OpenVPN Setup - Es funktioniert alles außer RDP (evtl. MTU oder SubnetzConfig falsch)

[CaptainMorgan]

Hallo!
Auf Anraten von PeterPawn werde ich veruschen mein Anliegen hier nochmal ausführlich und strukturiert darzulegen.

Ich möchte auf einer FritzBox 7560 einen OpenVPN Server einrichten.
Diese Box ist im Netzwerk aber nicht Modem, Router oder DHCP, sondern nur Switch/WLAN-AP.
Diese Box (192.168.172.2) hängt über LAN 1 am Router, einer FB 7362SL (192.168.172.1).
Hier ist die Konfiguration des Servers:

root@FritzBoxXXX:/var/mod/etc# cat openvpn.conf
# OpenVPN 2.4.6 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Jan 13 2019
# library versions: OpenSSL 1.0.2q  20 Nov 2018, LZO 2.10
#  Config date: Wed Mar 20 19:34:28 CET 2019
proto tcp6-server
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge and use LAN IP
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 11194
push "route-gateway 192.168.172.2"
push "route 192.168.172.1 255.255.255.0"
max-clients 15
mode server
ifconfig-pool 192.168.172.240 192.168.172.254
push "route 192.168.172.0 255.255.255.0"
client-config-dir clients_openvpn
client-to-client
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Hier noch ein Screenshot von der Konfiguration, anscheinend ist nicht alles ausschließlich in openvpn.conf hinterlegt:


Der primäre Klient ist ein Windows 10 Laptop hinter einer Unitymedia Kabel FritzBox, auf die ich weiter keinen Einfluss habe. Das Netz hier wird aufgespannt über 192.168.178.0.
Es sollte also "eigentlich" keine Subnetzkonflikte geben.
Dessen opvn-Konfiguration sieht so aus:

tls-client
dev tap
proto tcp-client
remote xxx.xxx 11194
nobind
pull
remote-cert-tls server
auth SHA1
cipher AES-256-CBC
verb 3
comp-lzo
persist-tun
persist-key
<key>

Die Keys und Zertifikate habe ich direkt mit in die *.ovpn gepackt.
Bezüglich des geänderten Standardportes, den habe ich im Router auch so hinterlegt:

Ohnehin scheint bis hier hin, inklusive des aufsetzens der Keys und Zertifikate alles gut gelaufen zu sein, hier die Log beim Einloggen:

