Beantwortet: Seit VPN-Manage Update 1.8.3.0 keine VP-Verbindungen mehr in VM möglich

[Axel]

Ich habe gestern das Update auf 1.8.3.0 gemacht, danach waren im HOST (Win8.1 x64)und in der VM (Win7 x32) keine VPN Verbindungen mehr möglich.

Da in der Logdatei (siehe unten) immer der Befehl „NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address…“ auftaucht habe ich im Host TAP-Adapter den Haken bei IPv6 gesetzt. Danach konnte ich mit dem HOST wieder VPN-Verbindungen herstellen. Nun ich hätte den Haken allerdings wieder aus Sicherheitsgründen raus, oder ist das jetzt nicht mehr notwendig?

In der VM habe ich natürlich das Gleiche ohne Erfolg versucht, auch ein zurücksetzen des Netzwerks und eine Neuinstallation des VPN-Manager brachten keinen Erfolg. Keine VPN-Verbindungen mehr mit der VM.
IPSEC funktioniert nur OpenVPN nicht.

An beiden Systemen wurden keine Veränderungen vorgenommen, es muss ausschließlich etwas mit dem Update des VPN-Managers zu tun haben.

Ich hoffe es hat hier jemand eine Idee…

09.03.2016 05:51:10 Log hangtimer reset calling in statechange to init
09.03.2016 05:51:10 State GET_CONFIG
09.03.2016 05:51:11 Log SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
09.03.2016 05:51:11 Log PUSH: Received control message: 'PUSH_REPLY,ifconfig-ipv6 fdbf:1d37:bbe0:8:1:2:1:1242/112 fdbf:1d37:bbe0:8:1:2:1:1,redirect-gateway def1,sndbuf 131072,rcvbuf 131072,topology subnet,route-gateway 10.8.12.1,redirect-gateway ipv6,route-ipv6 2000::/3,ping 10,ping-restart 60,dhcp-option DNS 37.48.74.75,dhcp-option DNS 217.114.218.18,ifconfig 10.8.12.242 255.255.255.0'
09.03.2016 05:51:11 Log Options error: unknown --redirect-gateway flag: ipv6
09.03.2016 05:51:11 Log OPTIONS IMPORT: timers and/or timeouts modified
09.03.2016 05:51:11 Log OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
09.03.2016 05:51:11 Log Socket Buffers: R=[8192->131072] S=[8192->131072]
09.03.2016 05:51:11 Log OPTIONS IMPORT: --ifconfig/up options modified
09.03.2016 05:51:11 Log OPTIONS IMPORT: route options modified
09.03.2016 05:51:11 Log OPTIONS IMPORT: route-related options modified
09.03.2016 05:51:11 Log OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
09.03.2016 05:51:11 Log ROUTE_GATEWAY 192.168.61.2/255.255.255.0 I=10 HWADDR=XX:XX:XX:XX:XX:XX
09.03.2016 05:51:11 Log ROUTE6: default_gateway=UNDEF
09.03.2016 05:51:11 Log do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
09.03.2016 05:51:11 Log MANAGEMENT: >STATE:1457499071,ASSIGN_IP,,10.8.12.242,
09.03.2016 05:51:11 Log hangtimer reset calling in statechange to init
09.03.2016 05:51:11 State ASSIGN_IP
09.03.2016 05:51:12 Log NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active
09.03.2016 05:51:12 Log ERROR: netsh command failed: returned error code 1
09.03.2016 05:51:17 Log NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active
09.03.2016 05:51:17 Log ERROR: netsh command failed: returned error code 1
09.03.2016 05:51:22 Log NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active
09.03.2016 05:51:22 Log ERROR: netsh command failed: returned error code 1
09.03.2016 05:51:27 Log NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active
09.03.2016 05:51:27 Log ERROR: netsh command failed: returned error code 1
09.03.2016 05:51:31 Log NETSH: command failed
09.03.2016 05:51:31 Error NETSH: command failed
09.03.2016 05:51:31 Management Disconnecting from management interface
09.03.2016 05:51:31 Debug Error in connection called
09.03.2016 05:51:31 Log State Change Event - Error
09.03.2016 05:51:31 Log error handler is setting disconnect reasond to error!
09.03.2016 05:51:31 Management Disconnecting from management interface
09.03.2016 05:51:31 Debug Debug:error to stopped
09.03.2016 05:51:31 Log State Change Event - Stopped
09.03.2016 05:51:31 Log state changes to stoped, reason: Error
09.03.2016 05:51:31 Log Handle disconnect for reason Error error:Unknown
09.03.2016 05:51:31 Error Last error was unknown.. Reconnecting anyway.

 

[PP Frank]

Der Haken sollte drin bleiben. Unsere Server haben jetzt IPv6. zumindest viele. Also solltest du dann IPv6 Server nutzen....

 

[Axel]

Ja OK danke für die Info Frank werde ich machen.
Hast Du eine Erklärung warum das in der VM nichts bringt mit dem Haken bei IPv6? Andere scheinen das Problem ja nicht zu haben?
Ich habe auf beiden Systemen keinen Fremd-Virenscanner oder -Internetscurity nur das Standard Windows Gedöns....

 

[PP Frank]

Nein habe ich leider nicht. Ich weiss nicht ob deine VM Adapter IPv6 unterstützen. Ich weiss auch nicht wie das dort genau funktioniert usw....

 

[x3nnet]

Bei mir ist es genau das gleiche. Seit dem Update auf die aktuellste Beta kann ich über den VPN Manager überhaupt nicht mehr connecten. Egal ob in den Adaptern IPv6 aktiviert oder deaktiviert ist. Gleiches gilt wenn ich im Router IPv6 aktiviere.

Habe auch schon die Version deinstalliert und wieder neu installiert (mehrfach), aber nichts schafft Abhilfe. Jetzt darf ich wieder die Version 1.7.28.0 nutzen. Der Nachteil daran ist, dass die Certs alle veraltet sind und ich nicht einmal die neuen Server nutzen kann. Auch Rechner/Routerneustart hat nicht geholfen.

Nutze ich aber only OpenVPN habe ich das Problem, dass ich trotz abgeänderter DNS Server, DNS Leaks habe. Habe also die Wahl zwischen alten Certs und nicht aktuellen Servern, oder OpenVPN der DNS Leaks verursacht.

Ich kann einfach nicht verstehen, warum in den VPN Manager nicht endlich eine Funktion eingebaut wird, wo man festlegen kann das man eben kein Update möchte. Man wird immer dazu gezwungen, auch wenn man endlich mal eine für sich stabile Version gefunden hat.

Jetzt muss ich immer hinter die OpenVPN Connection noch einen SSH oder Socks5 schalten damit ich keinen DNS Leak bekomme.

 

[PP Frank]

Ich kann einfach nicht verstehen, warum in den VPN Manager nicht endlich eine Funktion eingebaut wird, wo man festlegen kann das man eben kein Update möchte. Man wird immer dazu gezwungen, auch wenn man endlich mal eine für sich stabile Version gefunden hat.

Weil das nicht gewollt ist. Es ist die neuste Version zu nutzen und gut. In fast allen Problemfällen ist das Problem der lokale Rechner.

Bei mir ist es genau das gleiche. Seit dem Update auf die aktuellste Beta kann ich über den VPN Manager überhaupt nicht mehr connecten. Egal ob in den Adaptern IPv6 aktiviert oder deaktiviert ist. Gleiches gilt wenn ich im Router IPv6 aktiviere.

Welche Fehlermeldung bekommst du?

Jetzt muss ich immer hinter die OpenVPN Connection noch einen SSH oder Socks5 schalten damit ich keinen DNS Leak bekomme.

Das ist falsch. Den DNS-Leak kannst du manuell schliessen. Einfach eine öffentliche IP in die Windows-LAN-Adapter eintragen wie 8.8.8.8 und fertig. Wurde hier auch schon mehrfach erklärt

 

[PP Lars]

Ich kann einfach nicht verstehen, warum in den VPN Manager nicht endlich eine Funktion eingebaut wird, wo man festlegen kann das man eben kein Update möchte.

Weil das Sicherheitskritische Software ist.

Wenn z.b. sowas wie portfail[1] oder wrongway[2] passiert, oder es mal wieder kritische updates für OpenSSL gibt[3], dann will ich Updates erzwingen können damit die Leute nicht ungeschützt vor sich hin surfen und denken alles wäre cool.

Des weiteren würde ich wegen deinem DNS Leaks hin und her _dringend_ empfehlen
sowohl die Client Firewall als auch den Client DNS Leak Schutz zu benutzen.

Speziell das Firewalling ist nicht so einfach wie man denkt und wenn man das selber hin baut ist die Wahrscheinlichkeit das zu verkacken sehr sehr hoch.


Zu dem v6 Problem:
Klick mal unter -> Einstellungen -> Sonstiges unten auf den Netzwerk Reset Button.
Mal schauen obs dann wieder geht.
Achso und ja, wenn du v6 für den TAP Adapter ausschaltest gehts nicht.
Lass v6 an, und benutz die Client Firewall und den Client DNS Leak Schutz.
Dann leaked auch nichts.

Grüße
Lars



[1] https://www.perfect-privacy.com/german/2015/11/26/ip-leak-bei-vpn-providern-mit-port-forwarding/
[2] https://www.perfect-privacy.com/german/2015/12/21/wrong-way-sicherheitsluecke-enttarnt-vpn-nutzer/
[3] https://www.openssl.org/news/vulnerabilities.html#y2016

 

[x3nnet]

Hier erstmal der Auzuf vom Log.

Hier erstmal der Log vom VPN Manager. Habs extra auf einem auf einen Pasteanbieter gepostet weil es sonst mit meiner Antwort über 1000 Zeichen wären und man das Limit ja nicht überschreiten darf.

https://pastecry.pt/cBOxiy#Vev8MaxYh4Sez2Dey7Tum7Hee9Syq

Das mit dem DNS Leak ect. ist mir ja alles bekannt. Hab ja sonst auch immer die Firewall & DNS Settings des VPN Managers benutzt. Da aber über den Manager aktuell nur IPSec funktioniert und OpenVPN immer noch nicht, muss ich die DNS Server ja manuell in die Adapter eintragen.

Hat auch sonst immer ohne Probleme funktioniert ohne das ein DNS Leak vorhanden war. Ist mir letzten aber aufgefallen, dass trotz manuell eingetragener DNS Server, ab und zu der original DNS durchkam, warum auch immer. Trage die DNS Server jetzt auch zur Sicherheit immer nochmal extra im Router mit ein.

Das mit dem IPv6 klappt leider immer noch nicht, und ich weiss auch absolut nicht wo der Fehler liegen könnte. Eine externe Firewall ist nicht installiert, da diese damals den Firewallregeln vom VPN Manager in die Quere kam.

Habe auch extra den VPN Manager nochmals deinstalliert und IPv6 im Router deaktiviert und wieder aktiviert. Danach den Router und Rechner neugestartet und den VPN Manager neu installiert. Habe die IPv6 Protokolle auch in allen Adaptern (W-Lan, TAP, VMWare) aktiviert.

Zur Not kann ich also das IPSec Protokoll unter dem VPN Manager nutzen, wo ich aber nicht wirklich weiss, was ich von dem Protokoll halten soll, daher nutze ich auch erstmal only OpenVPN.

Keine Ahnung ob sich das Problem irgendwann von alleine löst.

 

[PP Lars]

Also ich raffs nicht..

Hab ja sonst auch immer die Firewall & DNS Settings des VPN Managers benutzt. Da aber über den Manager aktuell nur IPSec funktioniert und OpenVPN immer noch nicht, muss ich die DNS Server ja manuell in die Adapter eintragen.

Wieso muss der DNS dann ja manuell in die Adapter eingetragen werden? Bei IPSEC sollte der DNS Leak Schutz genauso funktionieren wie mit OpenVPN.
Ist das auf deinem System anders?

Ist mir letzten aber aufgefallen, dass trotz manuell eingetragener DNS Server, ab und zu der original DNS durchkam, warum auch immer. Trage die DNS Server jetzt auch zur Sicherheit immer nochmal extra im Router mit ein.

Auch das macht wenig sinn. Entweder du hast den DNS Leak Schutz an und der kümmert sich da drum das auf allen Adaptern passende DNS Server gesetzt sind.
Oder du hast ihn aus, per Hand irgendwas eingestellt und das verfriemelt.


Kannst du das "C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active"
mal per Hand in die Eingabeaufforderung eintippen und schauen ob da eine erweiterte Fehlermeldung kommt?
CopyPaste das bitte aus einer aktuellen Fehlermeldung die bei dir ausgegeben wird, damit du die passende interface Nummer hast.

Und lad mal bitte hier: https://support.microsoft.com/en-us/kb/929852 das "Re-enable IPv6" Hilfsprogramm runter und lass das laufen, mal schauen ob v6 dann wieder geht.

Grüße
Lars

 

[x3nnet]

So jetzt nach dem ausführen des Fixes für IPv6 (MicrosoftEasyFix20164.mini) funktioniert die Verbindung über den PP VPN Manger per OpenVPN Protokoll ohne Probleme. Bedeutet das IPv6 komplett deaktiviert gewesen sein muss. Aus welchen Gründen ect. ist mir nicht bekannt.

Und der DNS Leak bezog sich auf OpenVPN GUI, nicht auf den PP VPN Manager. Da habe ich Firewall und DNS Leak Schutz natürlich immer aktiviert. Denke da hast du mich falsch verstanden, oder ich habe mich falsch ausgedrückt.

Danke vielmals für den Tipp mit dem Fix für IPv6. Hier auch mal der komplette Logauszug, nachdem alles wieder funktioniert.

https://pastecry.pt/8xq8bi#DywMem5Pex^Bym3Et6Ad4Av7Ez

http://oo.vg/cezuAXZnoFPXTSgOFRXx

 

[PP Lars]

Ah ok im original OpenVPN,
ich dachte schon der unser VPN Manager macht komische Dinge bei dir, aber dann bin ich ja beruhigt

Lars

 

[Axel]

Also ich will mal Rückmeldung geben.

Bei mir lag es eindeutig an meiner VM. Ich habe alle möglichen Einstellungen an den Netzwerk - Adaptern probiert. Ich habe es nicht hinbekommen das die Vm mit dem neuen VPN-Manger läuft.
Immer die gleiche Fehlermeldung.

09.03.2016 05:51:12 Log NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=24 fdbf:1d37:bbe0:8:1:2:1:1242 store=active
09.03.2016 05:51:12 Log ERROR: netsh command failed: returned error code 1

Also habe ich in den sauren Apfel gebissen und die VM neu aufgestzt (was bei Win7 wegen der Updates neuerdings ewig dauert ;-) ).

Jetzt läuft wieder alles so wie es soll. Ärgert mich jetzt nur weil ich nicht weiss woran es gelegen hat, vor allem weil vor dem Update alles super lief....