OpenVPN nicht erreichbar

[Fidibus]

Moin,
und da ist er wieder.
Meine Konfig mit VodafoneBox und DuckDNS, pfsense und OpenVPN hat gut funktioniert.
Ich habe hin und wieder getestet - alles chic.
Gestern hat ein Verbindungsaufbau nicht geklappt.
Heute sollte die Fehlersuche starten.
1. Ausgangslage überprüft, kein externer Zugriff möglich.
2. An der pfsense ping v6 auf das WAN-IF erlaubt.
3. Ping aus dem Netz auf das WAN-IF geht
4. Feststellung, dass vor 4 Tagen(laut DuckDNS) sich die WAN-v6-Adresse geändert hat
5. DuckDNS hat diese Änderung übernommen - juchuu.
6. Alles vorbereitet, da im OpenVPN-Log nichts zu sehen war, WAN-IF auch nicht
7. OpenVPN geht (auf die geänderte Adresse) - ohne das ich was gemacht habe.
Das finde ich in hohem Maße unbefriedigend.

Wo kann ich schauen, was könnte die Ursache sein?

 

[the other]

Moinsen,

Gestern hat ein Verbindungsaufbau nicht geklappt.

Fehlermeldungen?
Protokolle? Logs? Meldungen am Client? Meldungen am VPN Server?

"nicht geklappt" kann alles sein.

Heute dann also alles wieder am Laufen?
Wenn der DynDNS Eintrag angepasst wurde bei dynamischer IP, dann kann es auch mal einen Moment dauern oder gar einen Schluckauf geben. Hatte ich hier (anderer DynDNS Anbieter) auch mal, war dann auch nach ein paar Stunden "wie von alleine" wieder korrekt und danach dann eben wieder funktionierend.

 

[Fidibus]

"nicht geklappt" kann alles sein.

Ich weiß, "geht nicht" ist keine Fehlermeldung, aber ich habe keine.
Weder im FW-Log, noch im OpenVPN Log.
Der Clint hat :
Server poll timeout

Laut DuckDNS war die Änderung vor 4 Tagen.

 

[Stationary]

TCP 443, 943 und UDP 1194 sind offen und von außen zugänglich?

 

[the other]

Moinsen,
server poll timeout bedeutet meist, dass der Server nicht erreicht wurde...ggf. weil der Port nicht erreicht wurde oder schon zuvor der eigentliche Server gar nicht erst geantwortet hat, zumindest soweit ich mich erinnere.
Im Zusammenhang mit dem Wechsel des DynDNS Eintrages auf die "neue" IPv6 kann es durchaus da einen Zusammenhang geben. Du hast ja an den Einstellungen zu den Ports nix geändert, und doch funktioniert es jetzt wieder. Daher wäre meine amateurhafte Vermutung, dass es irgendwie einen Schluckauf mit dem DynDNS gab, der Eintrag vor 4 Tagen (als es plötzlich nicht gelaufen ist) nicht zur (geänderten) IP passte, jetzt mit etwas Verzögerung aber eben alles wieder läuft.

 

[Fidibus]

UDP 1194 sind offen und von außen zugänglich?

Nur der, ist bei mir ausreichend.

 

[Fidibus]

Tatsächlich erscheint es aktuell so, dass der VPN-Server wieder erreichbar war, nachdem ich aus dem Internet einen Ping auf den DNS-Namen gesetzt hatte und der auch einen Reply bekam, nachdem ich die Pingv6 Regel aktiviert hatte.

 

[the other]

Moinsen,
hattest du denn eine explizite deny Regel für ICMPv6 erstellt und aktiv?
AFAIK setzt pfsense eine default Regel im Hintergrund, wenn IPv6 aktiviert wird, denn ohne (bestimmte) ICMPv6 Möglichkeit soll ja IPv6 nicht so wollen: https://de.wikipedia.org/wiki/ICMPv6
Es kann also auch sein, dass ein bewusstes deny für ICMPv6 dahin führt, dass es hakt...
Eigentlich musst du bzgl ICMPv6 keine gesonderten Regeln erstellen, mit Aktivierung von IPv6 wird das im Hintergrund erledigt (default rule), du musst also weder was erlauben (noch verbieten) diesbezüglich. So jedenfalls mein Kenntnisstand.

 

[Fidibus]

hattest du denn eine explizite deny Regel für ICMPv6 erstellt und aktiv?

Ja. Nehme ich die raus, ist das WAN-IF per ping nicht erreichbar. Ich habe die für Tests drin - nur auf block gesetzt.
Ich wollte ping sweeps unterbinden, um gar nicht "aufzufallen" .
So sieht es bei mir aaus - und wie geschrieben, hat es ja eine Zeit lang sicher funktioniert.

 

[Barungar]

Wie schon von @the other erwähnt "tickt" IPv6 da anders als IPv4. Das mag es im Zweifelsfall deutlich weniger, wenn ICMPv6-Pakete geblockt/gefiltert werden.

Und mal ehrlich, bei IPv6 ist so ein "Ping Sweep" eine ganz andere Hausnummer.
Bei IPv4 hast Du eine Addresse, bzw. Dein Provider vergibt an 500 Kunden 500 IPv4.
Bei IPv6 hast Du aber ein /64-Präfix mal mindestens, und da jedes Device nur auf seine IPv6 hört, weil man keinen NAT-Mist mehr macht, müsste man allein um "Dich" zu sweepen 18.446.744.073.709.551.616 IPv6 pingen, denn soviele hat ein /64-Präfix allein schon. Da sag ich nur viel Spaß beim "durchpingen".

 

[Fidibus]

Ok, verstehe @the other und @Barungar
Es sollte aber reichen, wenn ich Pingv6 auf WAN-IF erlaube - oder?
Ich erinnere mich an deutlich frühere Zeiten, da wurden ganze Ranges abgepingt, und was antwortet wurde einem Port-Scan unterzogen - alles automatisiert natürlich, und da spielt dann die eigentliche Anzahl keine Rolle.
Ok, aber heute klickt man ja auf entsprechende Links in Mails von "Mr. Ich muss meine Millionen mit dir teilen" oder "Vergrößere irgendwas von dir" , da ist der profane Ansatz vielleicht überholt.

 

[Barungar]

Ja, das hat bei IPv4 auch sicher noch mit üblicher Hardware und Bandbreite funktioniert mal ein Class C Netz mit seinen 256 IPv4 durchzuscannen. Aber bei IPv6 muss man in ganz anderen Dimensionen denken.

Das ganze IPv4 war ein 32 Bit-Adressraum! Also die berühmten 4,2 Milliarden IP-Adressen auf der ganzen Welt!
Bei IPv6 erhält man als "kleiner Privatkunde" in der Regel mindestens ein 64er Präfix, also einen 64 Bit-Adressraum! Viele Provider geben sogar 56er (72 Bit-Adressraum) oder 48er (96 Bit-Adressraum) Präfixe an ihre Kunden raus.

Das bedeutet, das ganze, alte IPv4-Internet passt 4,2 Milliarden mal in Dein persönliches /64er-Präfix. Hätte man also einen Ping Sweep über das ganze, alte IPv4-Internet gemacht, würde man in der gleichen Zeit nicht einmal einen winzigen Bruchteil Deines IPv6-Subnetzes (0,00000002328%) gescannt haben.

 

[the other]

Moinsen,
du könntest die gesamten händisch eingetragenen ICMPv6 deny/block Regeln auch einfach weglassen...(screenshot).
Ebenso wenig wie du manuell irgendwelche "allow Pingv6" Regeln erstellen musst (die werden mit Aktivierung von IPv6 im Hintergrund dann gesetzt) solltest du extra deny Regeln benötigen.
Sicher: auch mein openVPN Port wird gerne mal abgeklopft, im Log stehen da durchaus Versuche. Aber über das GeoBlocking und die IP Blocking Regeln aus pfblocker ist es deutlich ruhiger geworden als zuvor.
So weit ich weiß: wenn der Haken am Interface für IPv6 gesetzt ist, dann macht die Firewall das Nötige im Hintergrund. Es sollten weder allow noch deny Regeln diesbezüglich (Pingv6) manuell nötig sein...
Ich zumindest habe keine Regeln dafür angelegt, funktionieren tut trotzdem alles...

(Und auch die Blockregeln für IPv4 könntest du weglassen, denn "wenn nicht explizit erlaubt, dann eben automatisch verboten" gilt ja eh...am WAN Interface eh.)

 

[Fidibus]

(Und auch die Blockregeln für IPv4 könntest du weglassen, denn "wenn nicht explizit erlaubt, dann eben automatisch verboten" gilt ja eh...am WAN Interface eh.)

Ich habe die zur Kontrolle drin, da ich mit dem Log und insbesondere einer Benachrichtigung noch nichts unternommen habe (Zeitproblem :-/).
So sehe ich zumindest am Counter, ob was Stärkeres passiert. Solange da der Zähler nicht exorbitant hochschnellt, wiege ich mich in relativer Sicherheit.

 

[the other]

Moinsen,
jau, mach das so, wie es für dich passt...
Aber lass die Block ICMPv6 Regeln besser weg.