Wed Mar 20 19:56:10 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Wed Mar 20 19:56:10 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Mar 20 19:56:10 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Wed Mar 20 19:56:10 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Mar 20 19:56:10 2019 Need hold release from management interface, waiting...
Wed Mar 20 19:56:11 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'state on'
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'log all on'
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'echo all on'
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'bytecount 5'
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'hold off'
Wed Mar 20 19:56:11 2019 MANAGEMENT: CMD 'hold release'
Wed Mar 20 19:56:11 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 20 19:56:11 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 20 19:56:11 2019 MANAGEMENT: >STATE:1553108171,RESOLVE,,,,,,
Wed Mar 20 19:56:11 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:11194
Wed Mar 20 19:56:11 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Mar 20 19:56:11 2019 Attempting to establish TCP connection with [AF_INET]xxx.xxx.xxx.xxx:11194 [nonblock]
Wed Mar 20 19:56:11 2019 MANAGEMENT: >STATE:1553108171,TCP_CONNECT,,,,,,
Wed Mar 20 19:56:12 2019 TCP connection established with [AF_INET]xxx.xxx.xxx.xxx:11194
Wed Mar 20 19:56:12 2019 TCP_CLIENT link local: (not bound)
Wed Mar 20 19:56:12 2019 TCP_CLIENT link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
Wed Mar 20 19:56:12 2019 MANAGEMENT: >STATE:1553108172,WAIT,,,,,,
Wed Mar 20 19:56:12 2019 MANAGEMENT: >STATE:1553108172,AUTH,,,,,,
Wed Mar 20 19:56:12 2019 TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:11194, sid=d58485ae 5e371b2e
Wed Mar 20 19:56:13 2019 VERIFY OK: depth=x, C=x, ST=x, L=x, O=x, OU=x, CN=x, name=x, emailAddress=x
Wed Mar 20 19:56:13 2019 VERIFY KU OK
Wed Mar 20 19:56:13 2019 Validating certificate extended key usage
Wed Mar 20 19:56:13 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Mar 20 19:56:13 2019 VERIFY EKU OK
Wed Mar 20 19:56:13 2019 VERIFY OK: depth=x, C=x, ST=x, L=x, O=x, OU=x, CN=x, name=x, emailAddress=x
Wed Mar 20 19:56:14 2019 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Wed Mar 20 19:56:14 2019 [FritzBoxxxx] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
Wed Mar 20 19:56:15 2019 MANAGEMENT: >STATE:1553108175,GET_CONFIG,,,,,,
Wed Mar 20 19:56:15 2019 SENT CONTROL [FritzBoxxxx]: 'PUSH_REQUEST' (status=1)
Wed Mar 20 19:56:15 2019 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.172.2,route 192.168.172.1 255.255.255.0,route 192.168.172.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.172.241 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: timers and/or timeouts modified
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: --ifconfig/up options modified
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: route options modified
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: route-related options modified
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: peer-id set
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: adjusting link_mtu to 1659
Wed Mar 20 19:56:15 2019 OPTIONS IMPORT: data channel crypto options modified
Wed Mar 20 19:56:15 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Mar 20 19:56:15 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Mar 20 19:56:15 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Mar 20 19:56:15 2019 interactive service msg_channel=0
Wed Mar 20 19:56:15 2019 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 I=15 HWADDR=6c:c2:17:5f:86:a9
Wed Mar 20 19:56:15 2019 open_tun
Wed Mar 20 19:56:15 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{08FA8B8C-0353-474D-B8BA-BE0663E97AB8}.tap
Wed Mar 20 19:56:15 2019 TAP-Windows Driver Version 9.21
Wed Mar 20 19:56:15 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.172.241/255.255.255.0 on interface {08FA8B8C-0353-474D-B8BA-BE0663E97AB8} [DHCP-serv: 192.168.172.0, lease-time: 31536000]
Wed Mar 20 19:56:15 2019 NOTE: FlushIpNetTable failed on interface [5] {08FA8B8C-0353-474D-B8BA-BE0663E97AB8} (status=5) : Zugriff verweigert  
Wed Mar 20 19:56:15 2019 MANAGEMENT: >STATE:1553108175,ASSIGN_IP,,192.168.172.241,,,,
Wed Mar 20 19:56:20 2019 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Mar 20 19:56:20 2019 MANAGEMENT: >STATE:1553108180,ADD_ROUTES,,,,,,
Wed Mar 20 19:56:20 2019 C:\WINDOWS\system32\route.exe ADD 192.168.172.1 MASK 255.255.255.0 192.168.172.2
Wed Mar 20 19:56:20 2019 Warning: address 192.168.172.1 is not a network address in relation to netmask 255.255.255.0
Wed Mar 20 19:56:20 2019 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert   [status=5 if_index=5]
Wed Mar 20 19:56:20 2019 Route addition via IPAPI failed [adaptive]
Wed Mar 20 19:56:20 2019 Route addition fallback to route.exe
Wed Mar 20 19:56:20 2019 env_block: add PATH=C:\WINDOWS\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Mar 20 19:56:20 2019 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Mar 20 19:56:20 2019 C:\WINDOWS\system32\route.exe ADD 192.168.172.0 MASK 255.255.255.0 192.168.172.2
Wed Mar 20 19:56:20 2019 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert   [status=5 if_index=5]
Wed Mar 20 19:56:20 2019 Route addition via IPAPI failed [adaptive]
Wed Mar 20 19:56:20 2019 Route addition fallback to route.exe
Wed Mar 20 19:56:20 2019 env_block: add PATH=C:\WINDOWS\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Mar 20 19:56:20 2019 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Mar 20 19:56:20 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Mar 20 19:56:20 2019 Initialization Sequence Completed
Wed Mar 20 19:56:20 2019 MANAGEMENT: >STATE:1553108180,CONNECTED,SUCCESS,192.168.172.241,xxx.xxx.xxx.xxx,11194,192.168.178.65,58876

Alles was die OpenVPN Gui rot markiert habe ich versucht auch hier rot zu markieren, aber ich befürchte die Code Klammern werden das nicht mitnehmen. Persönliches wurde gexxxt.
Nun scheint aber erstmal alles zu funktioinieren. Im Zielnetzwerk kann ich interne HTTP-Server aufrufen und auch Samba-Shares funktionieren, Netzlaufwerke verbinden sich automatisch wieder, sogar die Namensauflösung funktioniert. Vorwärts wie Rückwärts.

