OpenVPN4UCS nicht erreichbar

George · June 2, 2021, 11:11am

Ich kann keine Verbindung vom Client zum openvpn Server aufbauen.

Client Netzwerk: 192.168.178.0/24
Server Netzwerk: 192.168.0.0/24
Open VPN Server: 192.168.0.98
Tunnelnetzwerk: 10.127.255.128/25

In der Fritzbox des Servernetzwerks ist die Weiterleitung von Port 1194 an 192.168.0.98 ,und die Route 10.127.255.128 nach 192.168.0.98 eingerichtet.

Der Client findet über den DynDns Name den Router, nur lauscht dort niemand an Port 1194. Also kommt keine Verbindung zustande.

service openvpn status
● openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
Active: active (exited) since Wed 2021-06-02 13:40:49 CEST; 26min ago
Process: 24825 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 24825 (code=exited, status=0/SUCCESS)
Tasks: 0 (limit: 4915)
Memory: 0B
CPU: 0
CGroup: /system.slice/openvpn.service

Jun 02 13:40:49 ucs-xxxx systemd[1]: Starting OpenVPN service…
Jun 02 13:40:49 ucs-xxxx systemd[1]: Started OpenVPN service.

extended LDIF

LDAPv3
base <dc=mydomain,dc=intranet> (default) with scope subtree
filter: cn=ucs-xxxx
requesting: univentionOpenvpnPort univentionOpenvpnActive univentionOpenvpnNet univentionOpenvpnAddress

ucs-xxxx, dc, computers, mydomain.intranet
dn: cn=ucs-xxxx,cn=dc,cn=computers,dc=mydomain,dc=intranet
univentionOpenvpnPort: 1194
univentionOpenvpnNet: 10.127.255.128/25
univentionOpenvpnActive: 1
univentionOpenvpnAddress: 192.168.0.98

search result
search: 3
result: 0 Success

numResponses: 2
numEntries: 1

netstat -tulpn | grep 1194
NICHTS! Auf 1194 lauscht niemand.

Hat jemand eine Idee, woran es liegen könnte?

Gruß
George

Mornsgrans · June 3, 2021, 10:00am

What does the Univention Firewall display after entering a

root@ucs:# ucr get security/packetfilter/package/univention-openvpn-server/udp/1194/all

There should appear an “ACCEPT” as answer, if set.

George · June 3, 2021, 12:39pm

That seems to be the reason. After entering the command, I do not get an answer, only a new prompt.

But
iptables -L INPUT
ACCEPT udp – anywhere anywhere udp dpt:openvpn

The rules for IPV4 and IPV6 are available in 10_univention-firewall_start.sh.

It’s crazy. What’s going wrong.

Mornsgrans · June 3, 2021, 2:19pm

Should be enabled by:

ucr set security/packetfilter/package/univention-openvpn-server/udp/1194/all="ACCEPT"
ucr commit security/packetfilter/package/univention-openvpn-server

George · June 3, 2021, 2:32pm

ucr set security/packetfilter/package/univention-openvpn-server/udp/1194/all="ACCEPT"
ucr commit security/packetfilter/package/univention-openvpn-server

After enabling.

ucr get security/packetfilter/package/univention-openvpn-server/udp/1194/all
ACCEPT

netstat -tulpn | grep 1194

Still no answer.

Mornsgrans · June 3, 2021, 3:22pm

Does not enable the port, because it is a “get” but not “set” variable. - See my posting above your lastest.

bytemine · June 3, 2021, 3:59pm

Die einfachste Erklaerung ist, dass openvpn nicht laeuft. Was sagt denn ps dazu?

George · June 3, 2021, 4:47pm

 ps ax | grep openvpn
10986 ?        Sl     0:07 python /usr/lib/openvpn-int/display_users/service.py
16241 pts/0    S+     0:00 grep openvpn

● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
   Active: active (exited) since Wed 2021-06-02 19:55:32 CEST; 24h ago
  Process: 11863 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 11863 (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   Memory: 0B
      CPU: 0
   CGroup: /system.slice/openvpn.service

Jun 02 19:55:32 ucs-4720 systemd[1]: Starting OpenVPN service...
Jun 02 19:55:32 ucs-4720 systemd[1]: Started OpenVPN service.

bytemine · June 3, 2021, 4:55pm

wie vermutet: openvpn laeuft nicht. Gibt es denn eine /etc/openvpn/server.conf?

George · June 3, 2021, 5:09pm

Ja, die gibt es.

 cipher AES-256-CBC
dh /etc/openvpn/dh2048.pem
ca /etc/univention/ssl/ucsCA/CAcert.pem
crl-verify /etc/openvpn/crl.pem
ifconfig-pool-resist ipp.txt
push "route 192.168.0.0 255.255.255.0"
persist-key
persist-tun
dev tun
cert /etc/univention/ssl//cert.pem
key /etc/univention/ssl//private.key
port 1194
server 10.127.255.128 255.255.255.128
server-ipv6 fdda:354e:65b6:b242::/64
proto udp
push "redirect-gateway def1"
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so /etc/pam.d/vpncheckpass

bytemine · June 3, 2021, 5:13pm

Ok, dann man (als root) ‘openvpn /etc/openvpn/server.conf’ ausfuehren. Da sollte ja irgendeine Fehlermeldung kommen.

