gandyandy
Jan 18, 2019
view5977
view14
0
Goto Top

Probleme mit OpenVPN TCP Adresse

GermanQuestionRouters, RoutingNetworks
Hallo!

Ich habe einen Server mit der IP 192.168.33.6, hinter einer Fritzbox 7490. Dort soll von Außen per VPN auf das Netzwerk zugegriffen werden. Bekomme aber keine Verbindung aufgebaut. Es hat mal Funktioniert, danach wurde aber die Config verändert und jetzt bekomme ich es nicht mehr ans Laufen... Der Server hat Statische IP, der PC von aussen soll je nach dem was einfacher zu Realisieren ist DHCP oder Statisch. Firewall Server un Fritzbox sind aus, hat ja auch schonmal funktiniert... VPN soll über TCP Port laufen, UDP Probleme mit der freigabe in der Fritzbox.

Die Log datei sagt folgendes:
Fri Jan 18 14:28:13 2019 open_tun
Fri Jan 18 14:28:13 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{890C9401-8DE2-417F-8398-703B2A258271}.tap
Fri Jan 18 14:28:13 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.33.50/255.255.255.0 on interface {890C9401-8DE2-417F-8398-703B2A258271} [DHCP-serv: 192.168.33.0, lease-time: 31536000]
Fri Jan 18 14:28:13 2019 Successful ARP Flush on interface [17] {890C9401-8DE2-417F-8398-703B2A258271}
Fri Jan 18 14:28:13 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Jan 18 14:28:13 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:13 2019 Attempting to establish TCP connection with [AF_INET]91.54.33.49:40165 [nonblock]
Fri Jan 18 14:28:14 2019 TCP connection established with [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:14 2019 TCP_CLIENT link local: (not bound)
Fri Jan 18 14:28:14 2019 TCP_CLIENT link remote: [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:14 2019 Connection reset, restarting [-1]
Fri Jan 18 14:28:14 2019 SIGUSR1[soft,connection-reset] received, process restarting
Fri Jan 18 14:28:19 2019 Re-using pre-shared static key
Fri Jan 18 14:28:19 2019 Preserving previous TUN/TAP instance: Ethernet 2
Fri Jan 18 14:28:19 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:19 2019 Attempting to establish TCP connection with [AF_INET]91.54.33.49:40165 [nonblock]
Fri Jan 18 14:28:20 2019 TCP connection established with [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:20 2019 TCP_CLIENT link local: (not bound)
Fri Jan 18 14:28:20 2019 TCP_CLIENT link remote: [AF_INET]91.54.33.49:40165
Fri Jan 18 14:28:20 2019 Connection reset, restarting [-1]
Fri Jan 18 14:28:20 2019 SIGUSR1[soft,connection-reset] received, process restarting
Fri Jan 18 14:28:23 2019 SIGTERM[hard,init_instance] received, process exiting


Die Config Server ist:

dev tap
proto tcp-server
tls-server
port 40165
ifconfig 192.168.33.6 255.255.255.0 # IPAdresse und Subnetzmaske
secret key.txt
ping-timer-rem
keepalive 10 60
persist-key
persist-tun


Die Config Client ist:

dev tap
proto tcp-client
port 40165
remote **.myfritz.net (DNS Name wurde ausgeklammert) Funktioniert, lässt sich Extern Pingen mit der richtigen Inet IP
ifconfig 192.168.33.50 255.255.255.0
secret key.txt
keepalive 10 60
cipher AES-256-CBC
persist-key
persist-tun

So wie es aussieht bekommt der Client keine IP bzw falsch zugeordnet... Als es mal lief war es noch über UDP, was aber wegen Probleme der Fritzbox nicht genutzt werden kann... Der TCP Port ist frei bzw Offen, daher soll es jetzt über TCP laufen.