Versuche ich eine RemoteDesktop Verbindung zu einem Windows 10 Computer aufzubauen, der direkt am LAN 2 der 7560 hängt, funktioniert zwar die Passwortabfrage, lokale Sitzungen oder weitere Remotesitzungen werden auch geschlossen, doch das Bild bleibt schwarz und das RDP Fenster wird nach einigen Sekunden geschlossen mit dem Verweis darauf das entweder die Netzwerkkonektivität zu schlecht sei, oder wahlweise (ca 30% zu 69%) das es einen internen Fehler gegeben habe. Die nachfolgende angebotene Windowshilfe ist beides mal die gleiche und geradeheraus nutzlos. Ganz selten funktioniert die Verbindung für wenige Minuten/Sekunden.

Soweit ich das mit verbleibenden Android-Remote Mitteln beurteilen kann verhält sich das ganze in die andere Richtung genau so.

Im selben Netzwerk harmonieren die beiden Maschinen wunderbar, die letzen drei Monate und auch Montag noch. Und auch heute brachte ein "sfc /scannow" keine Integritätsverletzungen zutage.

Weitere Anomalien, versuchtes Troubleshooting:

- Die "DHCP-Range für Clients" ignoriert der Server geflissentlich. Wahrscheinlich weil die Box selbst kein DHCP ist und OpenVPN diese Art der Selbstverwaltung in diesem Modus nicht mitbringt. Wenn ich die erweiterte Clientkonfiguration aktiviere funktioniert es.

-Egal ob ich die erweiterte Konfiguration benutze oder nicht, das "gebridgte", remote Gerät taucht in der Netzwerktabelle des Routers immer zweimal auf. Einmal unter der MAC-Adresse meiner echten Netzwerkkarte (Realtek Family Gigabit) und einmal unter der des virtuellen "TAP-Windows Adapter V9".

-Im Status meines "TAP-Windows Adapter V9" steht als DHCP 192.168.172.0. Müsste es nicht 192.168.172.1 sein? So war es bei zumindest bisher bei allen anderen Netzwerkkarten, der DHCP zeigte direkt auf den Router.

-Einige allgemeinere OpenVPN Threads und ein Schubser von PeterPawn haben schon darauf hingewiesen dass es eventuell die MTU sein kann. Deswegen habe ich die maximale MTU an beiden Anschlüssen überprüft, und obgleich vollkommen unterschiedlich (Kabel vs DSL) habe ich beide male 1472 als maximale Paketgröße raus.

Überprüft wie folgt:

C:\Users\xxx>ping -n 1 -l 1472 -f google.com -t

1473 geht schon nicht mehr durch.
1500 ist ja die Standardeinstellung bei OpenVPN.
Nun habe ich in der der ServerGUI die MTU unter den "Experteneinstellungen" bereits einmal auf 1472 gestellt. Das hat aber funktioniell keinen Unterschied gemacht.
Muss man da wie bei damals nicht zu erreichenden Webseiten noch einen Overhead abziehen für die Zahl die man tatsächlich einträgt, muss ich die Einstellungen zusätzlich beim Klienten (OpenVPN config, Netzwerktreiber, Windows generell) ändern?

-Möchte ich zum Testen UDP verwenden bekomme ich es auf Teufel komm raus nicht ans laufen.

Das ist zunächst alles was mir einfällt vielleicht.

am besten sogar noch das OpenVPN-Protokoll (das kann man mit entsprechendem Debug-Level bis zu den gesendeten Paketen ausdehnen) und ein paar der Paket-Zähler von beiden Seiten, damit man irgendwelche "packet drops" auch erkennen kann

Hierran arbeite ich noch. "var/log/openvpn.log" scheint relativ nutzlos zu sein und im OpenVPN Anteil der Syslog sieht alles hervorragend aus.
Wenn ich an noch mehr Verbose komme kommt es in den Edit, aber ansonsten würde ich weiter über jeden Input, auch wie ich mehr Verbose liefern kann, freuen!
Danke im Vorraus!

 

[vaxinf]

Kann der DNS-Rebind-Schutz dir eine Streich spielen?

 

[CaptainMorgan]

Kann der DNS-Rebind-Schutz dir eine Streich spielen?

Eigentlich sollte der doch nur aktiv werden wenn eine Adresse extern aufgelöst wird aber wieder hinter den Router zeigt?
Wüsste nicht wieso der hier aktiv werden sollte. Lasse mich aber durch Erläuterung auch gerne eines besseren belehren.

bitte OpenVPN-Config von FB7560 und die OpenVPN-Logfiles posten;

sowie IP-Config von FB7560:

/sbin/ifconfig -a
/sbin/route -n
/sbin/showroutes -A
/sbin/showaddrs
/usr/sbin/brctl show
/bin/netstat -naulp
/bin/netstat -natlp

root@FritzBoxXXX:/var/mod/root# cd /
root@FritzBoxXXX:/# cd sbin
root@FritzBoxXXX:/sbin# ifconfig -a
adsl      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:2000  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ath0      Link encap:Ethernet  HWaddr F0:B0:14:01:87:3A
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:460576 errors:3 dropped:3 overruns:0 frame:0
          TX packets:929601 errors:0 dropped:49290 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:133038491 (126.8 MiB)  TX bytes:1193135142 (1.1 GiB)

ath1      Link encap:Ethernet  HWaddr F0:B0:14:01:87:39
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:4429471 errors:11817 dropped:11817 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:401434624 (382.8 MiB)  TX bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1560881 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3081242 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1904949973 (1.7 GiB)  TX bytes:2728033164 (2.5 GiB)

eth1      Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1043443 errors:0 dropped:113 overruns:0 frame:0
          TX packets:1443405 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:911172567 (868.9 MiB)  TX bytes:1043676277 (995.3 MiB)

eth2      Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          UP BROADCAST ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth3      Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          UP BROADCAST ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

guest     Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:214 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:33224 (32.4 KiB)  TX bytes:0 (0.0 B)

guest_ct1 Link encap:Ethernet  HWaddr 8E:E4:D3:14:BE:1B
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:214 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:37932 (37.0 KiB)  TX bytes:0 (0.0 B)

ifb0      Link encap:Ethernet  HWaddr 82:C9:23:63:0A:2B
          BROADCAST NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ifb1      Link encap:Ethernet  HWaddr 0A:0E:41:38:E8:B6
          BROADCAST NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ing0      Link encap:Ethernet  HWaddr 02:02:02:02:02:02
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lan       Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          inet addr:192.168.172.2  Bcast:192.168.172.255  Mask:255.255.255.0
          inet6 addr: 2003:c1:971b:e000:f2b0:14ff:fe01:8737/64 Scope:Global
          inet6 addr: fd00::f2b0:14ff:fe01:8737/64 Scope:Global
          inet6 addr: fe80::f2b0:14ff:fe01:8737/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:144555 errors:0 dropped:7 overruns:0 frame:0
          TX packets:2210962 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:19902205 (18.9 MiB)  TX bytes:2636922596 (2.4 GiB)

lan:0     Link encap:Ethernet  HWaddr F0:B0:14:01:87:37
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:14302 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14302 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1854017 (1.7 MiB)  TX bytes:1854017 (1.7 MiB)

ptm0      Link encap:Ethernet  HWaddr F0:B0:14:01:87:3B
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tap0      Link encap:Ethernet  HWaddr 32:40:8A:BB:CD:17
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1234 errors:0 dropped:4 overruns:0 frame:0
          TX packets:1250 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:138516 (135.2 KiB)  TX bytes:360139 (351.6 KiB)

tunl0     Link encap:UNSPEC  HWaddr 00-00-00-00-11-80-00-4A-00-00-00-00-00-00-00-00
          NOARP  MTU:0  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wifi0     Link encap:UNSPEC  HWaddr F0-B0-14-01-87-39-00-4A-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4433671 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9374004 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:539
          RX bytes:322527894 (307.5 MiB)  TX bytes:13758393124 (12.8 GiB)
          Interrupt:144

wifi1     Link encap:UNSPEC  HWaddr F0-B0-14-01-87-3A-00-4A-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8154 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8188 errors:3 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:539
          RX bytes:2488159 (2.3 MiB)  TX bytes:2519036 (2.4 MiB)
          Interrupt:17 Memory:f4000000-f4020000

