16
VPN Verbindung plötzlich nur mehr über Mobilnetz möglich
Hallo,
Ich habe folgendes Setup das bislang tadellos funktioniert hat, um per VPN auf mein Netzwerk im Haus zugreifen zu können. Sprich IP-Kameras, Routeroberfläche-Zugriff, FTP etc...
Am Freitag habe ich Provider gewechselt, also neues Modem bekommen, IP Range auf die des alten Modems gestellt damit es keine Troubles gibt (haha), dann Portweiterleitung für OpenVPN 1194 zum VPN Router eingerichtet und am Handy über Mobilnetz getestet: funktioniert! Dachte damit hat es sich.
Gestern habe ich das selbe in der Wohnung über WLAN probiert und musste feststellen, dass ich zwar eine VPN Verbindung herstellen kann, einzelne Geräte anpingen oder tracen kann, aber auf eine Weboberfläche oder auf die Kameras komm ich nicht mehr. Ich kann FTP verbinden, durch die Ordnerstruktur springen, die neuesten Dateien sehen, aber kopieren oder öffnen geht nicht.
Dachte zuerst IP Range des Wohnungs-WLANs interferiert, aber das ist ja 192.168.0.1, sollte also kein Problem sein, war es auch bisher nicht.
Es geht über WLAN weder Handy noch Laptop.
Norton testweise deaktiviert, hilft auch nix.
Ich dachte dass ich vielleicht irgendwas vergessen hatte am neuen Modem einzustellen, aber eigentlich sollte doch OpenVPN Port reichen?
Hat jemand vielleicht einen Geistesblitz?
Nachtrag: Ich habe soeben über Laptop tatsächlich auf die Weboberfläche des VPNRouters zugreifen können, jedoch hat es mehrere Minuten gedauert, bis die Seite halbwegs aufgebaut war und irgendwann dann Abbruch. Aber die teilweise geladenen Daten, Uhrzeit etc. sind aktuell, also Zugriff, nur halt mies...
Ich habe folgendes Setup das bislang tadellos funktioniert hat, um per VPN auf mein Netzwerk im Haus zugreifen zu können. Sprich IP-Kameras, Routeroberfläche-Zugriff, FTP etc...
Am Freitag habe ich Provider gewechselt, also neues Modem bekommen, IP Range auf die des alten Modems gestellt damit es keine Troubles gibt (haha), dann Portweiterleitung für OpenVPN 1194 zum VPN Router eingerichtet und am Handy über Mobilnetz getestet: funktioniert! Dachte damit hat es sich.
Gestern habe ich das selbe in der Wohnung über WLAN probiert und musste feststellen, dass ich zwar eine VPN Verbindung herstellen kann, einzelne Geräte anpingen oder tracen kann, aber auf eine Weboberfläche oder auf die Kameras komm ich nicht mehr. Ich kann FTP verbinden, durch die Ordnerstruktur springen, die neuesten Dateien sehen, aber kopieren oder öffnen geht nicht.
Dachte zuerst IP Range des Wohnungs-WLANs interferiert, aber das ist ja 192.168.0.1, sollte also kein Problem sein, war es auch bisher nicht.
Es geht über WLAN weder Handy noch Laptop.
Norton testweise deaktiviert, hilft auch nix.
Ich dachte dass ich vielleicht irgendwas vergessen hatte am neuen Modem einzustellen, aber eigentlich sollte doch OpenVPN Port reichen?
Hat jemand vielleicht einen Geistesblitz?
Nachtrag: Ich habe soeben über Laptop tatsächlich auf die Weboberfläche des VPNRouters zugreifen können, jedoch hat es mehrere Minuten gedauert, bis die Seite halbwegs aufgebaut war und irgendwann dann Abbruch. Aber die teilweise geladenen Daten, Uhrzeit etc. sind aktuell, also Zugriff, nur halt mies...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1777347041
Url: https://administrator.de/forum/vpn-verbindung-ploetzlich-nur-mehr-ueber-mobilnetz-moeglich-1777347041.html
Ausgedruckt am: 17.04.2025 um 02:04 Uhr
16 Kommentare
Neuester Kommentar
Aus den (leider) wenigen Fakten schliessen wir mal das du OpenVPN als VPN Protokoll mit SSL, UDP 1194 nutzt, ist das richtig ?
