OpenVPN Server läuft, Fritzbox aus WAn erreichbar, aber keine Verbindung

drakrochma

drakrochma

Enthusiast
Thread Starter
Mitglied seit
21.07.2006
Beiträge
4.722
Ort
Mainz-KH
Hallo,

ich hab auf nem Dell T20 unter unraid openVPN eingerichtet.
Der Server läuft soweit.
Die Keys für die Clients hab ich auch erstellt und verteilt.
Die Verbindung zum Server von außerhalb wird über die Fritz.box per dnshome.de hergestellt.
Wenn ich über den Link zur Fritzbox zugreife erhalte ich von außerhalb Zugriff auf die Fritz.box.
Daher schließe ich das als Fehler eigentlich aus.

Laut unraid läuft der openVPN-server ohne Fehlermeldungen.

Allerdings kann ich mit keinem Client über die erstellten Keys auf den Server zugreifen.

Code: 
Sat Jun 03 15:48:07 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Sat Jun 03 15:48:07 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Jun 03 15:48:07 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Sat Jun 03 15:48:07 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Jun 03 15:48:07 2017 Need hold release from management interface, waiting...
Sat Jun 03 15:48:07 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Jun 03 15:48:07 2017 MANAGEMENT: CMD 'state on'
Sat Jun 03 15:48:07 2017 MANAGEMENT: CMD 'log all on'
Sat Jun 03 15:48:07 2017 MANAGEMENT: CMD 'echo all on'
Sat Jun 03 15:48:07 2017 MANAGEMENT: CMD 'hold off'
Sat Jun 03 15:48:07 2017 MANAGEMENT: CMD 'hold release'
Sat Jun 03 15:48:08 2017 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Jun 03 15:48:08 2017 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Jun 03 15:48:08 2017 MANAGEMENT: >STATE:1496497688,RESOLVE,,,,,,
Sat Jun 03 15:48:08 2017 TCP/UDP: Preserving recently used remote address: [AF_INET6]2a01:5c0:1d:4e10::1:1194
Sat Jun 03 15:48:08 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Jun 03 15:48:08 2017 UDP link local: (not bound)
Sat Jun 03 15:48:08 2017 UDP link remote: [AF_INET6]2a01:5c0:1d:4e10::1:1194
Sat Jun 03 15:48:08 2017 MANAGEMENT: >STATE:1496497688,WAIT,,,,,,
Sat Jun 03 15:49:08 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Jun 03 15:49:08 2017 TLS Error: TLS handshake failed
Sat Jun 03 15:49:08 2017 SIGUSR1[soft,tls-error] received, process restarting
Sat Jun 03 15:49:08 2017 MANAGEMENT: >STATE:1496497748,RECONNECTING,tls-error,,,,,
Sat Jun 03 15:49:08 2017 Restart pause, 5 second(s)
Sat Jun 03 15:49:13 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]100.64.214.246:1194
Sat Jun 03 15:49:13 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Jun 03 15:49:13 2017 UDP link local: (not bound)
Sat Jun 03 15:49:13 2017 UDP link remote: [AF_INET]100.64.214.246:1194
Sat Jun 03 15:49:13 2017 MANAGEMENT: >STATE:1496497753,WAIT,,,,,,
Sat Jun 03 15:50:13 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Jun 03 15:50:13 2017 TLS Error: TLS handshake failed
Sat Jun 03 15:50:13 2017 SIGUSR1[soft,tls-error] received, process restarting
Sat Jun 03 15:50:13 2017 MANAGEMENT: >STATE:1496497813,RECONNECTING,tls-error,,,,,
Sat Jun 03 15:50:13 2017 Restart pause, 5 second(s)
Sat Jun 03 15:50:18 2017 MANAGEMENT: >STATE:1496497818,RESOLVE,,,,,,
Sat Jun 03 15:50:18 2017 TCP/UDP: Preserving recently used remote address: [AF_INET6]2a01:5c0:1d:4e10::1:1194
Sat Jun 03 15:50:18 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Jun 03 15:50:18 2017 UDP link local: (not bound)
Sat Jun 03 15:50:18 2017 UDP link remote: [AF_INET6]2a01:5c0:1d:4e10::1:1194
Sat Jun 03 15:50:18 2017 MANAGEMENT: >STATE:1496497818,WAIT,,,,,,
Sat Jun 03 15:51:18 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Jun 03 15:51:18 2017 TLS Error: TLS handshake failed
Sat Jun 03 15:51:18 2017 SIGUSR1[soft,tls-error] received, process restarting
Sat Jun 03 15:51:18 2017 MANAGEMENT: >STATE:1496497878,RECONNECTING,tls-error,,,,,
Sat Jun 03 15:51:18 2017 Restart pause, 5 second(s)
Sat Jun 03 15:51:23 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]100.64.214.246:1194
Sat Jun 03 15:51:23 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Jun 03 15:51:23 2017 UDP link local: (not bound)
Sat Jun 03 15:51:23 2017 UDP link remote: [AF_INET]100.64.214.246:1194
Sat Jun 03 15:51:23 2017 MANAGEMENT: >STATE:1496497883,WAIT,,,,,,

