[gelöst] OpenVPN Verbindungsprobleme

[Huck Fin]

Moin,
ich habe meinen Debian-PC geklont (Bullseye).
Auf dem PC ist OpenVPN installiert.

Der Klone hat eine neue IP (192.168.100.110) und einen anderen Namen bekommen.
Der geklonte PC steht in einer anderen Stadt (Standort B)

Von meinem Win 10 PC an Standort A kann ich eine OpenVPN Verbindung aufbauen.
Ich kann alle PCs anpingen, die im Lan B sind.
Meine IP ist 192.168.24.5
Ich sehe alle PCs im Lan 192.168.100.x

Von meinem Debian-PC am Standort A kann ich eine OpenVPN Verbindung aufbauen.
Ich kann aber im Lan B gar nichts anpingen.
nbtscan 10.0.1.0/24 sieht nur meine IP (10.0.1.5).
Von den 192.168.100.x sehe ich gar keine IP

Von meinem Debian-PC am Standort A kann ich mich mit einem anderen Debian-PC (squeeze) an Standort C über VPN verbinden.
Ich sehe alle PCs im Lan

Ich habe das bisher immer so gemacht mit dem Klonen und hatte nie Probleme.
Ich weis auch nicht mehr, wo ich suchen soll.

Ich denke, es hat eventuell was mit dem klonen zu tun ?
An der Config von OpenVPN kann es nicht liegen, weil gleiche Config mit altem Debian geht.
Gleiche Config von Win 10 aus geht auch.

Mit anderen Debian-Versionen habe ich das immer so gemacht und es lief.
Mit Bullseye habe ich jetzt schon 2 mal das gleiche Problem.

Ich habe schon openvpn de-installiert (remove --purge)
Ich habe die 10er IP am Server geändert von 10.0.0.x zu 10.0.1.x
Ich komm nicht auf den Fehler.

Hat da jemand eine Idee, wo ich noch suchen kann ?

[Blackbox]

Zum Anfang ein paar Einstiegsfragen.

Kannst du bitte einmal dein Routing mit und ohne aufgebauten VPN Tunnel zeigen?
Ist dein Gateway für openvpn erreichbar?

Von wem wird dein Netzwerk auf den Bullseye Rechnern eigentlich verwaltet?

[Huck Fin]

Ich gehe inzwischen davon aus, dass es an Bullseye liegt.
Andere haben ähnliche Probleme.
Außerdem kann ich mich von meinem Server zu einem Buster-PC verbinden ohne Probleme

route ohne VPN

Code: Alles auswählen

route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 enp2s0
192.168.24.0    0.0.0.0         255.255.255.0   U     0      0        0 enp2s0
fritz.box       0.0.0.0         255.255.255.255 UH    0      0        0 enp2s0

route mit VPN

Code: Alles auswählen

 route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 enp2s0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.24.0    0.0.0.0         255.255.255.0   U     0      0        0 enp2s0
fritz.box       0.0.0.0         255.255.255.255 UH    0      0        0 enp2s0
192.168.100.0   10.0.1.1        255.255.255.0   UG    0      0        0 tap0

route zu einem anderen Netzwerk (Buster PC)

Code: Alles auswählen

route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    100    0        0 enp0s10
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.178.0   0.0.0.0         255.255.255.0   U     100    0        0 enp0s10

Von wem wird dein Netzwerk auf den Bullseye Rechnern eigentlich verwaltet?

Na von mir.

[debilian]

Na von mir.

Davon ist auszugehen, er meinte, glaube ich, den Dienst, der es verwaltet....

[Huck Fin]

Gute Frage.
Wo sehe ich das ?

Normal stelle ich die IP vom Gerät über die Datei

Code: Alles auswählen

/etc/network/interfaces

ein
Neuerdings wird das von Debian ignoriert.
Also stelle ich es im LXQt Konfigurationszentrum ein
z.B.
Nameserver 192.168.24.7 (FritzBox)
IP v4 192.168.24.100
255.255.255.0
gw 192.168.24.7
ipv6 disabled
proxy direkt

[debilian]

Code: Alles auswählen

ps faxuww |grep Net

wenn Networkmanger

Code: Alles auswählen

ps faxuww |grep net

wenn, wie hier, systemd-networkd

da wird dann u.U. die /etc/network/interfaces
ignoriert.

[Huck Fin]

Keine Ahnung ?!?

Code: Alles auswählen

 ps faxuww |grep net
root          36  0.0  0.0      0     0 ?        I<   08:30   0:00  \_ [netns]
root      325729  0.0  0.0   6224   716 pts/4    S+   16:54   0:00                  \_ grep net
www-data    2615  0.4  0.7 521344 56700 ?        Sl   08:31   2:17      \_ coolwsd --config-file=/tmp/.mount_CollabPpAQnw/etc/coolwsd/coolwsd.xml --disable-cool-user-checking --port=9983 --lo-template-path=/tmp/.mount_CollabPpAQnw/opt/collaboraoffice --o:sys_template_path=/tmp/.mount_CollabPpAQnw/ --o:security.capabilities=false --o:security.seccomp=false --o:child_root_path=/tmp/coolwsd.Bb9kUR7FPJ/jails --o:file_server_root_path=/tmp/.mount_CollabPpAQnw/usr/share/coolwsd --o:ssl.enable=false --o:net.proxy_prefix=true --o:memproportion=50 --o:logging.file[@enable]=true --o:logging.file.property[0][@name]=path --o:logging.file.property[0]=/tmp/coolwsd.Bb9kUR7FPJ/coolwsd.log --o:welcome.enable=true --o:mount_jail_tree=false --o:user_interface.mode=default --o:allowed_languages=de_DE el en_GB en_US es_ES fr_FR hu it nl pt_BR pt_PT ru --pidfile=/tmp/coolwsd.pid

[Huck Fin]

Eventuell ist das mein Problem:
Die Mac Adressen der beiden tap Adapter sind identisch.
Ich wüsste nicht, wie ich die ändern kann.
Kann das die Ursache sein, warum kein IP Traffic durch kommt ?

[GregorS]

Die Mac Adressen der beiden tap Adapter sind identisch.
Ich wüsste nicht, wie ich die ändern kann.

Es gibt ein Paket, das macchanger heißt ...

Kann das die Ursache sein, warum kein IP Traffic durch kommt ?

IMO Ja.

Gruß

Gregor

[Huck Fin]

@GregorS
Das Programm scheint mir erst mal zu helfen.
K.A. wo diese MAc Adresse im System hinterlegt ist.
Vielleicht hat ja noch jemand eine Idee.

[GregorS]

@GregorS
Das Programm scheint mir erst mal zu helfen.
K.A. wo diese MAc Adresse im System hinterlegt ist.
Vielleicht hat ja noch jemand eine Idee.

Wie werden die betreffenden TAP-Interfaces denn erzeugt?

Ich bin aus der ganzen Netzwerkerei schon sehr lange draußen - mit VPN hatte ich bislang nie zu tun. IIRC sind quasi weltweit alle Mac-Adressen aller Netzwerkkarten bzw. -Interfaces unterschiedlich. Die Hersteller sorgen per Vereinbarung dafür, dass jede ihrer Karten durch ihre Mac-Adresse eindeutig identifizierbar ist. Das Gehampel mit IP-Adressen ist AFAIK nur ein „abstrahierendes Gebilde“, das die Netzwerk-/Geräte-Identifizierung und Organisation (Routing) für menschliche Hirne „leichter verdaubar“ macht.
Wenn Du die TAP-Interfaces in einem Skript erledigst, kannst Du das mit der Mac-Änderung ebenfalls dort erledigen. Nenn' sie doch einfach „Hinz“ und „Kunz“.

Gruß

Gregor

[Huck Fin]

@GregorS
Die TAP werden erzeugt beim starten von OpenVPN
Es sind virtuelle Netzwerkkarten.

Gestern habe ich das mit deinem Vorschlag versucht.
macchanger -A tap0
Lief beim ersten mal.
Ich konnte mich über ssh zum remote-Gerät verbinden.

Beim nächsten Versuch fand er die IP schon wieder nicht.
Langsam verzweifle ich.
Habe hier noch einen Debian Buster stehen, da läuft alles problemlos.

[MSfree]

Die TAP werden erzeugt beim starten von OpenVPN

Du willst also OpenVPN auf die Netzwerkkarte deines Servers bridgen?

macchanger -A tap0

Nun ja, das ist ja auch nicht das, was du willst.

Habe hier noch einen Debian Buster stehen, da läuft alles problemlos.

Da funktionierte die Bridge-Konfiguration auch anders. Seit Bullseye muß man der Bridge eine MAC mitteilen. Am einfachsten ist das, wenn man der Bridge die MAC der physikalischen Netzwerkkarte gibt.

Was gibt auf dem Server

Code: Alles auswählen

ip a

aus?

Was steht in der OpenVPN Konfigurationsdatei auf dem Server?

[Huck Fin]

ip a

Code: Alles auswählen

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp0s10: <BROADCAST,MULTICAST,DYNAMIC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:19:66:c6:f9:db brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.110/24 brd 192.168.100.255 scope global enp0s10
       valid_lft forever preferred_lft forever
3: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether 6a:67:34:c4:fa:ca brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.1/24 scope global tap0
       valid_lft forever preferred_lft forever
    inet 169.254.73.135/16 brd 169.254.255.255 scope global tap0
       valid_lft forever preferred_lft forever
    inet6 fe80::1cfd:bfff:fee5:f3dd/64 scope link
       valid_lft forever preferred_lft forever

VPN Konfig Server

Code: Alles auswählen

float
dev tap
proto udp
port 5000
mode server
ifconfig 10.0.1.1 255.255.255.0
ifconfig-pool 10.0.1.5 10.0.1.15
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti2/ca.crt
key /etc/openvpn/zerti2/server1.key
cert /etc/openvpn/zerti2/server1.crt
tls-auth /etc/openvpn/zerti2/ta.key 0
dh /etc/openvpn/zerti2/dh2048.pem
push "route 192.168.100.0 255.255.255.0 10.0.1.1"
verb 3
keepalive 10 120
comp-lzo
push "dhcp-option DNS 192.168.100.1"
push "dhcp-option WINS 192.168.100.1"

Damit funktionierte es bis vor bullseye

[Huck Fin]

Jetzt im Moment funktioniert es problemlos
Ich komme sowohl auf die 10er ip als auch auf die 192er IP inkl. ganzes Netzwerk dahinter.

Kann ich mir nicht erklären, wo es hing.
Ich vermute immer noch die gleiche MAC war schuld.

Trotzdem erstmal DANKE

Nachtrag:
Da plötzlich andere Probleme auftreten, die mit den Mac Adressen zusammen hängen, habe ich es nun anders gelöst.
Den macchanger habe ich de-installiert.
in meiner client.conf habe ich 2 Zeilen eingefügt

Code: Alles auswählen

script-security 2
up "/bin/sh -c '/sbin/ifconfig ${dev} down; /usr/sbin/ip link set ${dev} address 00:11:22:33:44:55; /sbin/ifconfig ${dev} up;' "

und es funktioniert.

quelle:
https://gist.github.com/cojocar/9c561dae2c20946e96d2

Ich dachte, nur ich habe das Problem.
Aber andere scheinbar auch
https://michlstechblog.info/blog/openvp ... n-windows/