Du schreibst Providerwechsel...?! Bei einem Netzwerker gehen dann natürlich immer die roten Lampen an in puncto DS-Lite. Ist dieser neue Provider ggf. einer mit DS-Lite und CGN ??
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
DS-Lite Anschlüssen lassen bekanntlich aus technischen Gründen generell keinerlei remote IPv4 Verbindung zu. Nur noch mit IPv6. Grund ist das du das Provider interne CGN Gateway nicht überwinden kannst. Weist du ja sicher auch selber. Fragt sich also ob die o.a. "fixe IP" einen v4 IP ist auch mit dem neuen Provider ?
Wenn ja wäre eine MTU Problematik ein möglicher Grund.
Du schreibst Providerwechsel...?! Bei einem Netzwerker gehen dann natürlich immer die roten Lampen an in puncto DS-Lite. Ist dieser neue Provider ggf. einer mit DS-Lite und CGN ??
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
DS-Lite Anschlüssen lassen bekanntlich aus technischen Gründen generell keinerlei remote IPv4 Verbindung zu. Nur noch mit IPv6. Grund ist das du das Provider interne CGN Gateway nicht überwinden kannst. Weist du ja sicher auch selber. Fragt sich also ob die o.a. "fixe IP" einen v4 IP ist auch mit dem neuen Provider ?
Wenn ja wäre eine MTU Problematik ein möglicher Grund.
Hallo aqui,
danke für Deine Antwort, ich bemühe mich alle fehlenden, notwendigen Infos bereitzustellen, wobei ich dazu sagen muss, dass ich da eher interessierter, experimentierfreudiger Laie bin als alles andere.
Also OpenVPN über UPD 1194 SSL - JA
Providerwechsel: es handelt sich um einen VDSL Anschluss, vormals Telefon über österr. A1, Internet entbündelt bei einem alternativen Anbieter dazu. Dieser hat gekündigt weil irgendwie gibt es diese Anschlussart nicht mehr.... Gewechselt wurde komplett zu Fonira, ebenfalls ein alternativer Anbieter, also Telefon und Internet gemeinsam. Dieser hat zwar CGN, deshalb habe ich extra eine fixe IPv4 dazubestellt (185.x.x.x).
DS-LITE: puh, überfragt, lässt sich das aus meinen weiteren Angaben schon ableiten oder fehlt noch was dazu?
Mit dieser fixen IPv4 kann ich problemlos über Handy zugreifen wie immer schon, sofern ich mich über mobile Daten ins VPN einwähle. Nur über WLAN eben nicht mehr.
danke für Deine Antwort, ich bemühe mich alle fehlenden, notwendigen Infos bereitzustellen, wobei ich dazu sagen muss, dass ich da eher interessierter, experimentierfreudiger Laie bin als alles andere.
Also OpenVPN über UPD 1194 SSL - JA
Providerwechsel: es handelt sich um einen VDSL Anschluss, vormals Telefon über österr. A1, Internet entbündelt bei einem alternativen Anbieter dazu. Dieser hat gekündigt weil irgendwie gibt es diese Anschlussart nicht mehr.... Gewechselt wurde komplett zu Fonira, ebenfalls ein alternativer Anbieter, also Telefon und Internet gemeinsam. Dieser hat zwar CGN, deshalb habe ich extra eine fixe IPv4 dazubestellt (185.x.x.x).
DS-LITE: puh, überfragt, lässt sich das aus meinen weiteren Angaben schon ableiten oder fehlt noch was dazu?
Mit dieser fixen IPv4 kann ich problemlos über Handy zugreifen wie immer schon, sofern ich mich über mobile Daten ins VPN einwähle. Nur über WLAN eben nicht mehr.
Fixe v4 WAN IP ist dann sehr wahrscheinlich kein DS-Lite. Frage aber zur Sicherheit nochmal deinen Provider ob das auch alles aktiv ist bzw. checke deinen WAN/VDSL Port im Router im Status GUI was dort für eine IP vergeben wurde.
