2. Client (Android Handy) im OpenVPN "network is unreachable"

[Fidibus]

Moin,
bin gerade etwas ratlos. Ich nutze an meinem Handy OpenVPN mit dem Konfigfile "Android" erstellt in der pfsense für mich als user .
Ich wollte nun daas Handy meiner Frau ebenfalls einrichten.
Max Connections im Server erhöht, User angelegt, alles wir bei mir, Konfigfile erstellt.
Ich bekomme keinen Connect mit obiger Fehlermeldung im Logfile des Open-VPN-Clients auf dem Handy.
In der pfsense erscheint auch keinerlei Verbindungsanfrage im Log.
Hat einer ne Idee, wo ich suchen muss?

 

[the other]

Moinsen,
hm...
...Handy deiner Frau mit IPv4 und v6?
...VPN Server ebenfalls? (Oder eben zumindest so, dass beide die Verbindung für v4 / v6 aufbauen könnten? Nicht dass das Handy zB nur v6 aktuell bedient, du aber VPN per v4 hast?)
...Was sagt das LOG der openVPN App?

 

[Fidibus]

.Handy deiner Frau mit IPv4 und v6?

E

Was sagt das LOG der openVPN App?

Ehrlich? Keine Ahnung.
Ich habe sie als User in der pfsense angelegt und dann wir mein Profil exportiert.
App OpenVPN (die selbe wie bei mir) installiert und das Profil eingebunden.

Ergänzung: auf dem Screen ist WLAN an, beim Test natürlich aus, da ich ja zu Hause bin.

 

[the other]

Moinsen,
im 1. screenshot kannst du erkennen, dass versucht wird DNS /duckDNS aufzulösen, es wird in eine GUA IPv6 aufgelöst...
Vermutung: hast du den VPN Server auch für IPv6 konfiguriert? Oder nur für v4 (was dann erklären würde, dass da nix geht)?

Ggf. also mal schauen, ob v6 da reingrätscht, dann entweder die DynDNS ändern (so dass eben ausschließlich v4 aufgelöst wird) oder aber v6 im VPN Server ggf. aktivieren (geht ja beides: entweder nur v4, nur v6 oder beides)...

 

[blurrrr]

Jo, mal mit dem eigenen Log vergleichen. Ganz stumpf kann man auch hingehen und auf Deinem Handy einen Hotspot aufmachen, das Handy der Frau via WLAN mit Deinem Handy-Hotspot verbinden und dann mal das VPN auf dem Handy Deiner Frau starten.

 

[Fidibus]

Danke euch für die Hinweise.
Das mit dem Hotspot habe ich nicht so ganz verstanden, was es mir bei der fehlersuche helfen kann. Ich schalte das WLAN aus auf dem entsprechenden Händi, so dass der VPN über den Mobilfunkanbieter läuft - so soll es ja eigentlich auch funktionieren, da viele öffentliche Hotspots in Hotels etc. VPN so nicht zulassen.
Beide Logs zeigen mir nach meinem Verständnis den gleichen Verbindungsversuch.

 

[the other]

Moinsen,
was mir direkt auffällt:
die beiden Logs zeigen, dass je unterschiedliche IPv6 zum domainame aufgelöst werden. Das ist imho eher seltsam, da die Versuche ja in beiden Fällen (geht / geht nicht) zeitlich direkt zusammen liegen, eine dynamische IP Neuvergabe durch den ISP also eher unwahrscheinlich ist.
Frage also:
warum löst einmal pfsense.xxx.duckdns.org auf zu 2a02:---:fe21:cd47 (und scheitert!) und das andere löst den gleichen domainname auf zu 2a02:---66ff:fe21:cd47 (und es gelingt)? Da scheint dann wohl irgendwas nicht ganz zu passen, da ja gar nicht erst ein Versuch des Aushandelns erfolgt...

 

[Fidibus]

Die v6 IP's sind identisch, ich habe nur unterschiedlich neutralisiert...sorry.
Beide Händis laufen auch beim selben Provider.

Da scheint dann wohl irgendwas nicht ganz zu passen

Wo könnte das sein? Es muss ja eigentlich irgendwo auf dem Händi sein....?

 

[blurrrr]

Beide Händis laufen auch beim selben Provider.

Dann hat sich meine Idee mit dem Hotspot sowieso erledigt.

Schau Dir mal die IPv6-Adresse des Smartphones Deiner Frau an und starte dann nochmal einen Verbindungsversuch. Dabei hast Du dann das Live-Log der Firewall auf, damit Du siehst, ob da ggf. Pakete verworfen werden. Das Log des VPN-Dienstes könnte man nebenbei auch noch direkt anzeigen lassen. Das Smartphone schickt zwar einiges raus, kriegt aber kaum was rein, das sieht mir nicht ganz richtig aus... Für mich heisst das erstmal, dass es 2 Optionen gibt: Firewall (VPN/Firewall) und Smartphone (evtl. eine Sicherheitssoftware/Firewall/Antivirus-Lösung, welche sowas beinhaltet).

 

[the other]

Moinsen,
noch ne Rückfrage:
du schreibst oben

Ich habe sie als User in der pfsense angelegt und dann wir mein Profil exportiert.

Ok, deine Frau hat also ihren eigenen useraccount auf der pfsense. Hast du daran gedacht, dass dieser auch für openVPN freigegeben wird bzw. du diesem account openVPN erlauben musst? Guckst du unter User Manager...vielleicht einfach das vergessen, dann hat deine Frau keinen Zugriff.

 

[Fidibus]

Guckst du unter User Manager

Ich finde gerade auch nicht, wo group VPN zur Nutzung des OpenVPN zugelassen wird.
Hol mich der Deibel...

Schau Dir mal die IPv6-Adresse des Smartphones Deiner Frau

Ich habe das nicht gefunden, aber unter Verbindungen gabs tiefer liegend VPN.
Dort gab es Bitdefender und OpenVPN.
Von dort aufgerufen -> sofort Connect.
Nun geht es auch aus der OpenVPN App.
Danke euch!

 

[the other]

Moinsen,

Ich finde gerade auch nicht, wo group VPN zur Nutzung des OpenVPN zugelassen wird.

Ist auch egal, da beide ja eh bereits ind der VPN Gruppe sind. Und es funktioniert ja auch, hatte also mit meiner Idee nix zu tun.
Gut, dass es jetzt funktioniert...lag ggf am bitdefender? Hier am android ohne solche Tools geht es spontan mit der App.