Allerwelts 192.168er IP Adressen verwendet so das es zufällig zur Doppelung kommt ?!
Leider macht der TO aber dazu keinerlei Angaben und zwingt hier somit zum freien Raten. face-sad
VPNs einrichten mit PPTP
ich erreiche aber keinen der internen Server (ICMP (ping), ssh, http(s)).
  • Diese haben die Firewall als default Gateway eingetragen ?!
  • Wenn das Winblows Systeme sind: Hast du deren lokale Firewall angepasst ? ICMP (Ping) wird dort per Default geblockt und muss man erst manuell freigeben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ... Ebenso blockt die lokale Firewall generell den Zugriff mit Absender IPs aus fremden Netzen. Auch hier ist zwingend die Firewall anzupassen.
Das sind die 2 wichtigstens Checks.
Im Zweifel immer Drucker oder Clients ohne Firewall pingen zum Test.

Wenn es aber bei anderen fehlerfrei klappt dann kann der Fehler nur bei dir bzw. deinem Rechner selber liegen sofern man die oben angesprochen IP Adressierungsfehler im internen OpenVPN IP Netz sicher ausschliessen kann ?!
Ist das ein Winblows Rechner scheitert sehr oft, durch das fehlende Gateway, die Netzwerk Typ Erkennung des virtuellen VPN Interfaces und dieses wird dann als Public (Öffentlich) in der lokalen WINdows Firewall deklariert mit dem Ergebnis das dann jeglicher Zugang gesperrt ist.
Auch hier geht man dann in die Firewall mit erweiterten Eigenschaften und setzt das Profil auf Privat.
Das sollte dann vermutlich dein Problem lösen.
Ebenfalls passiert sowas regelmässig wenn statt des Defenders überflüssige Viren- und Firewall Tools zusätzlich installiert sind. (Kaspersky, Norton usw.)
Siehe auch:
Merkzettel: VPN Installation mit OpenVPN
und auch
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
MartinStrasser
MartinStrasser 16.03.2020 um 19:57:04 Uhr
Goto Top
Hallo,

das Problem hatte ich auch schon. Wenn OpenVPN als TCP verwendet wird, läuft der Tunnel ohne Probleme.

Grüße
Martin
aqui
aqui 16.03.2020, aktualisiert am 15.09.2021 um 09:50:31 Uhr
Goto Top
Das ist natürlich Quatsch.
Ob TCP oder UDP als Encapsulation verwendet wird hat mit dem o.a. Problem nichts zu tun. Allein schon die Tatsache das alle anderen mit dem VPN fehlerfrei arbeiten können straft diesen Rat als technisch falsch.
Das wäre nur der Fall wenn eine andere Applikation auch den OpenVPN Port UDP 1194 (oder TCP) nutzen würde was aber wegen der fest reservierten IANA Ports für OpenVPN faktisch ausgeschlossen ist.
Schlimmer noch... Wegen des erheblich höheren Overheads bei TCP und der daraus resultierenden höheren CPU Belastung beim Paket Handling leidet die VPN Performance massiv. OpenVPN selber rät deshalb aus guten Grund dringenst von einer TCP Encapsulation ab. Man sollte wenn immer möglich bei UDP bleiben. Das gilt generell für alle VPN Tunnel Enkapsulierungen.
Das ist hier auch niemals der Fehler bei dem hier geschilderten Verhalten.
MartinStrasser
MartinStrasser 16.03.2020 um 20:47:08 Uhr
Goto Top
Ich konnte das Verhalten genau so reproduzieren.

OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht. Gibt auch genug andere Beträge (u.a. auch in anderen Foren) dazu.
aqui
aqui 16.03.2020 aktualisiert um 20:54:15 Uhr
Goto Top
Kann dann nur ein Firewall Problem sein und vermutlich auch nur dann wenn man OpenVPN auf einen anderen Port als 1194 gezwungen hat das mit anderen Rechner Diensten kollidiert !
funktioniert an einem Unitymedia-Anschluss nicht.
Ist auch kein Wunder, denn das sind in der Regel alles DS-Lite Anschlüsse.
Möglich auch das Unitymedia generell auf billigen Consumer Anschlüssen die klassischen UDP Ports filtert und diesen dann teureren Business Verträgen vorbehält. Hat dann jeder selber Schuld wenn er diesen Provider wählt...
Aber das es das de facto nicht ist beweist das Zitat vom TO: "Bei anderen Kollegen funktioniert es. Darunter auch zwei, die ebenfalls Unitymedia nutzen, einer davon auch mit einer Connect Box," Wobei es auch niemals von der Router Hardware abhängt denn OpenVPN ist ein robustes SSL Protokoll.
Wäre ja auch sinnfrei wenn Unitymedia in Ostfriesland UDP 1194 durchlässt und es in Bayern aber blockiert.
senocon
senocon 17.03.2020 um 01:08:53 Uhr
Goto Top
Zitat von @MartinStrasser:

Ich konnte das Verhalten genau so reproduzieren.

OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht. Gibt auch genug andere Beträge (u.a. auch in anderen Foren) dazu.


Nein, unitymedia/Vodafone kann eigentlich nicht die generelle Fehlerquelle sein. Ich selbst nutze nahezu die gleiche Konfig wie der TO (außer genannter Firewall/ Router-Typ) um auf das zentrale Serversystem der Firma zuzugreifen und habe mit OpenVPN / UPD überhaupt keine Probleme. Weder mit Windows, noch mit Mac (Tunnelblick).
aqui
aqui 17.03.2020 um 08:46:40 Uhr
Goto Top
und habe mit OpenVPN / UPD überhaupt keine Probleme.
Was ja auch völlig normal und das klassische Setup ist.
senocon
senocon 17.03.2020 um 10:46:31 Uhr
Goto Top
Zitat von @aqui:

und habe mit OpenVPN / UPD überhaupt keine Probleme.
Was ja auch völlig normal und das klassische Setup ist.

War natürlich in Verbindung mit meinem Anschluss von Unitymedia gemeint und sollte sich auf die generelle Aussage: "OpenVPN mit UDP (auch mit unterschiedlicher MTU) funktioniert an einem Unitymedia-Anschluss nicht" beziehen.
aqui
aqui 17.03.2020 um 13:47:25 Uhr
Goto Top
Danke nochmal für das Feedback ! Es wäre ja auch ziemlich ungewöhnlich wenn das bei Unitymedia anders wäre als im Rest der Welt. face-wink
Trontur
Trontur 18.03.2020 um 15:57:05 Uhr
Goto Top
Hallo zusammen, vielen Dank bereits jetzt für die Unterstützung und Kommentare!
Ich habe weiter getestet. Vorab einige Antworten auf gestellte Fragen:

Zitat von @BirdyB:
wie ist denn die IP-Range im Client-/Servernetz?
Sind die zufällig gleich?
Nein, sind unterschiedlich:
IPv4 Tunnel Network: 10.0.10.0/24
IPv4 Local network(s): 192.168.0.0/23
Port: UDP 1195

Zitat von @aqui:

wie ist denn die IP-Range im Client-/Servernetz?
Kann es eigentlich nicht sein wenn es bei allen anderen fehlerlos funktioniert. Es sei denn....
Es wurde für das interne OpenVPN IP Netz nicht intelligent nachgedacht und eines der dümmlichen Allerwelts 192.168er IP Adressen verwendet so das es zufällig zur Doppelung kommt ?!
Leider macht der TO aber dazu keinerlei Angaben und zwingt hier somit zum freien Raten. face-sad
Sry, du hast natürlich recht. Hatte versucht, alle relevanten Angaben bei Eröffnung des Threads zu nennen. Die IP ranges hatte ich vergessen.
Ja, es wurde damals wohl die Standard range 192.168 verwendet. Zu Doppelungen sollte es nicht kommen, weil das Tunnel network 10.0 ist, oder?
* Diese haben die Firewall als default Gateway eingetragen ?!
Ja:
ip route
default via 192.168.0.100 dev p3p1 onlink 
* Wenn das Winblows Systeme sind: Hast du deren lokale Firewall angepasst ? ICMP (Ping) wird dort per Default geblockt und muss man erst manuell freigeben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ... Ebenso blockt die lokale Firewall generell den Zugriff mit Absender IPs aus fremden Netzen. Auch hier ist zwingend die Firewall anzupassen.
Ist kein Windows, sondern macOS. Dort hatte ich testweise auch mal die lokale Firewall deaktiviert. Keine Veränderung.
Hat dann jeder selber Schuld wenn er diesen Provider wählt...
Bisher zuhause keine Probleme mit Unitymedia, sondern im Gegensatz gute und stabile Download- und Upload-Raten. Ist es nicht immer noch so, dass die Ressourcen im coaxial-Netz weniger ausgelastet sind, als im DSL-Netz?

Folgendes habe ich getestet:

  • Anruf bei Unitymedia “Technische Fragen”. Es wurde automatisch erkannt, dass Router neu gestartet werden muss. Connect Box neu gestartet: Funktioniert weiterhin nicht.
  • Erneuter Anruf bei Unitymedia “Technische Fragen”: Aktueller Tarif “Internet PREMIUM 120” enthält keinen Dual Stack. D.h. er kann nur IPv6. Nahezu jede VPN-Software würde allerdings IPv4 benötigen. Für Option “Power Upload” entschieden 2,99/Monat, die (neben dem verdoppelten Upload, den ich nicht benötige) Dual Stack inkludiert hat
    . Nach Aktivierung war der Upload doppelt so hoch und IPv4 wurde im Backend der Connect Box angezeigt. Konnte nach etablierter VPN-Verbindung aber immer noch keine internen Server erreichen.
  • Erneuter Anruf bei Unitymedia “Technische Fragen”: Mitarbeiterin hat nochmal durchgemessen, alles OK. Empfahl Werksreset. Meine fein justierten WLAN-Einstellungen (Kanäle etc.) wg der dicht bebauten Nachbarschaft gingen dabei verloren: VPN funktioniert weiterhin nicht.
  • Mit anderem macOS User probiert: Funktioniert nicht
  • MacBook per LAN-Adapter angebunden und WLAN deaktiviert: Funktioniert nicht
  • Windows PC reaktiviert und aktualisiert
    • OpenVPN client 2.7 installiert: Authentication failure
    • OpenVPN client 3.1 beta installiert: Login funktioniert
        • Erster Ping auf internen server funktionierte nicht, zweiter dann aber schon!
        • Auch Aufruf einer internen Web-Applikation mittels http://192.168.0.. funktioniert
  • Baugleichen anderen, frisch aufgesetzten MacBook der Firma mit nach Hause genommen und dort OpenVPN-Client 2.7 installiert: Connect geht wie bei meinem MacBook, aber auch hier wieder keine Verbindung (routing) zu den internen Servern

Ist hier jemand dabei, der explizit die Kombi MacBook (bzw. Mac mit macOS), Unitymedia mit Connect Box und OpenVPN verwendet?

Fehlen noch Infos?
aqui
aqui 18.03.2020 aktualisiert um 17:35:45 Uhr
Goto Top
Port: UDP 1195
Keine besonders intelligente Wahl für einen Netzwerker, denn dieser Port ist weltweit nicht OpenVPN von der IANA zugeteilt sondern offiziell für einen anderen Dienst reserviert !
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Keine gute Idee also.
Wenn du unbedingt Ports verschleiern willst solltest du wenn möglich immer Ports aus der Range der sog. Ephemeral Ports 49152 bis 65535 verwenden. Encapsulation immer UDP.
https://en.wikipedia.org/wiki/Ephemeral_port
Die nicht weltweit reserviert sind. 51194 oder 59494 wäre also hier etwas intelligenter und normalerweise scannen Port Scaning Angreifer diesen Bereich auch nicht oder nur wenig.
Zu Doppelungen sollte es nicht kommen, weil das Tunnel network 10.0 ist, oder?
Kommt drauf an... Wenn das Hotel oder Hotspot oder... Netzwerk auch zufällig in der 10.0.10.0 /24er Range liegt ist es aus mit dem VPN. Viel sinnvoller wäre es hier einen krummen Bereich wie 10.72.27.0 /24 o.ä. zu nehmen der wenig bis fast nie verwendet wird.
Ist kein Windows, sondern macOS
OK, sorry endlich mal ein vernünftiges OS ! face-big-smile Dann ist natürlich Tunnelblick dein Freund ! face-wink https://tunnelblick.net
auch mal die lokale Firewall deaktiviert. Keine Veränderung.
Das ist auch nicht das Problem, das liegt dann woanders.
D.h. er kann nur IPv6. Nahezu jede VPN-Software würde allerdings IPv4 benötigen.
Nein, gerade für OpenVPN als SSL Protokoll gilt das nicht solange der Client, also der der den VPN Tunnel initiiert am DS-Lite Anschluss hängt. Der kommt ja dann problemlos auch über ein CGN Gateway des Providers ins IPv4 wo der Server ist. Wie gesagt nur in dieser Konstellation !
Folgendes habe ich getestet:
Recht viel aber das Wichtigste was wir hier benötigen um zielführend helfen zu können ist:
  • OpenVPN Log des Servers wenn der Mac Client sich einwählt
  • Open VPN Log des Clients (Tunnelblick) vom Verbindungsaufbau
  • OpenVPN Konfig Files des Servers
  • OpenVPN Konfig File des Clients (Tunnelblick)
Das wäre essentiall wichtig und die wichtigstens Infos die benötigt werden und ohne die wir nicht weiterkommen.
Allein das unterschiedliche Verhalten der PC OVPN Clients zeigt schon das hier irgendwas falsch ist. Primär vermutlich in der Server Konfig.
Wie klassische Konfigs aussehen zeigt dir z.B. dieser Thread:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Ein häufiger Fehler warum der Tunnel nicht richtig zustande kommt ist die Kompression. Die sollte man heutzutage generell deaktivieren mit compress no sowohl im Server als auch Client, da heutzutage Daten eh fast alle komprimiert sind und dieses Feature eher schadet als hilft.
All das sind mögliche Fehler die aber ohne Kenntniss der Konfig Dateien nur geraten werden können.
senocon
senocon 21.03.2020 um 13:01:33 Uhr
Goto Top
Hallo Trontur,

wie schon geschrieben, nutze ich OpenVPN mit UDP unter der nahezu gleichen Konstellation (Mac, Unitymedia/Vodafone + Connect Box) für den Zugriff auf das zentrale Firmensystem:

- Mac (Ende 2013) OS Catalina 10.15.3

Bei mir funktioniert das mit Tunnelblick (3.8.2beta05) einwandfrei. Tunnelblick installiert, die von der Firma bereitgestellte OpenVPN-Datei mit den notwendigen Zugangsdaten in Tunnelblick importiert. Hat auf Anhieb funktioniert und läuft immer noch stabil. Leider bin ich kein ausgewiesener Netzwerkspezialist wie beispielsweise aqui, deshalb kann ich leider keine zielgerichteten, potentiellen Fehlerquellen aufzeigen ;-(

Grüße
aqui
aqui 21.03.2020 um 14:39:30 Uhr
Goto Top
Bei mir funktioniert das mit Tunnelblick (3.8.2beta05) einwandfrei.
Hier ebenso auf einem MacBook Pro mit den gleichen SW Voraussetzungen !
Trontur
Trontur 25.03.2020 um 22:26:40 Uhr
Goto Top
Nochmal vielen Dank! Aktuell ist viel los. Die todos, für die ich Zugang per VPN zum LAN benötige, erledige ich mit der Windows-Kiste. Ich möchte aber an dem Thema dranbleiben und auch mit dem MacBook eine funktionierende OpenVPN-Verbindung etablieren. Sobald ich logs habe, schreibe ich wieder. Kann aber etwas dauern.
aqui
aqui 26.03.2020 aktualisiert um 14:54:34 Uhr
Goto Top
Zur aktuellen VPN Situation gibts nun auch ein spezielles OpenVPN Tutorial im Forum:
Merkzettel: VPN Installation mit OpenVPN
Moersi
Moersi 12.07.2021 aktualisiert um 10:47:54 Uhr
Goto Top
Hallo,

ich habe ca. dasselbe Problem und bekomme es einfach nicht gelöst.
Ich habe ein Synology NAS und betreibe darauf auch den OpenVPN Server.
An der Fritzbox hab ich den Port 1194 UDP an das NAS weitergeleitet. Funktioniert eigentlich alles einwandfrei.
Dacht ich zumindest. Ich hatte bis jetzt keine Probleme mit der VPN Verbindung. Nur jetzt wollte ich mich erstmalig über eine Unitymedia mit Connect Box verbinden und hab Probleme. Die VPN Verbindung wird hergestellt. Aber wenn ich mich dann per RDP auf einen PC verbinden will, bekomm ich immer eine Fehlermeldung bzgl. Netzwerkkonnektivitätsprobleme.
anpingen kann ich den PC. Wenn ich die Internetverbindung über meinen Handyhotspot mache klappt es einwandfrei.
Also kann man den Laptop auch ausschließen oder??? Das einzige was dann meiner Meinung nach, noch Probleme verursachen kann ist die Connect box. Hat hier irgendwer eine Ahnung was ich einstellen bzw. umstellen muss, dass ich das Problem lösen kann.
VPN IP range ist 10.8.0.0
IP Range Connect box ist 192.168.0.0

mfG
Mathias
aqui
aqui 12.07.2021 aktualisiert um 13:38:23 Uhr
Goto Top
Sehr wahrscheinlich ist das ein MTU Problem das die Connect Box oder der VPN Router eine falsche MTU im Tunnel benutzt. Diese muss kleiner sein als die PPPoE MTU (1488) des xDSL Anschlusses. Setze die Tunnel MTU testweise mal auf 1300 und checke das nochmal.
Frames die über die MTU von 1488 anwachesen nach der VPN Encapsulierung müssten fragmentiert werden was dann die Übertragung scheitern lässt.
Sowas wie
tun-mtu 1488
mssfix 1400

am Client sollte ggf. schon helfen.
Nebenbei: Welchen Sinn macht es die an sich gute FritzBox gegen diesen absoluten Schrott von Connect Box auszutauschen ? Das wäre wenn du einen rostigen Dacia und einen neuen Porsche zur freien Wahl hast und du dich für den Dacia entscheidest. Eigentlich unverständlich...?!
Moersi
Moersi 12.07.2021 aktualisiert um 12:31:31 Uhr
Goto Top
Hallo aqui

Danke für den Tipp. Ich werde es bei Gelegenheit testen.
Und zu deiner Meinung bzgl. Connect Box gebe ich dir recht. Das Problem ist nur,dass ich eine Firma gegründet hab und am Firmenstandort hab ich eh die Fritzbox.
Die connectbox hat mein Partner bei sich zu Hause. Und wir arbeiten auch viel von zu Hause aus. Uch selbst hb privat auch eine Fritzbox und es fubktioniert alles wunderbar.
Er hat privat eben diese Connectbox. Aber wenn ich es nicht lösen kann wird ihm eohl oder übel nichts anderes über bleiben als sich auch eine Fritzbox zuzulegen

Weißt du zufällig wie ich das am OpenVPN Server einstelle?? Ich finde hierzu nichts.
Beim PPTP VPN Server kann ich es einstellen. Den hab ich aber nicht in Verwendung

Mit freundlichen Grüßen
Mathias
aqui
aqui 12.07.2021 um 13:15:00 Uhr
Goto Top
Die connectbox hat mein Partner bei sich zu Hause.
Der soll das Gruselteil schnell wegschmeissen und sich eine FritzBox holen und dahinstellen. Wer lässt sich denn als mündiger Kunde noch Miete für so ein Schrotteil abknöpfen geschweige denn sich freiwillig sowas hinstellen zu lassen. Es herrscht freie Routerwahl in der EU !
Weißt du zufällig wie ich das am OpenVPN Server einstelle?? Ich finde hierzu nichts.
Suchmaschine kaputt ?? face-wink
https://is.gd/RKRiFn
Moersi
Moersi 13.07.2021 um 11:47:04 Uhr
Goto Top
Hallo.

hab das gestern getestet
als ich die mtu auf 1432 gesetzt habe,war der ping auch erfolgreich. die rdp verbindung allerdings wieder nicht. erst als ich die mtu auf 1300 gesetzt habe hat dann auch die rdp verbindung geklappt.
mein kollege wird es in den nächsten tage testen und er überlegt sich auch eine fritzbox anzuschaffen.
aber danke für die hilfe
aqui
aqui 14.07.2021 um 10:45:39 Uhr
Goto Top
aber danke für die hilfe
Immer gerne !
P.S.:
Korrekte Rechtschreibung (Groß- Klein) hilft allen hier bei der Übersichtlichkeit ! face-wink