und das war es...


Die Client-Files sind als "One Inline certificate file" erstellt.
Port-Forwarding für Port 1194 ist sowohl für IPv4 als auch IPv6 zum T20 eingerichtet.

Kann mir jemand sagen wo ich den Fehler habe?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja, laut Servereinstellungen sollte es nur über udp sein, aber aber beides weitergereicht.


€:
Bin eben kurz auf den Server gekommen ohne was geändert zu haben...
Warum auch immer schlägt die Verbindung jetzt erst 3-5 mal fehl und dann klappts plötzlich.
Zumindest aus dem LAN raus, von extern scheint es nicht zu klappen.

Ports werden aber als freigegeben angezeigt und auch als nach/von extern weitergeleitet
 
Zuletzt bearbeitet:
Na ja, da steht auch TLS Handshake failed. Mal gegoogelt?
 
Ja.
Firewall blockt oder router gibt ports nicht weiter.

Port wird als freigegeben geführt.
 
...also, wenn das TLS Handshake schiefgeht, steht keine OpenVPN Verbindung.
Wie greifst Du dann von aussen auf die Fritz zu?

Hast Du in der Fritz auch das VPN aktiv?
Ich würde das mal aussetzen/deaktivieren und den unRAID (OVPN-)Server in der Fritz als exposed Host eintragen....
 
Moin,

ein erfolgreicher Verbindungsaufbau endet im Logfile mit

Code: 
Jun  3 23:20:08 moehre ovpn-xyz[10934]: Peer Connection Initiated with [AF_INET]777.333.442.355:65000
Jun  3 23:20:09 moehre ovpn-xyz[10934]: Initialization Sequence Completed


Die Ziel IP oben ist natürlich eine Fakeadresse.

-teddy
 
Geht es denn aus dem LAN heraus auch nicht zuverlässig? Wenn ja, dann bring das erstmal zum Laufen.
 
So, mit viel rum probieren kann ich jetzt wenigstens aus dem LAN drauf zugreifen.
Bin eingeloggt ohne weitere Fehlermeldungen.

Aber aus dem Internet kann keiner drauf zugreifen.
Was mir aufgefallen ist:
Laut Fritzbos ist meine IP 100.64....
Laut openvpn ist meine IP 156.67....

Wenn ich per trace die IPs suche lande ich bei der ersten hier in der Gegend, aber ca 60km neben dem Ziel.
Wenn ich per trace die IPs suche lande ich bei der zweiten in der Nähe von Stockholm...

Kanns sein, dass ich bei meinem Anbieter in einem Subnetz hänge und die Fritzbox die externe IP sieht, openVPN aber die im Subnetz.