root@FritzBoxXXX:/sbin# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.172.1   0.0.0.0         UG    9      0        0 lan
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
192.168.172.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
root@FritzBoxXXX:/sbin#
root@FritzBoxXXX:/sbin# showroutes -A
broadcast 127.0.0.0/32 metric 0 dev lo proto kernel table local
local 127.0.0.1/32 metric 0 dev lo proto kernel table local
broadcast 127.255.255.255/32 metric 0 dev lo proto kernel table local
broadcast 169.254.0.0/32 metric 0 dev lan proto kernel table local
local 169.254.1.1/32 metric 0 dev lan proto kernel table local
broadcast 169.254.255.255/32 metric 0 dev lan proto kernel table local
broadcast 192.168.172.0/32 metric 0 dev lan proto kernel table local
local 192.168.172.2/32 metric 0 dev lan proto kernel table local
broadcast 192.168.172.255/32 metric 0 dev lan proto kernel table local
local 127.0.0.0/8 metric 0 dev lo proto kernel table local
192.168.172.0/24 metric 0 dev lan proto kernel table main
169.254.0.0/16 metric 0 dev lan proto kernel table main
default via 192.168.172.1 metric 9 dev lan proto boot table main
local ::1/128 metric 0 dev lo proto local table local
local 2003:c1:971b:e000:f2b0:14ff:fe01:8737/128 metric 0 dev lo proto local table local
local fd00::f2b0:14ff:fe01:8737/128 metric 0 dev lo proto local table local
local fe80::f2b0:14ff:fe01:8737/128 metric 0 dev lo proto local table local
ff02::1:ffa4:a537/128 metric 0 mtu 1492 dev lan proto local table local
ff0e::c/128 metric 0 mtu 1492 dev lan proto local table local
ff00::/8 metric 256 mtu 1492 dev lan proto boot table local
2003:c1:971b:e000:df9:8bd1:c6ad:8921/128 metric 0 dev lan proto local table main
2003:c1:971b:e000:bcde:107f:a508:63b7/128 metric 0 dev lan proto local table main
2003:c1:971b:e000::/64 metric 256 dev lan proto iface table main
2003:c1:9721:9700::/64 metric 256 dev lan proto iface table main
fd00::/64 metric 256 mtu 1492 dev lan proto kernel table main
fe80::/64 metric 256 mtu 1492 dev lan proto kernel table main
default via fe80::a96:d7ff:feb4:bb34 metric 1024 dev lan proto 9 table main
unreachable default metric -1 dev lo proto kernel table 0
root@FritzBoxXXX:/sbin# showaddrs
1: lo <LOOPBACK,UP,90000>
  inet 127.0.0.1/8
  inet6 ::1/128
12: lan <BROADCAST,MULTICAST,ALLMULTI,UP,10000>
  inet 192.168.172.2/24 brd 192.168.172.255
  inet 169.254.1.1/16 brd 169.254.255.255
  inet6 2003:c1:971b:e000:f2b0:14ff:fe01:8737/64
  inet6 fd00::f2b0:14ff:fe01:8737/64
  inet6 fe80::f2b0:14ff:fe01:8737/64
root@FritzBoxXXX:/sbin# cd /usr/sbin/
root@FritzBoxXXX:/usr/sbin# brctl show
bridge name     bridge id               STP enabled     interfaces
lan             8000.f0b014018737       no              eth0
                                                        eth1
                                                        eth2
                                                        eth3
                                                        ath1
                                                        ath0
                                                        tap0
guest           8000.f0b014018737       no              guest_ct1
root@FritzBoxXXX:/usr/sbin# cd /bin
root@FritzBoxXXX:/bin# netstat -naulp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
udp        0      0 192.168.172.2:40253     0.0.0.0:*                           2198/ctlmgr
udp        0      0 127.0.0.1:323           0.0.0.0:*                           5017/chronyd
udp        0      0 192.168.172.2:46437     192.168.172.1:5351      ESTABLISHED 2490/dsld
udp        0      0 192.168.172.2:1900      0.0.0.0:*                           2207/upnpd
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           2207/upnpd
udp        0      0 192.168.172.2:1900      0.0.0.0:*                           2198/ctlmgr
udp        0      0 192.168.172.2:1900      0.0.0.0:*                           2164/l2tpv3d
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           2164/l2tpv3d
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           2198/ctlmgr
udp        0      0 0.0.0.0:123             0.0.0.0:*                           5017/chronyd
udp        0      0 192.168.172.2:54913     192.168.172.1:5351      ESTABLISHED 2198/ctlmgr
udp        0      0 192.168.172.2:47240     192.168.172.1:5351      ESTABLISHED 2418/pcpd
udp        0      0 192.168.172.255:137     0.0.0.0:*                           3933/nmbd
udp        0      0 192.168.172.2:137       0.0.0.0:*                           3933/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           3933/nmbd
udp        0      0 192.168.172.255:138     0.0.0.0:*                           3933/nmbd
udp        0      0 192.168.172.2:138       0.0.0.0:*                           3933/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           3933/nmbd
udp        0      0 192.168.172.2:41433     192.168.172.1:5351      ESTABLISHED 2252/multid
udp        0      0 192.168.172.2:38372     0.0.0.0:*                           2164/l2tpv3d
udp        0      0 0.0.0.0:5350            0.0.0.0:*                           2198/ctlmgr
udp        0      0 0.0.0.0:5350            0.0.0.0:*                           2490/dsld
udp        0      0 0.0.0.0:5350            0.0.0.0:*                           2418/pcpd
udp        0      0 0.0.0.0:5350            0.0.0.0:*                           2252/multid
udp        0      0 :::52485                :::*                                2412/ddnsd
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:45574 2003:c1:971b:e000:a96:d7ff:feb4:bb34:5351 ESTABLISHED 2198/ctlmgr
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:37896 2003:c1:971b:e000:a96:d7ff:feb4:bb34:5351 ESTABLISHED 2490/dsld
udp        0      0 :::53256                :::*                                2252/multid
udp        0      0 :::52494                :::*                                2198/ctlmgr
udp        0      0 :::37153                :::*                                2252/multid
udp        0      0 :::546                  :::*                                2252/multid
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:51757 2003:c1:971b:e000:a96:d7ff:feb4:bb34:5351 ESTABLISHED 2252/multid
udp        0      0 :::56113                :::*                                2252/multid
udp        0      0 :::53                   :::*                                2252/multid
udp        0      0 fd00::f2b0:14ff:fe01:8737:41018 :::*                                2198/ctlmgr
udp        0      0 :::34367                :::*                                2252/multid
udp        0      0 ::1:323                 :::*                                5017/chronyd
udp        0      0 fe80::f2b0:14ff:fe01:8737:53318 :::*                                2198/ctlmgr
udp        0      0 fe80::f2b0:14ff:fe01:8737:47185 :::*                                2164/l2tpv3d
udp        0      0 :::34906                :::*                                2252/multid
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:56420 :::*                                2198/ctlmgr
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:1900 :::*                                2207/upnpd
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:1900 :::*                                2198/ctlmgr
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:1900 :::*                                2164/l2tpv3d
udp        0      0 fe80::f2b0:14ff:fe01:8737:1900 :::*                                2207/upnpd
udp        0      0 fd00::f2b0:14ff:fe01:8737:1900 :::*                                2207/upnpd
udp        0      0 :::1900                 :::*                                2207/upnpd
udp        0      0 fe80::f2b0:14ff:fe01:8737:1900 :::*                                2164/l2tpv3d
udp        0      0 fd00::f2b0:14ff:fe01:8737:1900 :::*                                2164/l2tpv3d
udp        0      0 fe80::f2b0:14ff:fe01:8737:1900 :::*                                2198/ctlmgr
udp        0      0 fd00::f2b0:14ff:fe01:8737:1900 :::*                                2198/ctlmgr
udp        0      0 :::1900                 :::*                                2164/l2tpv3d
udp        0      0 :::39788                :::*                                2252/multid
udp        0      0 :::1900                 :::*                                2198/ctlmgr
udp        0      0 :::37998                :::*                                2252/multid
udp        0      0 :::34425                :::*                                2207/upnpd
udp        0      0 :::123                  :::*                                5017/chronyd
udp        0      0 :::36488                :::*                                2252/multid
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:34972 2003:c1:971b:e000:a96:d7ff:feb4:bb34:5351 ESTABLISHED 2418/pcpd
udp        0      0 :::36004                :::*                                2252/multid
udp        0      0 :::7077                 :::*                                2432/voipd
udp        0      0 fd00::f2b0:14ff:fe01:8737:34487 :::*                                2164/l2tpv3d
udp        0      0 :::5060                 :::*                                2432/voipd
udp        0      0 :::37060                :::*                                2252/multid
udp        0      0 :::57545                :::*                                2252/multid
udp        0      0 :::37065                :::*                                2252/multid
udp        0      0 2003:c1:971b:e000:f2b0:14ff:fe01:8737:34254 :::*                                2164/l2tpv3d
udp        0      0 :::42447                :::*                                2252/multid
udp        0      0 :::36571                :::*                                2252/multid
udp        0      0 :::5350                 :::*                                2252/multid
udp        0      0 :::5350                 :::*                                2198/ctlmgr
udp        0      0 :::5350                 :::*                                2490/dsld
udp        0      0 :::5350                 :::*                                2418/pcpd
udp        0      0 :::59622                :::*                                2252/multid
udp        0      0 :::5351                 :::*                                2418/pcpd
udp        0      0 :::5353                 :::*                                2252/multid
udp        0      0 :::5355                 :::*                                2252/multid
udp        0      0 :::59893                :::*                                2252/multid
udp        0      0 :::55035                :::*                                2252/multid
root@FritzBoxXXX:/bin# netstat -natlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.172.2:139       0.0.0.0:*               LISTEN      4039/smbd
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN      2669/telefon
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      4083/ftpd
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN      2669/telefon
tcp        0      0 0.0.0.0:11194           0.0.0.0:*               LISTEN      3266/inetd
tcp        0      0 192.168.172.2:445       0.0.0.0:*               LISTEN      4039/smbd
tcp        0      0 192.168.172.2:11194     88.153.82.161:60555     ESTABLISHED 10131/openvpn
tcp        0      0 192.168.172.2:445       192.168.172.241:59081   ESTABLISHED 18172/smbd
tcp        0      0 192.168.172.2:40058     192.168.172.1:58999     ESTABLISHED 1841/avmnexusd
tcp        0      0 127.0.0.1:55715         127.0.0.1:1011          ESTABLISHED -
tcp        0      0 127.0.0.1:1011          127.0.0.1:55715         ESTABLISHED 2669/telefon
tcp        0      0 192.168.172.2:445       192.168.172.58:49687    ESTABLISHED 31691/smbd
tcp        0      0 :::49443                :::*                    LISTEN      2207/upnpd
tcp        0      0 :::5060                 :::*                    LISTEN      2432/voipd
tcp        0      0 :::49000                :::*                    LISTEN      2207/upnpd
tcp        0      0 :::80                   :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::81                   :::*                    LISTEN      3033/httpd-webcfg
tcp        0      0 :::53                   :::*                    LISTEN      2252/multid
tcp        0      0 :::36246                :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::8182                 :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::23                   :::*                    LISTEN      28065/telnetd
tcp        0      0 :::8183                 :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::8184                 :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::8185                 :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::8186                 :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::44797                :::*                    LISTEN      2198/ctlmgr
tcp        0      0 :::34910                :::*                    LISTEN      2164/l2tpv3d
tcp        0   1262 ::ffff:192.168.172.2:23 ::ffff:192.168.172.241:60657 ESTABLISHED 28065/telnetd