Danke, Grüße
Andre
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 398704

Url: https://administrator.de/contentid/398704

Printed on: April 25, 2024 at 04:04 o'clock

14 Comments
Latest comment
Goto Top
Mitglied: 129580
129580 Jan 18, 2019 updated at 14:26:12 (UTC)
Goto Top
Hallo,

VPN soll über TCP Port laufen, UDP Probleme mit der freigabe in der Fritzbox.

Welche Probleme? Dann sollte man diese beheben.
Von TCP würde ich abraten, da du bereits innerhalb des Tunnels TCP Segmente überträgst.
Das kann zu Beeinträchtigung von Performance führen.

dev tap

Warum Ethernet Bridging? Für einen einfachen Remote Access ist Routing die empfohlene Variante!
Sowas setzt man nur in absoluten Spezialfällen ein, da Ethernet Bridging zu Performance und Sicherheitsprobleme im Netz führen kann.

Der TCP Port ist frei bzw Offen, daher soll es jetzt über TCP laufen.

Warum überhaupt ein Loch ins LAN bauen, wenn die Fritzbox VPN beherrscht?

Ansonsten schau mal in das Log vom OpenVPN Server ggf. erhöhe das Log Level.

Viele Grüße,
Exception
Member: Gandyandy
Gandyandy Jan 18, 2019 at 14:36:16 (UTC)
Goto Top
Hallo!

UDP Probleme können nicht gelöst werden, schon mit AVM geklärt, die Fritzbox leitet den Port nicht weiter trotz Status Grün bei freigaben.
Der TCP Port ist frei, und andere haben es auch so am laufen, das ist die Hautsache.

Dev Tab - wurde in der Anteilung so beschrieben, weiss auch nicht wie ich es umstellen könnte, alle How tos dazu sind mehr als "ungenau"

FritzVpn kommt nicht in Frage, da die gegenstelle Notebook ist ohne Fritzbox und Wechselndem Standort. Habe jetzt seit ende ISDN Zeiten kein VPN mehr eingerichtet daher absolute Anfänger :/
Member: Pjordorf
Pjordorf Jan 18, 2019 at 15:36:26 (UTC)
Goto Top
Hallo,

Zitat von @Gandyandy:
UDP Probleme können nicht gelöst werden, schon mit AVM geklärt, die Fritzbox leitet den Port nicht weiter trotz Status Grün bei freigaben.
Das solltest du mal etwas näher erläutern was nicht geht und warum AVM sagt "Es ist so" - wenn du magst.

Der TCP Port ist frei, und andere haben es auch so am laufen, das ist die Hautsache.
Wolltest du nicht UDP nutzen?

Dev Tab - wurde in der Anteilung so beschrieben, weiss auch nicht wie ich es umstellen könnte, alle How tos dazu sind mehr als "ungenau"
Welche Anleitungen, du nennst ja keine

FritzVpn kommt nicht in Frage, da die gegenstelle Notebook ist ohne Fritzbox
Da muss an der Gegenstellen keine Fritte sein und bei einen VPN Client zu Server schon recht keine Fritte.

und Wechselndem Standort.
Dafür ist ja das VPN Client zu Server gedacht.

Habe jetzt seit ende ISDN Zeiten kein VPN mehr eingerichtet daher absolute Anfänger :/
Schrewsoft tuts auch nicht?

https://www.alant.de/sonstiges1/tips-und-tricks/avm-fritz/238-vpn-client ...
https://www.rokawedes.de/faq-reader/wie-baue-ich-eine-vpn-verbindung-zur ...
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Gruß,
Peter
Member: Gandyandy
Gandyandy Jan 18, 2019 at 16:30:06 (UTC)
Goto Top
Die Fritzbox lässt keine UDP Ports durch - mit AVM Support geklärt - TCP wird genommen da dort ein Port frei ist. Wenn AVM das so sagt bringt es nix es nicht zu Akzeptieren, ich muss das jetzt per TCP ans laufen bekommen...

