Keinen Zugriff auf OpenVPN auf pfsense

[Fidibus]

Moin,
und da ist er wieder - und hat natürlich ein Problem.
Alles ist zu hause auf der pfsense aktuell, ich habe am Mittwoch in D den Zugriff auch noch einmal getestet. Händi und Läppi, alles gut.
In DK angekommen bekomme ich keinen Zugriff auf den OpenVPN-Server.
Das Log beim Verbinden sagt:

Sat Sep 21 11:30:59 2024 RESOLVE: Cannot resolve host address: pfsense.black-tomcat.duckdns.org:1194 (Dies ist normalerweise ein zeitweiliger Fehler bei der Auflösung von Hostnamen. Grund ist, dass der lokale Server keine Rückmeldung vom autorisierenden Server erhalten hat. )
Sat Sep 21 11:30:59 2024 RESOLVE: Cannot resolve host address: pfsense.black-tomcat.duckdns.org:1194 (Dies ist normalerweise ein zeitweiliger Fehler bei der Auflösung von Hostnamen. Grund ist, dass der lokale Server keine Rückmeldung vom autorisierenden Server erhalten hat. )
Sat Sep 21 11:30:59 2024 Could not determine IPv4/IPv6 protocol
Sat Sep 21 11:30:59 2024 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting

Cmd aufgerufen und nslookup - funktioniert.
Ping über Internet auf den DNS-Namen geht, komisch ist nur, dass Frankfurt 100% loss hat, alle anderen 0% loss. Das war gefühlt nie so.
Nun kann ich vor DK aus die pfsense schlecht durchholen...erscheint mir aber auch ehr umsonst.
Hat einer ne Idee, was da los sein könnte?
Gruß aus dem sonnigen DK!

 

[Barungar]

Unter den IPs (4+6), die sich hinter diesem DNS-Namen verbergen gibt es keinen offenen Port 1194.
Kann es sein, dass sich Deine IP daheim geändert hat und der DynDNS-Update fehlgeschlagen ist?

 

[Fidibus]

Moin @Barungar: Würde dann Ping auf den DNS-Namen gehen?

 

[Barungar]

Jain, Ping auf die IPv4 geht "in die Hose" und Ping auf die IPv6 kommt durch.
Sekunde, ich mach mal kurz einen traceroute...

IPv6 traceroute erfolgreich. -- wie zu erwarten
IPv4 traceroute endet vorzeitig bei Host: ip5886cb6c.static.kabel-deutschland.de

 

[Fidibus]

Irgendwas hat sich geändert, obwohl (hoffentlich) niemand etwas gemacht hat:

Sat Sep 21 12:38:45 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 21 12:38:45 2024 TLS Error: TLS handshake failed
Sat Sep 21 12:38:45 2024 SIGUSR1[soft,tls-error] received, process restarting

 

[Fidibus]

IPv6 traceroute erfolgreich. -- wie zu erwarten

Es sollte eigentlich nur auf IPv6 funktionieren.

 

[Barungar]

Wenn es eigentlich nur auf IPv6 gehen soll, dann ist es schonmal schlecht, dass auch ein A Record besteht.
Aber die IPv6 "sagt" das der Port gefiltert sei.

 

[Fidibus]

Ok, danke dir für deine Unterstützung.
Verstehen tue ich das nicht, es ging ja, es erfolgte keine Konfiguration mehr.
Auch, dass sich das Fehlerlog ändert, finde ich komisch.
Das mit v4 kommt wohl aus Duckdns, da habe ich echt nichts verändert, er hat v4 mit aufgenommen.

 

[Barungar]

Naja, wenn man jetzt hier die beiden Fehlerlogs vergleicht... dann ist das im ersten Post ein Fehler, wo er sagt, dass er den NAMEN nicht auflösen kann. Das ist ihm beim zweiten Fehlerlog scheinbar gelungen, aber dann kommt kein Handshake zu stande...

 

[Fidibus]

Ich warte einfach mal ab....vielleicht gibt es die spontane Selbstheilung.

 

[Fidibus]

Moin,
ich muss hier noch einmal nachhaken und um euren Rat fragen.
Zurück in D funktioniert der Zugriff auf den VPN-Server sofort wieder - natürlich habe ich nichts gemacht.
Ich hatte es in DK noch ein, zwei mal ehr wenig zielorientiert probiert, weder aus einem WLAN oder aus dem Handynetz heraus hat es geklappt.
Nun würde ich das ja abhaken, wenn nicht....
im Mai aus DK es aus einem WLAN und aus dem Handynetz geklappt hätte
und ich nächsten Mai echt auf den VPN angewiesen sein werde.
WTF kann hier das Problem sein?

 

[the other]

Moinsen,
mal ganz einfach doof gefragt:
hast du ggf. in der pfsense ein GeoIP Blocking aktiv und einfach vergessen, da auch DK als "erlaubt" einzutragen?

 

[Fidibus]

Moin,
danke für die Idee...

im Mai aus DK es aus einem WLAN und aus dem Handynetz geklappt hätte

Aber...kurz nachgedacht, es gab ja Updates zwischendurch.
Um jetzt hier nicht an der falschen Stelle und mit gefährlichem Halbwissen weiter zu machen, bitte ich um Unterstützung, wie genau diese Frage beantwortet werden kann.

 

[Fidibus]

Ups....
Im Logfile des VPN-Servers:

Sep 28 18:08:31

openvpn

92399

NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.

Der VPN-Server gibt mir als Client aber eine Adresse aus 172.30.255.0/28.

 

[Fidibus]

Nach dem Nachdenken...dann hätte es zumindest aus dem Handynetz funktionieren sollen.

 

[Fidibus]

Moin,
ich muss den Thread noch einmal hochholen.
Eine Suche brachte nur die Erkenntnis, dass es auch in der vergangenheit bei einigen Usern ein Problem war.
Bei mir ist es die Tage aufgetreten und - wie immer - wurde nichts geändert.
Vom Android-Client-Versuch bekomme ich im Server-Log:

Nov 7 18:43:05    openvpn    49270    2a00:20:6008:923d:3614:5e49:b8e:6f5a TLS Error: TLS handshake failed
Nov 7 18:43:05    openvpn    49270    2a00:20:6008:923d:3614:5e49:b8e:6f5a TLS Error: Auth Username/Password was not provided by peer
Nov 7 18:43:05    openvpn    49270    2a00:20:6008:923d:3614:5e49:b8e:6f5a peer info: IV_BS64DL=1
Nov 7 18:43:05    openvpn    49270    2a00:20:6008:923d:3614:5e49:b8e:6f5a peer info: IV_SSO=webauth,crtext
Nov 7 18:43:05    openvpn    49270    2a00:20:6008:923d:3614:5e49:b8e:6f5a peer info: IV_GUI_VER=net.openvpn.connect.android_3.5.1-10255

Client-Log:

Logfile des Notebook-Versuchs auf dem Server:

Nov 7 18:50:31    openvpn    82251    user 'XXXXX' could not authenticate.
Nov 7 18:50:31    openvpn    49270    2a00:20:6008:923d:1429:31a5:3e53:36ca [XXXXXX] Peer Connection Initiated with [AF_INET6]2a00:20:6008:923d:1429:31a5:3e53:36ca:54228 (via 2a02:8109:c38c:2800:6662:66ff:fe21:cd47%igc0)
Nov 7 18:50:31    openvpn    49270    2a00:20:6008:923d:1429:31a5:3e53:36ca peer info: IV_SSO=openurl,webauth,crtext

Log des Clients:

Nun meine Frage: Ich konnte für mich aus den Google-Ergebnissen nicht viel rausholen.
Ich habe keine Idee, wie ich das wieder zum Fliegen bringen kann.

 

[the other]

Moinsen,
Also, für mich sieht das einfach danach aus, dass du dich mit den falschen credentials (username / password) anmeldest.
Zumindest sagen das die Screenshots 1, 3 und 4.
Tippfehler?
Falsche Anmeldedaten (ggf für die lokale Anmeldung angegeben? Ist der fragliche user in pfsense mit den nötigen Rechten ausgestattet? Hast du ggf einen extra user nur für vpn angelegt und nutzt versehentlich die falschen credentials)?

Ansonsten: löschen und neu angelegt, ist zwar nervig aber doch schnell gemacht...
https://www.heimnetz.de/anleitungen/firewall/pfsense/pfsense-openvpn-server-einrichten/

 

[Fidibus]

Tippfehler?

Definitiv nicht. Im Handy habe ich das PW gespeichert gehabt....

Hast du ggf einen extra user nur für vpn angelegt

Ja, aber....siehe oben.

Ansonsten: löschen und neu angelegt

Nur den User oder die komplette Open-VPN-Konfiguration?
Danke für deine Hilfe!

 

[the other]

Moinsen,
Ich würde dann wohl erst den user löschen.
Dann neuen User anlegen, Rechte anpassen (nur für vpn, kein admin!). Den dann im vpn Server bekannt machen, nötige user certs dazu und dann die vpn config Datei wieder exportieren und auf den Clients importieren...steht auch in der oben verlinkten Seite, also das mit dem Neuanlegen eines users...
Nutzt du für die Anmeldung die lokale Datenbank oder zb FreeRADIUS?

 

[Fidibus]

Nur den User oder die komplette Open-VPN-Konfiguration?

Tatsächlich nur ein neuer User....
anke für den Anstoß!