Beantwortet: Openvpn auf Opnsense

[ink0gnito]

Hallo zusammen, hat in der letzten Zeit mal einer versucht unter opnsense eine openvpn perfect-privacy Verbindung herzustellen?
Ich hatte das sonst immer unter pfsense ohne Probleme laufen, aber jetzt habe ich mir neue Hardware geholt und wollte mir mal was genauer opnsense angucken. Die pfsense Anleitung habe ich befolgt, aber der openvpn client schreibt im log immer "BAD LZO decompression header", anschliessend kommt Inactivity timeout und der client startet neu.
Hat mit opnsense einer Erfahrung?

 

[Gerd]

Unwahrscheinlich. PP benutzt kein Port 1194.

 

[Gerd]

Mit unwahrscheinlich meine ich, dass das Problem nicht ein VPN Server verursacht.

 

[betthany]

Aber laut Anleitung ist doch im Client für OpenVPN 1194 angegeben?!

 

[Gerd]

Nein. In der OPNsense Anleitung von PP steht für eine UDP Verbindung deutlich 1149. Je nachdem welche Konfigurationsdatei du von PP nimmst, muss man die Ports dem entsprechend ändern, wie z.B. für eine TCP Verbindung.

 

[betthany]

UDP verwende ich. Definitiv.
Aus der Config habe ich, gemäß Anleitung, nur die Keys herauskopiert. Und zB in den Advanced Settings (String) des OpenVPN-Client (OPNsense) ist nichts von „proto“ „udp“ oder „1194“ zu finden.
Eine .openvpn kann ich auch nicht importieren - daher verwundert mich deine Aussage „Je nachdem welche Konfigurationsdatei du von PP nimmst“ gerade etwas… Die Keys zwischen (und inklusive) „——-BEGIN——-END——-„ sollten doch unabhängig vom verwendeten Protokoll sein?! Des Weiteren habe ich die Profile wie empfohlen vom Anfang der Anleitung heruntergeladen.

Mal zum Verständnis:
Der connect mit PP sollte doch theoretisch auch unabhängig von den Firewall Regeln funktionieren, oder?
Die Regeln sind doch „später“ (nach connect) doch nur für den Traffic da?!

 

[Gerd]

Aus der Config habe ich, gemäß Anleitung, nur die Keys herauskopiert. Und zB in den Advanced Settings (String) des OpenVPN-Client (OPNsense) ist nichts von „proto“ „udp“ oder „1194“ zu finden.

(Bild von der OPNsense Anleitung)

-Deine Aussage widerlegt-

Eine .openvpn kann ich auch nicht importieren - daher verwundert mich deine Aussage „Je nachdem welche Konfigurationsdatei du von PP nimmst“ gerade etwas… Die Keys zwischen (und inklusive) „——-BEGIN——-END——-„ sollten doch unabhängig vom verwendeten Protokoll sein?!

Die Anleitung ist aus einer .ovpn Konfigurationsdatei entstanden. Die .ovpn Datei gibt immer vor, was man bei OPNsense OpenVPN Client eintragen muss. Selbstverständlich kann man die Konfiguration nicht 1:1 von der .ovpn Datei in den OPNsense OpenVPN Client übertragen, dafür braucht man gewisse Erfahrung.

Mal zum Verständnis:
Der connect mit PP sollte doch theoretisch auch unabhängig von den Firewall Regeln funktionieren, oder?

Weiß ich nicht. Ich möchte auch meine Firewall nicht umstellen, um zu testen, ob das der Fall ist.

Die Regeln sind doch „später“ (nach connect) doch nur für den Traffic da?!

Ich bin kein Firewall-Experte. Ich meine die OPNsense Firewall ist dazu da, um Regeln zu blockieren oder zuzulassen innerhalb von OPNsense. Was raus ins Internet geht oder rein vom Internet kommt, erledigen die NAT Regeln. Wenn ich damit falsch liege, sollte mich am Besten jemand korrigieren.

 

[betthany]

Danke Gerd. Für deine ausführliche Antwort und auch für deine Mühe. Aber ich glaube wir „schreiben“ aneinander vorbei

 

[Gerd]

Deshalb habe ich um OpenVPN Konfigurationsbilder gebeten. Aber das möchtest du auch nicht.
So kann man Wochen diskutieren, ohne weiter zu kommen.

