OpenVPN Verbindung geht nicht über externe IP

  • Hallo alle miteinander,

    ich bin ein wenig am verzweifeln, weil ich es einfach nicht hinbekomme, zu meinem OpenVPN Server auf dem Pi zu connecten.
    Wenn ich die interne IP des Pi's benutze funktioniert alles einwandfrei. Sobald ich aber versuche über die externe IP zu verbinden, komm ein Timeout und es funktioniert einfach nicht.
    Den Port 1194 habe ich im Router freigegeben, ein Screenshot davon ist hier zu sehen: https://dl.dropboxusercontent.com/u/5258185/Router.png

    Ich weiß wirklich nicht mehr was falsch sein könnte.
    Ich hoffe ihr könnt mir helfen.

    Grüße,
    tietze111

    Server config:

    Output von nmap:

    Zitat

    sudo nmap -sU localhost -p 1194

    Starting Nmap 6.00 ( http://nmap.org ) at 2014-11-08 22:45 UTC
    Nmap scan report for localhost (127.0.0.1)
    Host is up.
    Other addresses for localhost (not scanned): 127.0.0.1
    PORT STATE SERVICE
    1194/udp open|filtered openvpn

    Log vom Client:

    Einmal editiert, zuletzt von tietze111 (9. November 2014 um 20:17)


  • Wenn ich die interne IP des Pi's benutze funktioniert alles einwandfrei. Sobald ich aber versuche über die externe IP zu verbinden, komm ein Timeout und es funktioniert einfach nicht.

    Versuchst Du es mit der externen IP-Adresse aus deinem (W)LAN oder aus dem Internet (d. h. von einem fremden Internetanschluss)? Siehe z. B. auch diesen Thread: owncloud noip über eigenes wlan nicht erreichbar

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hi, danke erstmal für deine Antwort.
    Leider funktioniert es auch nicht, wenn ich die Verbindungsdateien meinem Freund gebe und er von extern versucht zu verbinden. Er hat dann dasselbe Problem.
    Hat noch jemand eine Idee?
    Grüße,
    Tietze111

  • Danke für den Hinweis mit dem Screenshot, hab jetzt einen Link zu einem Screenshot gemacht.
    Die Seite habe ich mir angeguckt, also ich hab über die Firewall bei raspbian recherchiert und herausgefunden, dass diese von Anfang an gar nicht aktiviert ist, ich habe auch nach iptables gesucht, habe aber keine solche datei auf dem Pi.
    Die Ip in der Client Config ist auch ganz sicher richtig.

    Ich weiß jetzt nicht genau, was dieser Eintrag auf der Seite die Der_Imperator genannt hat, heißen soll:

    Zitat

    A perimeter firewall on the server's network is filtering out incoming OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).

    Danke für die Hilfe an alle!

  • Das habe ich beim Googeln gefunden:

    http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=23608

    Macht nicht unbedingt Hoffnung ....

    Neue Hoffnung aus diesem Fred:

    CrimsonSnow11472
    31. Januar 2014 um 20:40

    Versuch das Ganze mal über IPV6 zu realisieren, da KBW/UNM scheinbar alle eingehenden Ports über IPV4 blockt.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

    Einmal editiert, zuletzt von Outlaw (9. November 2014 um 22:37)


  • Ich weiß jetzt nicht genau, was dieser Eintrag auf der Seite die Der_Imperator genannt hat, heißen soll:

    Das dein Provider den Port blocked.

    versuch einfach mal den OpenVPN Server auf Port 443 TCP zu starten ( wenn du keinen Webserver am laufen hast ).
    Den Clienten dann auch entsprechend anpassen :)

    EDIT:
    kann auch sein das dein Provider CGN macht, dann hast du schlechte Karten.
    Du müsstest mal auf deinen Router schauen wie die Public IP dort ist.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (10. November 2014 um 11:50)

  • Hi,
    also tcp 443 hab ich probiert, gleicher fehler :/ .

    Meine Client Config sieht so aus:

    Also unter Verbindung in meinem Router steht das hier:
    https://dl.dropboxusercontent.com/u/5258185/Verbindung.png

    ich weiß auch nciht warum da CM IP Adresse steht und was das heißt.