Viele Provider filtern auf einfachen Consumer Anschlüssen sehr häufig die klassischen VPN Ports weil sie das nur teureren Business Verträgen vorbehalten. Kläre auch das wasserdicht mit deinem neuen Provider bevor du dir einen Wolf suchst !!!
Testweise setzt du deinen OpenVPN Server statt UDP 1194 (OpenVPN Default) mal auf einem Ephemeral Port der immer frei ist wie z.B. UDP 51194 und checkst damit mal die VPN Connectivity !
Alles andere erklärt dir das hiesige Router Kaskaden Setup mit doppeltem NAT und doppeltem Firewalling was in so einer Kaskade zu beachten ist !
Wie immer sind OpenVPN Logs von Server und Clients beim Dialin hier sehr hilfreich um zielführend helfen zu können.
Ebenso wenn du mit aktivem VPN mal einen MTU Check machst:
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on- ...
usw. usw.
https://wiki.linuxmuster.net/archiv/version3:ovpn_mtu
Viele Provider filtern auf einfachen Consumer Anschlüssen sehr häufig die klassischen VPN Ports weil sie das nur teureren Business Verträgen vorbehalten. Kläre auch das wasserdicht mit deinem neuen Provider bevor du dir einen Wolf suchst !!!
Testweise setzt du deinen OpenVPN Server statt UDP 1194 (OpenVPN Default) mal auf einem Ephemeral Port der immer frei ist wie z.B. UDP 51194 und checkst damit mal die VPN Connectivity !
Alles andere erklärt dir das hiesige Router Kaskaden Setup mit doppeltem NAT und doppeltem Firewalling was in so einer Kaskade zu beachten ist !
Wie immer sind OpenVPN Logs von Server und Clients beim Dialin hier sehr hilfreich um zielführend helfen zu können.
Ebenso wenn du mit aktivem VPN mal einen MTU Check machst:
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on- ...
usw. usw.
https://wiki.linuxmuster.net/archiv/version3:ovpn_mtu
Hi,
könntest Du Dein Setup nochmal detaillierter beschreiben, irgendiwe ist das selbst in der Zeichnung nicht ganz klar.
Hängt Dein WLAN am selben Anschluss? Also der Access Point (AP) ist mit dem Router verbunden? Oder steht der Router nicht am selben Ort?
Ggf. ist einfach die AP Konfiguration nicht korrekt. Dann bräuchtest Du vermutlich gar keine VPN-Einwahl um die Geräte hinter dem VPN-Router zu erreichen. Das würde auch erklären, warum es nach Providerwechsel über mobiles INternet funktioniert und über das WLAN nicht.
Oder hat das WLAN einen separaten Internet-Anschluss?
Es würde außerdem helfen, wenn Du die eingesetzten Router-/AP-Hersteller und Modelle dazuschreiben würdest.
Gruß
cykes
könntest Du Dein Setup nochmal detaillierter beschreiben, irgendiwe ist das selbst in der Zeichnung nicht ganz klar.
Hängt Dein WLAN am selben Anschluss? Also der Access Point (AP) ist mit dem Router verbunden? Oder steht der Router nicht am selben Ort?
Ggf. ist einfach die AP Konfiguration nicht korrekt. Dann bräuchtest Du vermutlich gar keine VPN-Einwahl um die Geräte hinter dem VPN-Router zu erreichen. Das würde auch erklären, warum es nach Providerwechsel über mobiles INternet funktioniert und über das WLAN nicht.
Oder hat das WLAN einen separaten Internet-Anschluss?
Es würde außerdem helfen, wenn Du die eingesetzten Router-/AP-Hersteller und Modelle dazuschreiben würdest.
Gruß
cykes
Das WLAN 192.168.0.0 /24 soll man vermutlich (geraten) als remoten Standort verstehen ?!?
Obwohl dann die IP Adressierung für VPNs nicht gerade besonders intelligent gewählt wurde mit diesen millionenfachen IP Allerweltsnetzen. Siehe HIER !
Das wird damit früher oder später dann eh zu Problemen führen mit dem VPN Zugriff.
Obwohl dann die IP Adressierung für VPNs nicht gerade besonders intelligent gewählt wurde mit diesen millionenfachen IP Allerweltsnetzen. Siehe HIER !
Das wird damit früher oder später dann eh zu Problemen führen mit dem VPN Zugriff.