Kann man das per IPv6 umgehen?
Und wenn ja, wie mach ich das ?
 
Meine Glaskugel ist kaputt, ich kann weder Deinen Provider sehen noch, was er macht.
 
dirk11 schrieb:
Meine Glaskugel ist kaputt, ich kann weder Deinen Provider sehen noch, was er macht.
Zum Vergrößern anklicken....

Die Frage war auch weniger ob es so ist als eher ob das eine mögliche Ursache sein kann.
Viele andere Programme bekommen es ja auch auf die Reihe die Daten hier ankommen zu lassen, und das auch in beide Richtungen.
Warum kann es dann openvpn nicht?
Oder kann es das und die Ursache muss wo anders liegen?

Gibts ne Möglichkeit sowas zu kontrollieren ohne bei inexio wieder ewig in der Warteschliefe hängen zu müssen?

Hat sonst noch jemand Ansätze was ich versuchen könnte oder gibts noch Infos, die euch helfen würden?
 
Zuletzt bearbeitet:
Zeig mal Deine Server/Client Config, mal versucht eine statische Route in der fritze zu setzen ? Windows Firewalls haste testweise deaktiviert ?
 
Hallo,

was für ne Config brauchst du da?
Die Einstellungen?
Den Schlüssel?

So sieht die Serverconfig aus:
server1.jpgserver2.jpg


Und das ist der Output, wenn ich noch nen Client anlege:
Adding client: TestV1
spawn ./easyrsa build-client-full TestV1 nopass
Generating a 2048 bit RSA private key
.............................................................+++
.......................................+++
writing new private key to '/mnt/user/appdata/myVPNserver/easy-rsa/easyrsa3/pki/private/TestV1.key.XXXXPzjXUP'
-----
Using configuration from /mnt/user/appdata/myVPNserver/easy-rsa/easyrsa3/openssl-1.0.cnf
Enter pass phrase for /mnt/user/appdata/myVPNserver/easy-rsa/easyrsa3/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'TestV1'
Certificate is to be certified until Jun 6 14:39:55 2027 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
you got only one client script, instead of script plus 4 keys and certs
Done Inline file !
Zum Vergrößern anklicken....

Haben noch wild hin und her probiert, es wird einfach nix :(
 
Dein Anbieter nutzt CGN (Carrier Grade Nat) bzw. einen Shared Address Space.

Also wirst du wohl nicht umhin kommen den Anbieter anzurufen und den Anschluss auf eine öffentliche IP umstellen zu lassen.

Eine andere Möglichkeit wäre es den VPN Client auf dem Heim-PC/Router laufen zu lassen auf einen anderen VPN Server im Netz zu verbinden und dann zu Bridgen.
 
Zuletzt bearbeitet:
Ich denke, es gibt Zugriff von außerhalb auf die Fritze? So steht es im Eingangspost
 
Wenn ich den no-ip-Link im browser eingebe lande ich auf der fritzbox.
das geht.
hab gestern mal über wieistmeineip.de kontrollieren wollen ob die 100.xxx.... oder die 156.XXX.... meine richtige IP ist.
Ergebnis ist:
Ihre IP-Adresse lautet:
2a01:5c0:...
Ihre IPv4-Adresse lautet:
nicht vorhanden

Fals das irgendwie hilft.
 
Du hast leider nur eine IPV6 Adresse und keine IPV4 Adresse.

Viele Grüße
Counted911
 
Ja, sowas in der Art hab ich mir auch schon gedacht.
Per IPv4 bin ich nur im Subnetz beim Anbieter und nach außen hin nur per IPv6 erreichbar.

Kann man mit openVPN über IPv6 was reißen?
Oder gibts ne Alternative?
Sonst ne Möglichkeit?

Vorschläge, bitte :)
 
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
684
justinh999
J
Invexis
Unregelmäßig Bluescreens - RAM im Verdacht
Antworten
6
Aufrufe
663
Invexis
Invexis
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
12
Aufrufe
845
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh