Mullvad VPN Probleme

kevinq · 6. Februar 2026 um 08:38

Wir nutzen in Pinneberg Mullvad für unser Exit VPN. Seit heute Nacht sind nun alle Gateways offline weil sich openVPN nicht mit mullvand verbinden will oder kann.
Es sieht erst einmal nach Zertifikatsproblemen aus, aber ich finde auf der Mullvad Webseite keinen Download für Zertifikate.
Jede hilfe wäre jetzt willkommen, da aktuell im ganzen Pinneberger Netz kein Internet verfügbar ist, und ich aktuell auch nicht weiß wie ich das auf die schnelle gelöst bekomme.

Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: TCP/UDP: Preserving recently used remote address: [AF_INET]193.138.7.217:1302
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: Socket Buffers: R=[212992->425984] S=[212992->425984]
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: UDPv4 link local: (not bound)
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: UDPv4 link remote: [AF_INET]193.138.7.217:1302
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: TLS: Initial packet from [AF_INET]193.138.7.217:1302, sid=bed3664a dd172a82
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: VERIFY OK: depth=2, C=SE, ST=Gotaland, L=Gothenburg, O=Amagicom AB, OU=Mullvad, CN=Mullvad Root CA v2, emailAddress=security@mullvad.net
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: VERIFY ERROR: depth=1, error=certificate has expired: C=SE, ST=Gotaland, O=Amagicom AB, OU=Mullvad, CN=Mullvad Intermediate CA v7, emailAddress=security@mullvad.net, serial=268435462
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: OpenSSL: error:0A000086:SSL routines::certificate verify failed
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: TLS_ERROR: BIO read tls_read_plaintext error
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: TLS Error: TLS object -> incoming plaintext read error
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: TLS Error: TLS handshake failed
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: SIGUSR1[soft,tls-error] received, process restarting
Feb 06 09:10:54 gate07 ovpn-mullvad[807583]: Restart pause, 1 second(s)
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: TCP/UDP: Preserving recently used remote address: [AF_INET]185.204.1.175:1302
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: Socket Buffers: R=[212992->425984] S=[212992->425984]
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: UDPv4 link local: (not bound)
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: UDPv4 link remote: [AF_INET]185.204.1.175:1302
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: TLS: Initial packet from [AF_INET]185.204.1.175:1302, sid=c0920d18 ddfc07dd
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: VERIFY OK: depth=2, C=SE, ST=Gotaland, L=Gothenburg, O=Amagicom AB, OU=Mullvad, CN=Mullvad Root CA v2, emailAddress=security@mullvad.net
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: VERIFY ERROR: depth=1, error=certificate has expired: C=SE, ST=Gotaland, O=Amagicom AB, OU=Mullvad, CN=Mullvad Intermediate CA v7, emailAddress=security@mullvad.net, serial=268435462
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: OpenSSL: error:0A000086:SSL routines::certificate verify failed
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: TLS_ERROR: BIO read tls_read_plaintext error
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: TLS Error: TLS object -> incoming plaintext read error
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: TLS Error: TLS handshake failed
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: SIGUSR1[soft,tls-error] received, process restarting
Feb 06 09:10:55 gate07 ovpn-mullvad[807583]: Restart pause, 1 second(s)

EDIT:

Scheint als wenn mullvad kein OpenVPN meh unterstützt. Jetzt wäre die große frage, zu welchem anbieter migriere ich, und wie. Ich habe leider keine ahnung wie Routing funktioniert, habe das bisher nur nach anleitung des ex admins aufrechterhalten.

lodrich · 6. Februar 2026 um 18:10

das hatte mullvad aber schon seit einer weile angekündigt.

Drück dir die Daumen das sich jemand aus einer Gluon Community findet der euch beim umstellen auf Wireguard (solle ja auch schneller sein) helfen kann.

In Dresden Nutzen wir eigentlich nur noch Wireguard. haben aber eine komplett andere Firmware.

Sry

kevinq · 6. Februar 2026 um 18:48

Hat bei uns in der Community niemand mitbekommen. Aber wer liest schon regelmäßig den Mullvad Blog?

Für den Moment hat Freifunk München mit einen OpenVPN Exit ausgeholfen. Danke dafür richtung Süden. Auch Danke an Wusel für ein Ähnliches Angebot. Längerfristig müssen wir mal schauen wie wir uns aufstellen. Idealerweise nicht wieder single point of failure, nur die Kosten müssen da natürlich im rahmen bleiben, daher hatten wir bisher nur einen Anbieter.

wusel · 7. Februar 2026 um 03:08

Nunja, wir haben vor mehr als einer Dekade schon das Thema „exterritorialer VPN-Exit“ ad acta gelegt und betreiben, wie andere – Nordwest, Hamburg, Bremen, Frankfurt, Berlin, München, Franken, Münsterland, Rheinland, … – auch, ›einfach‹ ein eigenes AS im Internet. Das ist heute dank der IN-Berlin-Initative Community-IX relativ unkompliziert für (Freifunk-) Vereine, Problem bleibt der mitzubringende öffentlich routebare IPv4-Adressraum. Insofern stehen wir anderen Gruppen mit Rat und Technik – wie z. B. Gateway-/Exit-VMs – gerne bereit; nur beim ›klassischen fastd‹ ziehen wir die rote Linie: dieses sinnlose CPU-Zyklen-Gemetzel unterstützen wir nicht.

Und aus $Gründen propagieren wir die Nutzung nationaler Übergänge vom Freifunk- ins Internet.

kevinq · 7. Februar 2026 um 10:33

Ansich war schon immer der Wunsch da ein eigenes Exit zu haben und idealerweise auch direkt öffentliche ipv6 Adressen zu vergeben. Grundsätzlich hatten wir auch aus Berlin schon mal ein v6 Netz bekommen. Das Problem dabei ist das Pinneberg sehr klein ist (aber trotzdem den Wunsch nach Unabhänigkeit hat). Wir sind hier Praktisch 3 IT-ler von denen keiner nennenswert wissen über Routing hat (Es gab früher mal einen, aber der ist verschwunden). Zudem teilen sich auch alle Kosten (bisher 2 Hetzner Root Server + Mullvad) auf nur 3 Personen auf.
In den ca 10 Jahren die es Freifunk Pinneberg gibt waren wir noch nie ein e.V.
Und als Privatperson den Traffic einfach so auszuleiten ist mir zu viel Risiko.
Aktuell gibt es Überlegungen das wir uns in den Computer Club Elmshorn (da treffen wir uns auch seit ca 2 Jahren regelmäßig) integrieren. Hätte den Vorteil das wir direkt einen Gemeinnützigen Verein drum herum hätten. Aber groß ist der Verein auch nicht, und er muss natürlich aufpassen das er seine Gemeinnützigkeit nicht durch Freifunk verliert.