Hallo,
dass ich nicht alles unbedingt intelligent gemacht habe will ich gar nicht anzweifeln, wie gesagt LAIE, aber es hat ja zwei Jahre ohne Probleme funktioniert. Bzw es scheint ja nach wie vor über WLAN zu funktionieren (ping, tracert), aber halt irgendwie nicht ganz.
VPN Port kann ich erst wieder nächstes Wochenende ändern, wenn ich vor Ort bin.
OpenVPN Logs von Android einmal über Mobildaten, einmal über WLAN gerade gemacht, sehe aber keine Anhangsfunktion? Wobei ich augenscheinlich keinen Unterschied zwischen den beiden feststellen kann.
MTU Check über WLAN mit einer der Kameras im VPN Netz: Größer geht nicht
Ping wird ausgeführt für 192.168.1.30 mit 1472 Bytes Daten:
Antwort von 192.168.1.30: Bytes=1472 Zeit=49ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=46ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=58ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=48ms TTL=63
Ping-Statistik für 192.168.1.30:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 46ms, Maximum = 58ms, Mittelwert = 50ms
Und nochmal etwas mehr Daten in der Grafik:
Also zwei separate Standorte.
dass ich nicht alles unbedingt intelligent gemacht habe will ich gar nicht anzweifeln, wie gesagt LAIE, aber es hat ja zwei Jahre ohne Probleme funktioniert. Bzw es scheint ja nach wie vor über WLAN zu funktionieren (ping, tracert), aber halt irgendwie nicht ganz.
VPN Port kann ich erst wieder nächstes Wochenende ändern, wenn ich vor Ort bin.
OpenVPN Logs von Android einmal über Mobildaten, einmal über WLAN gerade gemacht, sehe aber keine Anhangsfunktion? Wobei ich augenscheinlich keinen Unterschied zwischen den beiden feststellen kann.
MTU Check über WLAN mit einer der Kameras im VPN Netz: Größer geht nicht
Ping wird ausgeführt für 192.168.1.30 mit 1472 Bytes Daten:
Antwort von 192.168.1.30: Bytes=1472 Zeit=49ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=46ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=58ms TTL=63
Antwort von 192.168.1.30: Bytes=1472 Zeit=48ms TTL=63
Ping-Statistik für 192.168.1.30:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 46ms, Maximum = 58ms, Mittelwert = 50ms
Und nochmal etwas mehr Daten in der Grafik:
Also zwei separate Standorte.
- WIE ist dein MTU Setting des Tunnel Interfaces in der VPN Server Konfig Datei ? Hast du mal mit entsprechend kleineren MTU und MSS Werten wie z.B. –tun-mtu 1450 –mssfix 1410 getestet ?
- Arbeitest du am Server bzw. Client (Konfig) mit Gateway Redirect oder mit Split Tunneling ?
Mist, ich habe gleich erkannt, wenn die Hälfte funktioniert und andere Sachen nicht, ist es einfach nur eine zu große MTU. Ich habe alle Kommentare gelesen und keiner hat die MTU erwähnt. Und dann kommt aqui mit dem aller untersten Beitrag und klaut mir die ganze Show...
Zeigt aber das du auch den richtigen Riecher hattest... 😉
Hi,
Ich hab am Server glaub ich keine Möglichkeit die Konfiguration wirklich auszulesen, das ist halt ein Router für Dummies.
Vielleicht hilft das client log, ich kopiers mal rein: Android über WLAN, Mobildaten sieht aber genauso aus:
15:19:33.299 -- ----- OpenVPN Start -----
15:19:33.300 -- EVENT: CORE_THREAD_ACTIVE
15:19:33.304 -- OpenVPN core 3.git::662eae9a:Release android arm64 64-bit PT_PROXY
15:19:33.305 -- Frame=512/2048/512 mssfix-ctrl=1250
15:19:33.307 -- UNUSED OPTIONS
2 [nobind]
5 [sndbuf]
6 [rcvbuf]
15:19:33.308 -- EVENT: RESOLVE
15:19:33.372 -- Contacting 185.x.x.x:1194 via UDP
15:19:33.374 -- EVENT: WAIT
15:19:33.378 -- Connecting to [xxxxxxxxxxxxx]:1194 (185.x.x.x) via UDPv4
15:19:34.516 -- EVENT: CONNECTING
15:19:34.520 -- Tunnel Options:V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client
15:19:34.521 -- Creds: Username/Password
15:19:34.522 -- Peer Info:
IV_VER=3.git::662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.5-7182
IV_SSO=openurl
15:19:34.959 -- VERIFY OK: depth=1, /C=TW/ST=TW/L=Taipei/O=ASUS/CN=RT-AC52U_B1/emailAddress=me@myhost.mydomain
15:19:34.961 -- VERIFY OK: depth=0, /C=TW/ST=TW/L=Taipei/O=ASUS/CN=RT-AC52U_B1/emailAddress=me@myhost.mydomain
15:19:35.537 -- SSL Handshake: CN=RT-AC52U_B1, TLSv1, cipher SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
15:19:35.539 -- Session is ACTIVE
15:19:35.540 -- EVENT: GET_CONFIG
15:19:35.544 -- Sending PUSH_REQUEST to server...
15:19:35.573 -- OPTIONS:
0 [route] [192.168.1.0] [255.255.255.0] [vpn_gateway] [500]
1 [dhcp-option] [DNS] [192.168.1.1]
2 [route] [10.8.0.0] [255.255.255.0]
3 [topology] [net30]
4 [ping] [15]
5 [ping-restart] [60]
6 [ifconfig] [10.8.0.10] [10.8.0.9]
15:19:35.574 -- PROTOCOL OPTIONS:
cipher: AES-128-CBC
digest: SHA1
compress: LZO_STUB
peer ID: -1
15:19:35.575 -- EVENT: ASSIGN_IP
15:19:35.607 -- Connected via tun
15:19:35.608 -- LZO-ASYM init swap=0 asym=1
15:19:35.610 -- Comp-stub init swap=0
15:19:35.611 -- EVENT: CONNECTED info='xxxxxxxxxxxxxxxxxxxxx:1194 (185.x.x.x) via /UDPv4 on tun/10.8.0.10/ gw=[10.8.0.9/]'
im client Config seh ich nicht viel:
remote xxxxxxxxxxx 1194
float
nobind
proto udp
dev tun
sndbuf 0
rcvbuf 0
keepalive 15 60
comp-lzo adaptive
auth-user-pass
client
cipher AES-128-CBC
ns-cert-type server
<ca>
BEGIN CERTIFICATE-----
xxxxx
END CERTIFICATE-----
</ca>
<cert>
BEGIN CERTIFICATE-----
xxxxx
END CERTIFICATE-----
</cert>
<key>
BEGIN PRIVATE KEY-----
xxxxx
END PRIVATE KEY-----
</key>
Aber wenn ich jetzt euren Gedanken versuche zu interpretieren, dann müsste doch mein ISP an Standort B kürzlich etwas geändert haben, denn OpenVPN Konfiguration hab ich nicht geändert, die Endgeräte gehen auch über Mobildaten oder über WLAN Hotspot eines anderen Handys, somit sollte das neue Modem an Standort A auch richtig konfiguriert sein? Oder nicht?
Ich hab am Server glaub ich keine Möglichkeit die Konfiguration wirklich auszulesen, das ist halt ein Router für Dummies.
Vielleicht hilft das client log, ich kopiers mal rein: Android über WLAN, Mobildaten sieht aber genauso aus:
15:19:33.299 -- ----- OpenVPN Start -----
15:19:33.300 -- EVENT: CORE_THREAD_ACTIVE
15:19:33.304 -- OpenVPN core 3.git::662eae9a:Release android arm64 64-bit PT_PROXY
15:19:33.305 -- Frame=512/2048/512 mssfix-ctrl=1250
15:19:33.307 -- UNUSED OPTIONS
2 [nobind]
5 [sndbuf]
6 [rcvbuf]
15:19:33.308 -- EVENT: RESOLVE
15:19:33.372 -- Contacting 185.x.x.x:1194 via UDP
15:19:33.374 -- EVENT: WAIT
15:19:33.378 -- Connecting to [xxxxxxxxxxxxx]:1194 (185.x.x.x) via UDPv4
15:19:34.516 -- EVENT: CONNECTING
15:19:34.520 -- Tunnel Options:V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client
15:19:34.521 -- Creds: Username/Password
15:19:34.522 -- Peer Info:
IV_VER=3.git::662eae9a:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_GUI_VER=net.openvpn.connect.android_3.2.5-7182
IV_SSO=openurl
15:19:34.959 -- VERIFY OK: depth=1, /C=TW/ST=TW/L=Taipei/O=ASUS/CN=RT-AC52U_B1/emailAddress=me@myhost.mydomain
15:19:34.961 -- VERIFY OK: depth=0, /C=TW/ST=TW/L=Taipei/O=ASUS/CN=RT-AC52U_B1/emailAddress=me@myhost.mydomain
15:19:35.537 -- SSL Handshake: CN=RT-AC52U_B1, TLSv1, cipher SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
15:19:35.539 -- Session is ACTIVE
15:19:35.540 -- EVENT: GET_CONFIG
15:19:35.544 -- Sending PUSH_REQUEST to server...
15:19:35.573 -- OPTIONS:
0 [route] [192.168.1.0] [255.255.255.0] [vpn_gateway] [500]
1 [dhcp-option] [DNS] [192.168.1.1]
2 [route] [10.8.0.0] [255.255.255.0]
3 [topology] [net30]
4 [ping] [15]
5 [ping-restart] [60]
6 [ifconfig] [10.8.0.10] [10.8.0.9]
15:19:35.574 -- PROTOCOL OPTIONS:
cipher: AES-128-CBC
digest: SHA1
compress: LZO_STUB
peer ID: -1
15:19:35.575 -- EVENT: ASSIGN_IP
15:19:35.607 -- Connected via tun
15:19:35.608 -- LZO-ASYM init swap=0 asym=1
15:19:35.610 -- Comp-stub init swap=0
15:19:35.611 -- EVENT: CONNECTED info='xxxxxxxxxxxxxxxxxxxxx:1194 (185.x.x.x) via /UDPv4 on tun/10.8.0.10/ gw=[10.8.0.9/]'
im client Config seh ich nicht viel:
remote xxxxxxxxxxx 1194
float
nobind
proto udp
dev tun
sndbuf 0
rcvbuf 0
keepalive 15 60
comp-lzo adaptive
auth-user-pass
client
cipher AES-128-CBC
ns-cert-type server
<ca>
BEGIN CERTIFICATE-----
xxxxx
END CERTIFICATE-----
</ca>
<cert>
BEGIN CERTIFICATE-----
xxxxx
END CERTIFICATE-----
</cert>
<key>
BEGIN PRIVATE KEY-----
xxxxx
END PRIVATE KEY-----
</key>
Aber wenn ich jetzt euren Gedanken versuche zu interpretieren, dann müsste doch mein ISP an Standort B kürzlich etwas geändert haben, denn OpenVPN Konfiguration hab ich nicht geändert, die Endgeräte gehen auch über Mobildaten oder über WLAN Hotspot eines anderen Handys, somit sollte das neue Modem an Standort A auch richtig konfiguriert sein? Oder nicht?
das ist halt ein Router für Dummies.
Aber auch solche "Dummie" Router haben hast alle die Option eines Shell Zugangs mit SSH sprich PuTTY. Damit lassen sich dann in der Regel problemlos diese Konfig Dateien lesen.Mit der Client Konfig Datei kann man nicht so viel anfangen, da alle relevanten Settings immer in der Server Konfig Datei gemacht werden. (Siehe Tutorial)
Tunnel und Link MTU sind aber zu hoch und damit falsch eingestellt. Die Netto MTU von Ethernet ist ja schon 1500. Bei UDP Encapsulation und PPPoE Header ist sie also de facto immer kleiner und kann rein rechnerisch ja schon niemals größer als 1484 sein. (Siehe hier !)
Dummie Breitband Router gehen hier wegen ihres Ethernet Breitband Interfaces immer von falschen Werten aus. Der große Nachteil von Dummie Routern die oft nicht customizebar sind. Wenn du Glück hast hat er aber im Klicki Bunti GUI ein Feld wo du zusätzliche OpenVPN Parameter angeben kannst. Das wäre dann deine Chance.
Alternativ checken ob du z.B. OpenWRT als Firmware flashen kannst. Das würde das "Dummie" Problem sofort lösen und den Router dann voll customizebar machen. Sonst auf andere, sinnvollere, Admin freundlichere VPN Hardware umsatteln. Das Forum hier hat ja genügend Beispiele.
dann müsste doch mein ISP an Standort B kürzlich etwas geändert haben
Das könnte der Fall sein. Einige Provider wie z.B. Vodkafön stellen still und heimlich in manchen Bereichen ihre Anschlüsse auf DS-Lite um. DS-Lite ist aber zumindestens für IPv4 wegen der CGN Problematik dann das sofortige Aus für alle IPv4 basierten VPNs.Solltest du also zusätzlich auch mal klären ob das ggf. der Fall ist.
Hallo aqui,
gut diese Themen von wegen Putty und SSH sind für mich komplett neu, das dauert eine Weile bis ich mich da mal einlesen kann.
Ja so ein Eingabefeld zwecks Eingabe habe ich gefunden und auch Deine Parameter ausprobiert. Auf gut Glück wohl wissentlich, dass ich damit vermutlich auch den Server killen kann... ja hab ich dann auch gemacht :o Und ohne vorher direkten Fernzugriff einzurichten, somit steht die Mühle mal bis zum Wochenende. Dann versuch ichs nochmal. Und im Anschluss halt auch Port- und IP-Anpassungen.
Ich glaube im Standort B Router waren nur ipv6 Adressen hinterlegt, muss ich nochmal genau schauen am Abend. Angefragt hab ich zwar schon beim ISP aber noch keine Antwort erhalten...
gut diese Themen von wegen Putty und SSH sind für mich komplett neu, das dauert eine Weile bis ich mich da mal einlesen kann.
Ja so ein Eingabefeld zwecks Eingabe habe ich gefunden und auch Deine Parameter ausprobiert. Auf gut Glück wohl wissentlich, dass ich damit vermutlich auch den Server killen kann... ja hab ich dann auch gemacht :o Und ohne vorher direkten Fernzugriff einzurichten, somit steht die Mühle mal bis zum Wochenende. Dann versuch ichs nochmal. Und im Anschluss halt auch Port- und IP-Anpassungen.
Ich glaube im Standort B Router waren nur ipv6 Adressen hinterlegt, muss ich nochmal genau schauen am Abend. Angefragt hab ich zwar schon beim ISP aber noch keine Antwort erhalten...
Hi,
danke für Euren Input, das Problem scheint gelöst zu sein. Tatsächlich dürfte mein ISP kürzlich auf ipv6 DS Lite umgestellt haben. Ein Anruf bei der Technikhotline samt unbürokratisch durchgeführtem Wechsel zurück auf ipv4 war wohl ausreichend um das Ding wieder zum laufen zu bringen. Ich hab zwar den Port umgestellt aber das alleine dürfte kaum der Grund gewesen sein, und tun-mtu 1450 steht auch nicht mehr im Konfigurationsfeld.
Danke nochmals für Eure Hilfe und Geduld mit einem Laien
danke für Euren Input, das Problem scheint gelöst zu sein. Tatsächlich dürfte mein ISP kürzlich auf ipv6 DS Lite umgestellt haben. Ein Anruf bei der Technikhotline samt unbürokratisch durchgeführtem Wechsel zurück auf ipv4 war wohl ausreichend um das Ding wieder zum laufen zu bringen. Ich hab zwar den Port umgestellt aber das alleine dürfte kaum der Grund gewesen sein, und tun-mtu 1450 steht auch nicht mehr im Konfigurationsfeld.
Danke nochmals für Eure Hilfe und Geduld mit einem Laien
IPv4 ist schon mal nicht verkehrt zu haben, auf der Clientseite ist es jedoch normaler Weise nicht kritisch. Vermutlich hätte es schon gereicht die falsche MTU runter zu stellen.
Hat mich ja auch gewundert, aber Tatsache ist, es ging danach wieder ohne weitere Umstellungen. Mit MTU kann ich mich jetzt ja spielen, aktuell bekomme ich noch die Hinweismeldung, dass Server-Client unterschiedlich sind.
...und das sollte man immer korrigieren. 