Nein, ich möchte TCP Nutzen - UDP keine Portweiterleitung möglich

Diese Anleitung z.b. https://www.youtube.com/watch?v=j3bR6yN2Kzs, aber auch mehrere Seiten und FAQ der OpenVPN Seite

Ich kenne den FritzVPN Dienst nur BOX zu BOX - das es auch ohne geht ist mir neu - aber gut eine Option mehr

und Wechselndem Standort.
Dafür ist ja das VPN Client zu Server gedacht. - Verstehe nicht was mir damit mitgeteilt werden soll?!?

Schrewsoft sagt mir nichts, muss ich mich mal reinlesen.

Daher habe ich die Configs gepostet - in der hoffnung der ein Erfahrender User den Fehler direkt sieht
Member: Pjordorf
Pjordorf Jan 18, 2019 at 20:39:50 (UTC)
Goto Top
Hallo,

Zitat von @Gandyandy:
Die Fritzbox lässt keine UDP Ports durch - mit AVM Support geklärt - TCP wird genommen da dort ein Port frei ist. Wenn AVM das so sagt bringt es nix es nicht zu Akzeptieren, ich muss das jetzt per TCP ans laufen bekommen...
Das hört sich haarsträubend an, aber wenn du es so sagst wird es so sein oder du hast etwaqs von der AVM Antwort nicht Verstanden oder die haben dir haben dir Bullshit aufs Brötchen geschmiert.

UDP keine Portweiterleitung möglich
Sag das aber nicht jemanden der grad eine Portweiterleitung für eine oder mehrere UDP Ports mit einer AVM Fritte gemacht hat.

Diese Anleitung z.b. https://www.youtube.com/watch?v=j3bR6yN2Kzs, aber auch mehrere Seiten und FAQ der OpenVPN Seite
Das ist keine Anleitung sondern ein MöchtegernVideo...

Ich kenne den FritzVPN Dienst nur BOX zu BOX - das es auch ohne geht ist mir neu - aber gut eine Option mehr
Das nennt sich dann Standort zu Standort und macht nan wenn komplette Netze oder Standorte halt Verbunden werden sollen. Und wie kommen Laptops, Notebooks, Smartphones usw. ins Netz? Per WLAN und dann über VPN Standort zu Standort oder eben wenn ein Client sich mit einen VPN Server Verbindet. Manche sagen auch Road Warrior dazu. Entweder verbinden sich 40 entfernte Rechner per jeweils eigenen VPN Tunnel mit einen Server Oder du hast eine Standort zu Standort Verbindung. Aber das konnte die Fritte schon immer. Und man muss nur beachten das eine Fritte nur IKE Version 1 kann. Andere können teilweise nur IKE Version 2,oder aber gar kein IPSec, aber jeder Client dieser Welt konnte mal PPTP, was aber ein Apple Eierfon oder Tablette nun nicht mehr kann (wegen sicherheit).

Dafür ist ja das VPN Client zu Server gedacht. - Verstehe nicht was mir damit mitgeteilt werden soll?!?
Wenn nur ein Client (Smartphone, Tablette, Rechner, Telefon usw. ) sich mit einen VPN Server Verbinden tut. Denn ansonsten macht die VPN Verbindung ja zwei Gerätschaften und verbindet sso zwei Netze miteinander dfurch das unsichere und Böse Internet. Es reicht wenn z.B. ein PC sich per VPN (IPSec, L2TP, SSL, usw.) mit einen VPN Server Verbindet um auf andere Netze zuzugreifen. Z.B. TOR ist so ein Konstrukt.