 

[betthany]

Die bekommst du. Ich bin dir ja dankbar. Im Moment bin ich jedoch noch motiviert das aus eigener Kraft hinzubekommen. Vor allem auch zu verstehen. Am Freitag, denke ich, könnte ich mal ein paar Screen Shots machen. Bin im Moment beruflich stark eingespannt.

 

[betthany]

So, anbei noch ein "Foto" des OpenVPN-Clients samt Log-Auszug.
Wobei das ziemlich ähnlich dem Screenshot aus der offiziellen Anleitung ist...

Was ich noch versucht habe:
- Die Einstellungen aus der fertigen .ovpn (frisch heruntergeladen) übernommen.
- Ports 44; 443; 4433 getestet
- Verschlüsselung & Co. geändert
-> Log sieht immer gleich aus

2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: Client disconnected
2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: CMD 'state all'
2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
2021-11-18T15:23:49    openvpn[92245]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:49    openvpn[92245]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:49    openvpn[92245]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:49    openvpn[92245]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:49    openvpn[92245]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:49    openvpn[92245]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:49    openvpn[92245]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:49    openvpn[92245]    MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client2.sock
2021-11-18T15:23:49    openvpn[91061]    library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2021-11-18T15:23:49    openvpn[91061]    OpenVPN 2.5.4 amd64-portbld-freebsd12.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Nov 10 2021
2021-11-18T15:23:49    openvpn[91061]    WARNING: file '/var/etc/openvpn/client2.up' is group or others accessible
2021-11-18T15:23:49    openvpn[91061]    Multiple --down scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:49    openvpn[91061]    Multiple --up scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:49    openvpn[17215]    SIGTERM[hard,] received, process exiting
2021-11-18T15:23:49    openvpn[17215]    event_wait : Interrupted system call (code=4)
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: Client disconnected
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: CMD 'state all'
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
2021-11-18T15:23:33    openvpn[17215]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:33    openvpn[17215]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:33    openvpn[17215]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:33    openvpn[17215]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:33    openvpn[17215]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:33    openvpn[17215]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:33    openvpn[17215]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:33    openvpn[17215]    MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client2.sock
2021-11-18T15:23:33    openvpn[11962]    library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2021-11-18T15:23:33    openvpn[11962]    OpenVPN 2.5.4 amd64-portbld-freebsd12.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Nov 10 2021
2021-11-18T15:23:33    openvpn[11962]    WARNING: file '/var/etc/openvpn/client2.up' is group or others accessible
2021-11-18T15:23:33    openvpn[11962]    Multiple --down scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:33    openvpn[11962]    Multiple --up scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:30    openvpn[9278]    SIGTERM[hard,] received, process exiting
2021-11-18T15:23:30    openvpn[9278]    event_wait : Interrupted system call (code=4)
2021-11-18T15:23:15    openvpn[9278]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:15    openvpn[9278]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:15    openvpn[9278]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:15    openvpn[9278]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:15    openvpn[9278]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:10    openvpn[9278]    Restart pause, 5 second(s)
2021-11-18T15:23:10    openvpn[9278]    SIGUSR1[soft,ping-restart] received, process restarting
2021-11-18T15:23:10    openvpn[9278]    [UNDEF] Inactivity timeout (--ping-restart), restarting

fragment 1300;
hand-window 120;
key-direction 1;
mssfix;
mute-replay-warnings;
persist-remote-ip;
remote-cert-tls server;
resolv-retry 60;
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA;
tls-timeout 5;
tun-mtu 1500;
up "/root/vpn-dns.sh add";
down "/root/vpn-dns.sh del";

 

[Gerd]

So, anbei noch ein "Foto" des OpenVPN-Clients samt Log-Auszug.
Wobei das ziemlich ähnlich dem Screenshot aus der offiziellen Anleitung ist...

Ok. Versuch mal den Port 148,149,150,151,1148,1149,1150,1151, aber nicht den Port 1194.

