Hallo zusammen,
ich habe ein kleines Problem mit dem Zugriff auf meinen OpenVPN Server welchen ich mir auf dem Raspberry Pi eingerichtet habe.
Von unterwegs kann ich problemlos darauf zugreifen, sei es über UMTS als auch aus fremden oder eigenen WLAN netzen. Nur wenn ich aus meinem eigenen Freifunkknoten einen Tunnel aufbauen will klappt das nicht.
Hat vielleicht jemand eine Idee woran das liegen könnte?
Richtig, der Pi steht bei mir im privaten LAN, also er hängt nicht an den Freifunk Routern. Ich wollte den freifunk Knoten der einfachheit halber auch selbst als WLAN Zugang nutzen und der OpenVPN Server sollte für die nötige Verschlüsselung sorgen.
Wie versucht Du dich denn zu deinem VPN zu verbinden? Hat der eine fixe ip? dyndns? Es gab vor einiger Zeit mal Routing Probleme in gewisse ipv4 Netze (unitymedia in unserem Fall)
Da ich kein Hellseher bin, kann ich Dir auch nicht sagen, woran es konkret klemmt.
Was ich aber bei so einem Problem machen würde, ist einfach auf den Quell- und dem Zielsystem nachkucken (mit tcpdump) was dort wirklich passiert. Auf beiden Platformen (Pi und FF-Router) ist tcpdump verfügbar.
Vielleicht hilft aber auch schon ein Blick ins Logfile.
Habe deinen Tipp mal gerade auf dem Pi ausgeführt. Aus dem FF-Netz kommen die UDP Pakete (ich benutze Port 443 und der ist auch am Dsl-Router freigegeben) nicht am Pi an. Sobald ich zum normalen WLAN-AP oder UMTS wechsele sehe ich die entsprechenden UDP Pakete mit tcpdump.
Selbiges auf dem FF Rputer steht noch aus.
Oder kann es sein das die FF Firmware Verbindungen in mein LAN verhindert falls der FF Router teil des selben ist?
Es kommt also nichts an. Kommt denn ICMP (ping) an? Geht überhaupt etwas raus? Auf dem FF-Router (Interface: br-client) kucken und auf dem OpenVPN-Client selbst.
Ggf. musst Du auf dem FF-Router tcpdump nachinstallieren:
Nutzt du OpenVPN über ipv4, oder über ipv6? Ich frage, weil ich aus meinem LAN heraus Probleme hab Adressen des Freifunks zu erreichen, weil meine Fritzbox Prefixe vom Knoten empfängt, die dieser dann (natürlich) nicht routet. Hab den Knoten ins Gast-VLAN verband und jetzt ist alles gut.
Was sagt ein traceroute. Von beiden Seiten. Wird am Ende so ein MTU Ding sein, wenn das auch gut aussieht. Versuche pings mit größeren Paketen und „dont Fragment“. Bis zu welcher Größe geht es durch?
ping -M dont -s 1000 \gegenseite\
1000 ist die Paketgröße. So lange nach oben schieben, bis keine Antwort mehr kommt…
Sollte alles per tcpdump im FF-Router sichtbar sein. Zum ausgehenden UDP-Paket wird ja ebenfalls seine Größe angezeigt (length). Achtung: Das ist die L3-Größe also noch den L2-Header draufrechnen! (Wieviel Header noch durch BATAV dazukommt kann ich nicht sagen.) Bei korrekt konfigurierten Netz an allen (!) Stellen kriegst Du ein „ICMP Destination Unreachable Fragmentation Needed and Don’t Fragment was Set“ von der Stelle zurück, die das Frame nicht mehr transportieren konnte.
An der Paketgröße kann es ja nun nicht liegen. Und an 92.228.254.109 kommt nichts an (udp/443), ICMP jedoch? Wenn dem so ist hast Du ausdiagnostiziert und müsstest Deinen L3-Nexthop (den Fastd-Tunnelendpunkt Betreiber) um Mithilfe bitten.
Um das ganze noch verworrener zu machen. Für einen kurzen Moment nach dem man sich mit dem FF Wlan verbunden hat. ist eine Verbindung möglich aber nur in diesen 1 - 2 Sekunden, als würd dann irgendwas die Verbindung blockieren.