Beantwortet: Openvpn auf Opnsense

ink0gnito

New Member
Hallo zusammen, hat in der letzten Zeit mal einer versucht unter opnsense eine openvpn perfect-privacy Verbindung herzustellen?
Ich hatte das sonst immer unter pfsense ohne Probleme laufen, aber jetzt habe ich mir neue Hardware geholt und wollte mir mal was genauer opnsense angucken. Die pfsense Anleitung habe ich befolgt, aber der openvpn client schreibt im log immer "BAD LZO decompression header", anschliessend kommt Inactivity timeout und der client startet neu.
Hat mit opnsense einer Erfahrung?
 

Gerd

Active Member
Nein. In der OPNsense Anleitung von PP steht für eine UDP Verbindung deutlich 1149. Je nachdem welche Konfigurationsdatei du von PP nimmst, muss man die Ports dem entsprechend ändern, wie z.B. für eine TCP Verbindung.
 

betthany

Freshly Joined Member
UDP verwende ich. Definitiv.
Aus der Config habe ich, gemäß Anleitung, nur die Keys herauskopiert. Und zB in den Advanced Settings (String) des OpenVPN-Client (OPNsense) ist nichts von „proto“ „udp“ oder „1194“ zu finden.
Eine .openvpn kann ich auch nicht importieren - daher verwundert mich deine Aussage „Je nachdem welche Konfigurationsdatei du von PP nimmst“ gerade etwas… Die Keys zwischen (und inklusive) „——-BEGIN——-END——-„ sollten doch unabhängig vom verwendeten Protokoll sein?! Des Weiteren habe ich die Profile wie empfohlen vom Anfang der Anleitung heruntergeladen.

Mal zum Verständnis:
Der connect mit PP sollte doch theoretisch auch unabhängig von den Firewall Regeln funktionieren, oder?
Die Regeln sind doch „später“ (nach connect) doch nur für den Traffic da?!
 

Gerd

Active Member
Aus der Config habe ich, gemäß Anleitung, nur die Keys herauskopiert. Und zB in den Advanced Settings (String) des OpenVPN-Client (OPNsense) ist nichts von „proto“ „udp“ oder „1194“ zu finden.
1637170928645.png
(Bild von der OPNsense Anleitung)

-Deine Aussage widerlegt-

Eine .openvpn kann ich auch nicht importieren - daher verwundert mich deine Aussage „Je nachdem welche Konfigurationsdatei du von PP nimmst“ gerade etwas… Die Keys zwischen (und inklusive) „——-BEGIN——-END——-„ sollten doch unabhängig vom verwendeten Protokoll sein?!

Die Anleitung ist aus einer .ovpn Konfigurationsdatei entstanden. Die .ovpn Datei gibt immer vor, was man bei OPNsense OpenVPN Client eintragen muss. Selbstverständlich kann man die Konfiguration nicht 1:1 von der .ovpn Datei in den OPNsense OpenVPN Client übertragen, dafür braucht man gewisse Erfahrung.

Mal zum Verständnis:
Der connect mit PP sollte doch theoretisch auch unabhängig von den Firewall Regeln funktionieren, oder?

Weiß ich nicht. Ich möchte auch meine Firewall nicht umstellen, um zu testen, ob das der Fall ist.

Die Regeln sind doch „später“ (nach connect) doch nur für den Traffic da?!

Ich bin kein Firewall-Experte. Ich meine die OPNsense Firewall ist dazu da, um Regeln zu blockieren oder zuzulassen innerhalb von OPNsense. Was raus ins Internet geht oder rein vom Internet kommt, erledigen die NAT Regeln. Wenn ich damit falsch liege, sollte mich am Besten jemand korrigieren.
 

Gerd

Active Member
Deshalb habe ich um OpenVPN Konfigurationsbilder gebeten. Aber das möchtest du auch nicht.
So kann man Wochen diskutieren, ohne weiter zu kommen.
 

betthany

Freshly Joined Member
Die bekommst du. Ich bin dir ja dankbar. Im Moment bin ich jedoch noch motiviert das aus eigener Kraft hinzubekommen. Vor allem auch zu verstehen. Am Freitag, denke ich, könnte ich mal ein paar Screen Shots machen. Bin im Moment beruflich stark eingespannt.
 

betthany

Freshly Joined Member
So, anbei noch ein "Foto" des OpenVPN-Clients samt Log-Auszug.
Wobei das ziemlich ähnlich dem Screenshot aus der offiziellen Anleitung ist...

Was ich noch versucht habe:
- Die Einstellungen aus der fertigen .ovpn (frisch heruntergeladen) übernommen.
- Ports 44; 443; 4433 getestet
- Verschlüsselung & Co. geändert
-> Log sieht immer gleich aus

Code:
2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: Client disconnected
2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: CMD 'state all'
2021-11-18T15:23:52    openvpn[92245]    MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
2021-11-18T15:23:49    openvpn[92245]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:49    openvpn[92245]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:49    openvpn[92245]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:49    openvpn[92245]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:49    openvpn[92245]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:49    openvpn[92245]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:49    openvpn[92245]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:49    openvpn[92245]    MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client2.sock
2021-11-18T15:23:49    openvpn[91061]    library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2021-11-18T15:23:49    openvpn[91061]    OpenVPN 2.5.4 amd64-portbld-freebsd12.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Nov 10 2021
2021-11-18T15:23:49    openvpn[91061]    WARNING: file '/var/etc/openvpn/client2.up' is group or others accessible
2021-11-18T15:23:49    openvpn[91061]    Multiple --down scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:49    openvpn[91061]    Multiple --up scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:49    openvpn[17215]    SIGTERM[hard,] received, process exiting
2021-11-18T15:23:49    openvpn[17215]    event_wait : Interrupted system call (code=4)
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: Client disconnected
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: CMD 'state all'
2021-11-18T15:23:46    openvpn[17215]    MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
2021-11-18T15:23:33    openvpn[17215]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:33    openvpn[17215]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:33    openvpn[17215]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:33    openvpn[17215]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:33    openvpn[17215]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:33    openvpn[17215]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:33    openvpn[17215]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:33    openvpn[17215]    MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client2.sock
2021-11-18T15:23:33    openvpn[11962]    library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
2021-11-18T15:23:33    openvpn[11962]    OpenVPN 2.5.4 amd64-portbld-freebsd12.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Nov 10 2021
2021-11-18T15:23:33    openvpn[11962]    WARNING: file '/var/etc/openvpn/client2.up' is group or others accessible
2021-11-18T15:23:33    openvpn[11962]    Multiple --down scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:33    openvpn[11962]    Multiple --up scripts defined.  The previously configured script is overridden.
2021-11-18T15:23:30    openvpn[9278]    SIGTERM[hard,] received, process exiting
2021-11-18T15:23:30    openvpn[9278]    event_wait : Interrupted system call (code=4)
2021-11-18T15:23:15    openvpn[9278]    UDP link remote: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    UDP link local (bound): [AF_INET]xxx.xxx.xxx.xxx:0
2021-11-18T15:23:15    openvpn[9278]    Socket Buffers: R=[42080->42080] S=[57344->57344]
2021-11-18T15:23:15    openvpn[9278]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    TCP/UDP: Preserving recently used remote address: [AF_INET]80.255.7.98:1194
2021-11-18T15:23:15    openvpn[9278]    Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:15    openvpn[9278]    Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
2021-11-18T15:23:15    openvpn[9278]    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-11-18T15:23:10    openvpn[9278]    Restart pause, 5 second(s)
2021-11-18T15:23:10    openvpn[9278]    SIGUSR1[soft,ping-restart] received, process restarting
2021-11-18T15:23:10    openvpn[9278]    [UNDEF] Inactivity timeout (--ping-restart), restarting

Code:
fragment 1300;
hand-window 120;
key-direction 1;
mssfix;
mute-replay-warnings;
persist-remote-ip;
remote-cert-tls server;
resolv-retry 60;
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA;
tls-timeout 5;
tun-mtu 1500;
up "/root/vpn-dns.sh add";
down "/root/vpn-dns.sh del";


1.PNG2.PNG3.PNG4.PNG
 

Gerd

Active Member
So, anbei noch ein "Foto" des OpenVPN-Clients samt Log-Auszug.
Wobei das ziemlich ähnlich dem Screenshot aus der offiziellen Anleitung ist...

Ok. Versuch mal den Port 148,149,150,151,1148,1149,1150,1151, aber nicht den Port 1194.

Compression: Legacy - Disabled LZO algorithm (--comp-lzo no)

Falls das auch nicht klappt, nimm eine andere "Advanced configuration".

Code:
hand-window 120
mute-replay-warnings
persist-remote-ip
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
fragment 1300
mssfix
ignore-unknown-option ncp-disable
ncp-disable
remote-cert-tls server
key-direction 1
up "/root/vpn-dns.sh add"
down "/root/vpn-dns.sh del"

Was ich noch versucht habe:
- Die Einstellungen aus der fertigen .ovpn (frisch heruntergeladen) übernommen.
- Ports 44; 443; 4433 getestet
- Verschlüsselung & Co. geändert
-> Log sieht immer gleich aus

Ports und das Andere Ok, aber eine andere "Advanced configuration" und "Compression" notwendig.

Code:
hand-window 120
mute-replay-warnings
persist-remote-ip
resolv-retry 60
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
tun-mtu-extra  32
mssfix 1450
remote-cert-tls server
up "/root/vpn-dns.sh add"
down "/root/vpn-dns.sh del"

Bei Compression bin ich nicht sicher, was man eintragen soll. Entweder

Compression: Legacy - Disabled LZO algorithm (--comp-lzo no)

oder

Compression: No Preference (schätze ich mal)

Edit:
TLS-Authentication: Enabled - Authentication & encryption (natürlich noch)
 
Last edited:

betthany

Freshly Joined Member
Gerd, vielen Dank für deine ausführliche Antwort.

Habe alles versucht: Ports, Compression, Advanced Config, TLS-Auth ... und auch diverse Kombinationen.
Mit dem Port (1194 oder 1149) hatte ich mich tatsächlich vertan - der Zahlendreher war mir erst jetzt nach deinem Post aufgefallen.

Das Ergebnis ist aber immer das selbe: "Connecting" und Log: "MANAGEMENT: Client disconnected" ...
 

Gerd

Active Member
Dann wird das Problem wo anders liegen und nicht an dem OpenVPN Client.

Die derzeitige OPNsense OpenVPN Client Konfiguration geht davon aus, dass IPv6 aktiviert ist. Hat dein Internetprovider IPv6? Ist OPNsense für IPv6 konfiguriert? Ansonsten im OpenVPN Client IPv6 deaktivieren und die IPv6 Konfiguration nach der Anleitung weg lassen.

Ich kann mir aber auch gut vorstellen, dass man bei einem bestimmten Provider mit Internetanschluss, der IPv6 anbietet, IPv6 aktivieren muss.

Vielleicht liegt es auch an der allgemeinen OPNsense Konfiguration, wie z. B. bei Firewall/NAT oder Firewall/Regeln.

Vielleicht liegt das Problem auch an etwas simplen, wie z. B. ein defekten Netzwerkkabel.

Es ist schwer zu sagen, wo man weiter nach dem Problem suchen muss.

Auf jeden Fall helfen weitere Bilder von der OPNsense Konfiguration. :D
 
Top