Schrewsoft sagt mir nichts, muss ich mich mal reinlesen.
Das ist ein Kostenloser Client den es für Windows und Linux gibt. So wie manche eben ein Word haben wollen, wo andere mit einen einfachen Editor auskommen. Es gibt natürlich auch weitere Clients z.B. von Netgear oder CISCO oder Sophos (Astaro)usw., kosten alle irgendwo Geld wobei Shrewsoft eigentlich jedes VPN bedienen kann und eben Kostenlos ist. Wem das nicht gefällt, der kann sich ja ein VPN Client passend für sein VPN Server/Router dazukaufen. Oder halt ein Standort zu Standort VPN einrichten. (Braucht zwei VPN fähige Router)

Daher habe ich die Configs gepostet - in der hoffnung der ein Erfahrender User den Fehler direkt sieht
Welche OSe sind involviert?
Welche OpenVPN Version ist involviert?

Gruß,
Peter
Member: Henere
Henere Jan 19, 2019 at 00:22:02 (UTC)
Goto Top
Servus,

die 7490 mit FritzOS > 7.0 hat keine Probleme mit UDP Portforwarding.
Hab ich hier selbst so am laufen. Selbst die aktuelle Laborvariante läuft damit problemlos.

Grüße, Henere
Member: maretz
maretz Jan 19, 2019 updated at 08:56:43 (UTC)
Goto Top
Moin,

An die Kollegen: Ganz ehrlich, er hat jetzt mehrfach gesagt das er TCP nutzen will... Ob das die höchste Performance bietet stand nie zur Diskussion, oder? Ob AVM hier Unsinn erzählt oder nicht stand auch nicht zur Diskussion. Aussage war: Es soll TCP genutzt werden da UDP aus irgendeinem Grund nicht geht (und ich verwende z.B. selbst auch TCP mit gutem Grund - und die Performance is dabei zweitrangig!)

Was ich jedoch gesehen habe ist das Windows-Clients ggf. mal Hilfe brauchen ;). Ich musste z.B. für die Windows-Clients immer die Route per "Push" einfügen:
push "route 10.x.y.z 255.255.255.0"
in der entsprechenden Datei im CCD-Verzeichnis. Sonst wurde die Verbindung zwar aufgebaut aber hat nich funktioniert (Bei Mac/Linux war das so nicht nötig..).
Ich habe auch beim Client keine "ifconfig"-Zeile drin da ja mein Server dem die IP geben soll, der soll sich nicht einfach eine nehmen. Für statische IPs innerhalb des VPNs nutze ich ebenfalls im CCD-Verzeichnis die entsprechende Datei mit
ifconfig-push 10.x.y.z 10.a.b.c
Nicht das du einfach nur nen Problem damit hast das du dir ne IP schnappst die der OpenVPN-Server nicht mag.
Mitglied: 129580
129580 Jan 19, 2019 updated at 09:45:50 (UTC)
Goto Top
Moin,

An die Kollegen: Ganz ehrlich, er hat jetzt mehrfach gesagt das er TCP nutzen will... Ob das die höchste Performance bietet stand nie zur Diskussion, oder? Ob AVM hier Unsinn erzählt oder nicht stand auch nicht zur Diskussion.

Ich wollte damit keine Diskussion anfangen. War lediglich eine Empfehlung.
Ich kenne leider sehr viele Fälle, wo Leute, nur weil etwas nicht auf anhieb funktioniert hat, wild an der Konfiguration rumgespielt haben, bis es irgendwann funktioniert hat. Aber genau diese Konstrukte haben dann letztendlich große Probleme bereitet. Daher mein Kommentar bzw. meine Empfehlung das richtig zu machen. Das man TCP auch verwenden kann ist natürlich keine Frage. Andernfalls würden die Entwickler von OpenVPN das überhaupt nicht ermöglichen.