Compression: Legacy - Disabled LZO algorithm (--comp-lzo no)

Falls das auch nicht klappt, nimm eine andere "Advanced configuration".

hand-window 120
mute-replay-warnings
persist-remote-ip
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
fragment 1300
mssfix
ignore-unknown-option ncp-disable
ncp-disable
remote-cert-tls server
key-direction 1
up "/root/vpn-dns.sh add"
down "/root/vpn-dns.sh del"

Was ich noch versucht habe:
- Die Einstellungen aus der fertigen .ovpn (frisch heruntergeladen) übernommen.
- Ports 44; 443; 4433 getestet
- Verschlüsselung & Co. geändert
-> Log sieht immer gleich aus

Ports und das Andere Ok, aber eine andere "Advanced configuration" und "Compression" notwendig.

hand-window 120
mute-replay-warnings
persist-remote-ip
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
tun-mtu-extra  32
mssfix 1450
remote-cert-tls server
up "/root/vpn-dns.sh add"
down "/root/vpn-dns.sh del"

Bei Compression bin ich nicht sicher, was man eintragen soll. Entweder

Compression: Legacy - Disabled LZO algorithm (--comp-lzo no)

oder

Compression: No Preference (schätze ich mal)

Edit:
TLS-Authentication: Enabled - Authentication & encryption (natürlich noch)

 

[betthany]

Gerd, vielen Dank für deine ausführliche Antwort.

Habe alles versucht: Ports, Compression, Advanced Config, TLS-Auth ... und auch diverse Kombinationen.
Mit dem Port (1194 oder 1149) hatte ich mich tatsächlich vertan - der Zahlendreher war mir erst jetzt nach deinem Post aufgefallen.

Das Ergebnis ist aber immer das selbe: "Connecting" und Log: "MANAGEMENT: Client disconnected" ...

 

[Gerd]

Dann wird das Problem wo anders liegen und nicht an dem OpenVPN Client.

Die derzeitige OPNsense OpenVPN Client Konfiguration geht davon aus, dass IPv6 aktiviert ist. Hat dein Internetprovider IPv6? Ist OPNsense für IPv6 konfiguriert? Ansonsten im OpenVPN Client IPv6 deaktivieren und die IPv6 Konfiguration nach der Anleitung weg lassen.

Ich kann mir aber auch gut vorstellen, dass man bei einem bestimmten Provider mit Internetanschluss, der IPv6 anbietet, IPv6 aktivieren muss.

Vielleicht liegt es auch an der allgemeinen OPNsense Konfiguration, wie z. B. bei Firewall/NAT oder Firewall/Regeln.

Vielleicht liegt das Problem auch an etwas simplen, wie z. B. ein defekten Netzwerkkabel.

Es ist schwer zu sagen, wo man weiter nach dem Problem suchen muss.

Auf jeden Fall helfen weitere Bilder von der OPNsense Konfiguration.

 

[Mugga6315]

Hey Leute,
ich melde mich auch mal wieder bzgl. meiner OPNsense config. Ich hatte eine Umstellung auf Glasfaser und bin jetzt von 100mbit vorest 250mbit hochgestuft. Jetzt habe ich aber leider das Problem das ich trotzdem nur bei um die 80-90mbit im Download bleibe.

Die VM auf der ich OPNsense laufen habe, sollte es eigentlich schaffen mehr als 90mbit zu stemmen. Was ich auf jeden Fall beobachtet habe, ist dass wenn ich Last auf die Leitung lege, ich dann nach kurzer Zeit auf der VPN Verbindung Packetloss bekomme geht so in Richtung 13%. Die CPU Auslastung sieht im Webinterface eigentlich in Ordnung aus.

Kann das auftreten durch eine zu schwache CPU, oder liegt das Problem woanders?

 

[stefan555]

Dann wird das Problem wo anders liegen und nicht an dem OpenVPN Client.

Die derzeitige OPNsense OpenVPN Client Konfiguration geht davon aus, dass IPv6 aktiviert ist. Hat dein Internetprovider IPv6? Ist OPNsense für IPv6 konfiguriert? Ansonsten im OpenVPN Client IPv6 deaktivieren und die IPv6 Konfiguration nach der Anleitung weg lassen.

Ist das tatsächlich so? Dann kann ich mir das Gefrickel sparen, da ich momentan IPv6 nicht nutze.