George · June 3, 2021, 5:15pm

openvpn /etc/openvpn/server.conf
Options error: Unrecognized option or missing or extra parameter(s) in /etc/openvpn/server.conf:5: ifconfig-pool-resist (2.4.0)

Ich habe die Zeile ifconfig auskommentiert.
Nach Korrektur des Pfades bei cert und key, läuft der Server.

 /etc/openvpn/server.conf
Thu Jun  3 21:19:04 2021 WARNING: file '/etc/univention/ssl/ucs-4720/private.key' is group or others accessible
Thu Jun  3 21:19:04 2021 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Oct 14 2018
Thu Jun  3 21:19:04 2021 library versions: OpenSSL 1.0.2u  20 Dec 2019, LZO 2.08
Thu Jun  3 21:19:04 2021 WARNING: --keepalive option is missing from server config
Thu Jun  3 21:19:04 2021 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jun  3 21:19:04 2021 TUN/TAP device tun0 opened
Thu Jun  3 21:19:04 2021 do_ifconfig, tt->did_ifconfig_ipv6_setup=1
Thu Jun  3 21:19:04 2021 /sbin/ip link set dev tun0 up mtu 1500
Thu Jun  3 21:19:04 2021 /sbin/ip addr add dev tun0 local 10.127.255.129 peer 10.127.255.130
Thu Jun  3 21:19:04 2021 /sbin/ip -6 addr add fdda:354e:65b6:b242::1/64 dev tun0
RTNETLINK answers: File exists
Thu Jun  3 21:19:04 2021 ERROR: Linux route add command failed: external program exited with error status: 2
Thu Jun  3 21:19:04 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Jun  3 21:19:04 2021 UDPv4 link local (bound): [AF_INET][undef]:1194
Thu Jun  3 21:19:04 2021 UDPv4 link remote: [AF_UNSPEC]
Thu Jun  3 21:19:04 2021 Initialization Sequence Completed

bytemine · June 3, 2021, 5:29pm

Tja, die Option muss auch ifconfig-pool-persist heissen. Warum die Datei kaputt war, kann ich nicht sagen.

George · June 3, 2021, 5:37pm

Habe den Fehler beseitigt. Jetzt funktioniert alles. Ich konnte mich mit dem Client anmelden.

Thu Jun 03 19:34:48 2021 MANAGEMENT: >STATE:1622741688,CONNECTED,SUCCESS,10.127.255.134,192.168.0.98,1194,,,fdda:354e:65b6:b242::1000

Danke bytemine, thanks Mornsgarns

George · June 4, 2021, 9:36am

Da war ich wohl ein bisschen zu voreilig.

Der OpenVPN Server läuft jetzt zwar, nur ist er von aussen immer noch nicht zu erreichen.

Gestern war ich über den VPN Server der Fritzbox mit dem Server verbunden. Der Client von OpenVPN konnte endlich die Verbindung herstellen und ich wollte mich heute eigentlich um einige Warnungen, die mir im Logfile des Clients aufgefallen waren, kümmern.

Stand heute morgen.

Der OpenVPN Client verbindet sich nur, wenn ich vorher das VPN der Fritzbox nutze. Das die Verbindung dann klappt, ist klar. Der Verkehr ins Server Netzwerk geht ja über das Fritzbox VPN.

Die Portweiterleitung der Fritzbox ist aktiviert.

Screenshot 2021-06-04 at 10-21-16 FRITZ Box 7590

Die Route ist gesetzt.

Screenshot 2021-06-04 at 10-22-19 FRITZ Box 7590

Ein Portscan von 1194 mit deaktiviertem Stealth Mode der Fritzbox Firewall liefert als Ergebnis filterd.

Wenn der OpenVPN Client mit dem Server verbunden ist, wird auf dem Server die Verbindung nicht angezeigt,obwohl eine Verbindung zum Client besteht.

Screenshot 2021-06-04 at 11-29-26 OpenVPN4UCS Connected Users

Preserving previous TUN/TAP instance: OpenVPN TAP-Windows6
2021-06-04 12:19:17 Initialization Sequence Completed
2021-06-04 12:19:17 MANAGEMENT: >STATE:1622801957,CONNECTED,SUCCESS,10.127.255.134,192.168.0.98,1194,,,fdda:354e:65b6:b242::1000

Mornsgrans · June 5, 2021, 5:39am

In meiner openvpn.conf stehen auch diese Zeilen:

push "dhcp-option DNS <ip-des-UCS-servers>"
push "dhcp-option DOMAIN mydomain.de"

George · June 7, 2021, 3:43pm

Die Zeilen habe ich nachgetragen. Das ändert allerdings nichts.
Die Verbindung über den OpenVPN Client klappt nur, wenn ich vorher den Tunnel der Fritzbox aufbaue.

Der Server läuft jedenfalls.

ps ax | grep openvpn
  602 ?        Ss     0:00 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid
  603 ?        S      0:00 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid
  935 ?        Sl     0:00 python /usr/lib/openvpn-int/display_users/service.py
30206 pts/0    S+     0:00 grep openvpn

netstat -tulpn | grep 1194
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           602/openvpn

Warum die Portweiterleitung nicht funktioniert, ist mir schleierhaft.

George · June 7, 2021, 6:16pm

Ich habe den Fehler endlich gefunden.

In der client.config war die interne IP (192.168.0.98) als remote eingetragen und nicht die DynDns Adresse.
Jetzt klappt der Zugriff endlich.

Das einzige Problem ist jetzt noch, dass der Server unter aktive Benutzer nichts anzeigt.

Nochmals Dank an bytemine und Mornsgrans.