Zurück zum Thema. @Gandyandy: wie bereits geschrieben erhöhe mal das Log Level und schaue nochmal in das Log rein.
Nur das Log kann dir letztendlich exakt sagen, wo es hängt. face-wink
Member: aqui
aqui Jan 19, 2019 updated at 12:45:09 (UTC)
Goto Top
VPN soll über TCP Port laufen, UDP Probleme mit der freigabe in der Fritzbox.
Das ist natürlich wie immer Quatsch und zeigt auf eine Fehlkonfiguration.
OpenVPN empfiehlt selber wenn immer möglistch KEIN TCP als Tunnel Encapsulation zu benutzen und immer bei UDP zu bleiben wenn man nicht zwingend muss.
Der Grund ist auch klar und muss man hier sicher nicht weiter kommentieren. TCP Overhead und die massive Performance Anforderung. Ein weiteres gravierendes Problem ist die kleinere MTU und die damit verbundenen MTU Probleme.
Nutze also wenn immer du kannst UDP !!
Wenn du den Standard UDP Port 1194 nicht verwenden willst nimm welche aus den freien sog. Ephemeral Port Pool 49152 bis 65535 die von der IANA empfohlen sind: https://en.wikipedia.org/wiki/Ephemeral_port
Z.B. 51194.

Die grundsätzliche Frage ist ja warum du überhaupt überflüssigerweise ein OVPN VPN benutzt ?
Die FritzBox ist ja selber ein VPN Router und supportet IPsec VPNs.
Warum also einen sinnfreien extra "Durchlauferhitzer" wenn man alles bequem und einfach mit der FB selber machen kann ?!!
https://avm.de/service/vpn/uebersicht/
Member: Gandyandy
Gandyandy Jan 21, 2019 at 14:07:10 (UTC)
Goto Top
Hallo!

Danke an alle schonmal, besonders an die die versuchen die bitten des fragestellers zu Respaktieren!

Bin jetzt auf Shrew Soft gewechselt in Verbindung mit dem Internen VPN Server der Fritzbox, Verbindung wird auch aufgebaut, aber die Virtuelle Netzwerkkarte bekommt keinen Gateway.. IP und Subnetz passen. Konnte noch keine Howto finden wo ich die IP ändern kann bzw vergeben kann...

Der Server hat die 192.168.33.6 Statisch
Fritzbox 192.168.33.1
Client (Virtual NW) 192.168.33.201

was benötigt Ihr noch an Infos, Config Datei oder ähnliches?

Danke - Grüße Andy
Member: Pjordorf
Pjordorf Jan 21, 2019 at 14:24:05 (UTC)
Goto Top
Hallo,

Zitat von @Gandyandy:
Bin jetzt auf Shrew Soft gewechselt
OK

aber die Virtuelle Netzwerkkarte bekommt keinen Gateway.. IP und Subnetz passen. Konnte noch keine Howto finden wo ich die IP ändern kann bzw vergeben kann...
Schon mal gesucht in dein World Wide Web?
https://www.google.com/search?q=shrew+soft+vpn+client+and+avm+fritzbox
https://www.google.com/search?q=how+to+shrew+soft+with+fritzbox

Gruß,
Peter
Member: Gandyandy
Gandyandy Jan 21, 2019 at 14:35:48 (UTC)
Goto Top
Hallo Peter - Super Clevere Antwort - google.de suchbegriffe^^ das sagt viel drüber aus wie Du hier über die Leute denkst! Ja klar habe ich schon dort geguckt, das ist das erste was man macht, aber dort auch wiedersprüchliche Informationen gefunden, daher eine Nette frage in eine Runde von besser Qualifizierten die gerne Hilfestellung geben. Lass es Bitte auf meine Posts mit son Blech zu Antworten....
Member: aqui
aqui Jan 21, 2019 at 14:37:21 (UTC)
Goto Top
Konnte noch keine Howto finden wo ich die IP ändern kann bzw vergeben kann...
Guckst du hier.
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Member: Pjordorf
Pjordorf Jan 21, 2019 updated at 15:49:09 (UTC)
Goto Top
Hallo,

Zitat von @Gandyandy:
Lass es Bitte auf meine Posts mit son Blech zu Antworten....
Naja, du hast doch
Konnte noch keine Howto finden wo...
behauptet. Lesen musst du schon selbst und nicht daraufhin beten das dir hier jemand alles vorkaut und eintrichtert.

Gruß,
Peter
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments