Lokalen OpenVPN Server aus dem Freifunknetz erreichen

Hallo zusammen,
ich habe ein kleines Problem mit dem Zugriff auf meinen OpenVPN Server welchen ich mir auf dem Raspberry Pi eingerichtet habe.
Von unterwegs kann ich problemlos darauf zugreifen, sei es über UMTS als auch aus fremden oder eigenen WLAN netzen. Nur wenn ich aus meinem eigenen Freifunkknoten einen Tunnel aufbauen will klappt das nicht.

Hat vielleicht jemand eine Idee woran das liegen könnte?

Gruß Eisenherz

Der Pi steht bei dir? In welchem Netz? Im Privaten, oder im Freifunk-Netz?

Richtig, der Pi steht bei mir im privaten LAN, also er hängt nicht an den Freifunk Routern. Ich wollte den freifunk Knoten der einfachheit halber auch selbst als WLAN Zugang nutzen und der OpenVPN Server sollte für die nötige Verschlüsselung sorgen.

Fast vergessen… andere VPN Server kann ich aus dem FF Netz erreichen. Zumindest wenn ich der HotSpotShield App glauben schenken darf.

Wie versucht Du dich denn zu deinem VPN zu verbinden? Hat der eine fixe ip? dyndns? Es gab vor einiger Zeit mal Routing Probleme in gewisse ipv4 Netze (unitymedia in unserem Fall)

Per dyndns genauer gesagt noip.com

Ich würde mir ja den DynDNS sparen und den OpenVPN-Server auf die Freifunk-IP hängen.
(Sofern du denn überall IPv6 hast, darauf zuzugreifen.)

Könnte ein MTU Problem sein. Vielleicht mal den OpenVPN Tunnel fix auf 1300 stellen und nochmal probieren.

Da ich kein Hellseher bin, kann ich Dir auch nicht sagen, woran es konkret klemmt.

Was ich aber bei so einem Problem machen würde, ist einfach auf den Quell- und dem Zielsystem nachkucken (mit tcpdump) was dort wirklich passiert. Auf beiden Platformen (Pi und FF-Router) ist tcpdump verfügbar.

Vielleicht hilft aber auch schon ein Blick ins Logfile.

Habe deinen Tipp mal gerade auf dem Pi ausgeführt. Aus dem FF-Netz kommen die UDP Pakete (ich benutze Port 443 und der ist auch am Dsl-Router freigegeben) nicht am Pi an. Sobald ich zum normalen WLAN-AP oder UMTS wechsele sehe ich die entsprechenden UDP Pakete mit tcpdump.

Selbiges auf dem FF Rputer steht noch aus.

Oder kann es sein das die FF Firmware Verbindungen in mein LAN verhindert falls der FF Router teil des selben ist?

Es kommt also nichts an. Kommt denn ICMP (ping) an? Geht überhaupt etwas raus? Auf dem FF-Router (Interface: br-client) kucken und auf dem OpenVPN-Client selbst.

Ggf. musst Du auf dem FF-Router tcpdump nachinstallieren:

opkg update
opkg install tcpdump-mini

Nutzt du OpenVPN über ipv4, oder über ipv6? Ich frage, weil ich aus meinem LAN heraus Probleme hab Adressen des Freifunks zu erreichen, weil meine Fritzbox Prefixe vom Knoten empfängt, die dieser dann (natürlich) nicht routet. Hab den Knoten ins Gast-VLAN verband und jetzt ist alles gut.

Ich benutze OpenVPN über IPv4.

ICMP bzw Ping kommt auch durchs FF Netz am Pi an.

Was sagt ein traceroute. Von beiden Seiten. Wird am Ende so ein MTU Ding sein, wenn das auch gut aussieht. Versuche pings mit größeren Paketen und „dont Fragment“. Bis zu welcher Größe geht es durch?

ping -M dont -s 1000 \gegenseite\

1000 ist die Paketgröße. So lange nach oben schieben, bis keine Antwort mehr kommt…

Sollte alles per tcpdump im FF-Router sichtbar sein. Zum ausgehenden UDP-Paket wird ja ebenfalls seine Größe angezeigt (length). Achtung: Das ist die L3-Größe also noch den L2-Header draufrechnen! (Wieviel Header noch durch BATAV dazukommt kann ich nicht sagen.) Bei korrekt konfigurierten Netz an allen (!) Stellen kriegst Du ein „ICMP Destination Unreachable Fragmentation Needed and Don’t Fragment was Set“ von der Stelle zurück, die das Frame nicht mehr transportieren konnte.

1 Like

Hier mal die Ausgabe vom FF-Router wenn ich versuche mich aus dem FF Netz per DynDNS zu meinem Pi zu verbinden.

14:30:52.715879 IP 10.43.26.236.50997 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:30:54.719797 IP 10.43.26.236.50997 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:30:56.720841 IP truncated-ip - 385 bytes missing! 10.43.26.236.43474 > g228254109.adsl.alicedsl.de.https: UDP, length 399
14:30:58.719501 IP 10.43.26.236.46286 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:00.723277 IP 10.43.26.236.46286 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:02.727121 IP 10.43.26.236.46286 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:04.731085 IP truncated-ip - 53 bytes missing! 10.43.26.236.46286 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:06.729492 IP 10.43.26.236.56971 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:08.729262 IP 10.43.26.236.56971 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:10.732994 IP 10.43.26.236.56971 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:12.735818 IP 10.43.26.236.56971 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:14.739316 IP 10.43.26.236.56971 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:16.736898 IP 10.43.26.236.42687 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:18.736658 IP 10.43.26.236.42687 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:20.740260 IP truncated-ip - 87 bytes missing! 10.43.26.236.43474 > g228254109.adsl.alicedsl.de.https: UDP, length 101
14:31:22.743736 IP 10.43.26.236.42687 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:24.747142 IP truncated-ip - 87 bytes missing! 10.43.26.236.42687 > g228254109.adsl.alicedsl.de.https: UDP, length 14
14:31:26.754968 IP 10.43.26.236.45244 > g228254109.adsl.alicedsl.de.https: UDP, length 14

An der Paketgröße kann es ja nun nicht liegen. Und an 92.228.254.109 kommt nichts an (udp/443), ICMP jedoch? Wenn dem so ist hast Du ausdiagnostiziert und müsstest Deinen L3-Nexthop (den Fastd-Tunnelendpunkt Betreiber) um Mithilfe bitten.

Um das ganze noch verworrener zu machen. Für einen kurzen Moment nach dem man sich mit dem FF Wlan verbunden hat. ist eine Verbindung möglich aber nur in diesen 1 - 2 Sekunden, als würd dann irgendwas die Verbindung blockieren.

Ja ICMP geht durch.

Erstmal vielen Dank euch allen für die Hilfestellung!