    Danke nochmal für eure Hilfe!

  • Schau mal was CM heißt?

    Es kann durchaus sein, dass ein Provider die schon IPv6 zur Verfügung stellt.
    Wenn es so ist, dann wird es etwas tricky aber es funktioniert trotzdem!
    Habe ich bei mir im Einsatz.

    Versuch mal auf "wie-ist-meine-ip.de", die dir angezeigte IP zu Pingen.
    Vielleicht kannst du auch nachsehen ob dir die Seite eine IPv6 anzeigt.

    Vielleicht findest du auch bei deinem Router eine Einstellung oder einen Hinweiß der "DS-Lite" heißt. Das ist dann ein reiner IPv6 Anschluss.

    Edit:
    Gibt es bei dir einen Punkt mit Grundeinstellung Internet?
    Ich habe mal ganz kurz Google überfolgen und da wird geschrieben, dass es ein IPv6 Anschluss ein könnte.
    Wie gesagt nur überflogen.

  • Oh
    Unity Media.
    Du hast CGN, Carrier Grade Nat.
    Das heiist das dein Provider NAT macht und du eine private IP hast.
    Also keine Chance eine Eingehende Verbindung zu machen.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • Unity Media.
    Du hast CGN, Carrier Grade Nat.
    Das heiist das dein Provider NAT macht und du eine private IP hast.

    Muss nicht sein. Es gibt Beispiele hier im Forum von user, die bei UM mit der Horizon Box auch eine externe/öffentliche IPv4-Adresse haben (d. h. Dual Stack haben). Ob der TE eine private oder eine öffentliche IPv4-Adresse hat, kann er auch auf seinem PI (... als "no border device"), mit z. B.:

    Code
    dig -t A +short myip.opendns.com @208.67.222.222
    host -t A myip.opendns.com 208.67.222.222
    nslookup -q=A myip.opendns.com 208.67.222.222


    oder mit:

    Code
    curl -L -s http://ip.dnshome.de


    feststellen. BTW: Bei UM gibt es auch Business-Tarife, mit denen man z. Zt. immer eine externe/öffentliche IPv4-Adresse hat.


    Kann man aus CGN, IPv6 schließen?

    Nein, aber aus DS lite kann man auf IPv6 schließen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (10. November 2014 um 17:36)


  • Dann sollten ja beide IPs vorhanden sein.

    Dann ja, aber z. Zt. wissen wir noch nicht ob es DS ist.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Er hat ne 10.123.129.238
    siehe hier.
    Also CGN.

    IPv6 müsste man den Provider fragen, mit UM kenn ich mich nicht aus.
    Ne Alternative wäre ein Sixx Tunnel.

    Vielleicht sollte man doch mal ein OpenVPN Netz aufbauen. Dann könnten sich die CGN-Geschädigten per VPN dahin connecten.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (10. November 2014 um 19:49)


  • Er hat ne 10.123.129.238
    siehe hier.
    Also CGN.

    Die CM IP-Adresse wird evtl. eine interne IP-Adresse des KabelModems (aus einem Subnetz von UM) sein. Als (evtl. interne) IPv4-Adresse sollte bei DS lite/CGN, die AFTR-Gateway-Adresse nach außen sichtbar sein.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Die CM IP-Adresse wird evtl. eine interne IP-Adresse des KabelModems (aus einem Subnetz von UM) sein. Als (evtl. interne) IPv4-Adresse sollte bei DS lite/CGN, die AFTR-Gateway-Adresse nach außen sichtbar sein.

    Das ist richtig, aber du kommst nicht durch das CGN rein ;)

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • ..., aber du kommst nicht durch das CGN rein ;)

    Das ist richtig aber dazu habe ich auch nichts gesagt. ;) Mir ging es nur darum, welche IPv4-Adresse der TE sieht, wenn er auf seinem PI (... oder auf einem anderen Gerät in seinem W/LAN):

    Code
    nslookup -q=A myip.opendns.com 208.67.222.222


    (oder gelichwertig) ausführt/eingibt.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!