Diese Ausgaben wurden angefertigt über das "fehlerhafte" VPN. Das zugehörige Gerät ist auch aufzufinden unter 192.168.172.241. Und auch der richtige Port taucht auf, 11194.

 

[PeterPawn]

Geh mal mit der MTU auf 1400 (oder sogar 1300 oder 1200) herunter (am besten als "link-mtu" angeben) und schau dann noch mal - danach kannst Du ja dann wieder erhöhen, bis es nicht mehr klappt.

Hier versucht garantiert irgendetwas transparent zu arbeiten und splittet Pakete an der falschen Stelle (ich würde jedenfalls Wetten darauf eingehen). Da bei RDP (in neueren Versionen) die Verbindung noch einmal über TLS zusätzlich gesichert ist (bei "Enhanced RDP security"), kann man die nicht ohne weiteres zerlegen und wieder assemblieren - jedenfalls nicht immer und nicht ohne Probleme, zumal bei IPv6 ja auch noch der Client für das (korrekte) Fragmentieren verantwortlich ist.

Bei kleinerem MTU-Wert sollte diese Fragmentierung für den Tunnel nicht zusätzlich erforderlich sein ... ein Test mit (ungesicherten) ICMP-Paketen mag zwar eine größere MTU für den Tunnel ergeben, aber die ermittelte 1472 kann ja für ein IPv6-OpenVPN ohnehin nicht stimmen, da schon der IPv6-Header ja 40 Byte braucht - im Gegensatz zum nur halb so großen IPv4-Header. Hier testest Du also irgendwelchen Quatsch und ziehst daraus die falschen Schlußfolgerungen.

Auch wenn eine zu klein gewählte MTU etwas auf die Performance schlägt (weil das Verhältnis Payload zu Overhead schlechter wird in jedem Paket), solltest Du erst einmal so starten, daß die Verbindung überhaupt sauber funktioniert und dann kannst Du Dich immer noch an größere MTU-Werte heranarbeiten.

 

[Shirocco88]

aber die ermittelte 1472 kann ja für ein IPv6-OpenVPN ohnehin nicht stimmen, da schon der IPv6-Header ja 40 Byte braucht

Anmerkung: wenn ich mit mir "netstat -natlp" und die OpenVPN-Protokoll-Datei ansehe, dann sieht es nach IPv4-OpenVPN aus;

d.h. Portforwarding für IPv6 sowie die Configzeile "proto tcp6-server" sind "diskussionsfähig".
==> Basiseinstellungen "IPv6 benutzen" deaktivieren.

ich würde mal mit MTU=1400 beginnend testen.
evtl. reicht es schon wenn beide openvpn.conf Dateien (bei FB7560 und Windows10) auf "tun-mtu 1400" gesetzt werden;
dann sollte auch die Einstellung "mssfix" IMHO nicht mehr notwendig sein.

So wie es aussieht kann die optimale MTU für die TCP-Übertragung zwischen den beiden Windows10 Rechnern nicht richtig ermitteln.
interessant wäre hier der "ipconfig /all" Output der beiden Win10-Rechner, da sieht man die MTU der für Ethernet- und TAP-Device.

Möchte ich zum Testen UDP verwenden bekomme ich es auf Teufel komm raus nicht ans laufen.

Hierzu fehlt die Config, sowie das OpenVPN Protokoll,
so ist keine Diagnose möglich.

 

[HarryBoo]

Probier mal Folgendes einzutragen (auf beiden Seiten):

tun-mtu 1500
fragment 1300

Funktioniert bei mir ohne Probleme.

 

[CaptainMorgan]

Geh mal mit der MTU auf 1400 (oder sogar 1300 oder 1200) herunter (am besten als "link-mtu" angeben) und schau dann noch mal - danach kannst Du ja dann wieder erhöhen, bis es nicht mehr klappt.

Peter hatte wie fast immer Recht.
Das mit dem ausprobieren der MTU habe ich mal gemacht. Es funktioniert bis 1328 (wenn definiert über "mtu-link 1328").
Allerdings bekomme ich so eine Reihe neuer roter Zeilen in der Client GUI-Log:

Thu Mar 21 15:53:25 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1172)
...
Thu Mar 21 15:53:28 2019 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1328', remote='link-mtu 1592'
Thu Mar 21 15:53:28 2019 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1204', remote='tun-mtu 1532'
...
Thu Mar 21 15:53:29 2019 OPTIONS IMPORT: WARNING: peer-id set, but link-mtu fixed by config - reducing tun-mtu to 1169, expect MTU problems

Außerdem am Ende der Log noch folgendes:

Thu Mar 21 15:53:45 2019 read from TUN/TAP : Unknown error (code=234)
Thu Mar 21 15:53:47 2019 read from TUN/TAP : Unknown error (code=234)
Thu Mar 21 15:53:49 2019 read from TUN/TAP : Unknown error (code=234)
Thu Mar 21 15:54:03 2019 read from TUN/TAP : Unknown error (code=234)
Thu Mar 21 15:54:05 2019 read from TUN/TAP : Unknown error (code=234)
Thu Mar 21 15:54:07 2019 read from TUN/TAP : Unknown error (code=234)

Die werden auch mit der Zeit immer mehr.

Anmerkung: wenn ich mit mir "netstat -natlp" und die OpenVPN-Protokoll-Datei ansehe, dann sieht es nach IPv4-OpenVPN aus;

d.h. Portforwarding für IPv6 sowie die Configzeile "proto tcp6-server" sind "diskussionsfähig".
==> Basiseinstellungen "IPv6 benutzen" deaktivieren.

Das würde ja aber IPv6 dann komplett ausschalten, sollte das Ziel nicht sein es korrekt zu konfigurieren?
Durch das Abwählen von "IPv6 benutzen" steigt die maximal sinnvolle MTU jedoch nicht.
Muss ich dafür als Remote die komplette "absolute" IPv6 der 7560 angeben? Da wüsste ich nicht wie ich die überhaupt statisch machen kann...

So wie es aussieht kann die optimale MTU für die TCP-Übertragung zwischen den beiden Windows10 Rechnern nicht richtig ermitteln.
interessant wäre hier der "ipconfig /all" Output der beiden Win10-Rechner, da sieht man die MTU der für Ethernet- und TAP-Device.

Unter ipconfig /all steht nur ein Haufen persönlicher Infos, aber kein Wort über die MTU.
"Netsh interface ipv4 show interfaces" sagt mir alledings dass alle auf 1500 stehen, sowohl die physischen als auch die virtuellen."
"Netsh interface ipv6 show interfaces" hingegen sagt mir auf dem Desktop hinter der 7560 Ethernet auf 1492, TAP auf 1500 steht.
Auf dem Laptop hier bei mir ist es genau anders herum. TAP auf 1492, Ethernet auf 1500.
Diese Einstellungen habe ich aber bewusst nie berührt, jede Abweichung von den Standardabweichungen hat Windows sich also selber ausgesucht oder aber wurde von Software gemacht.

Hierzu fehlt die Config, sowie das OpenVPN Protokoll,
so ist keine Diagnose möglich.

Nunja, in der Server GUI auf UDP gestellt, und in der Client-config auf proto udp, und das Protokoll der Portfreigaben geändert. Ansonsten alle Einstellungen gleich.
Das Protokoll sieht dann so aus.

Thu Mar 21 16:48:36 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Thu Mar 21 16:48:36 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Mar 21 16:48:36 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Thu Mar 21 16:48:36 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Mar 21 16:48:36 2019 Need hold release from management interface, waiting...
Thu Mar 21 16:48:36 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'state on'
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'log all on'
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'echo all on'
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'bytecount 5'
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'hold off'
Thu Mar 21 16:48:36 2019 MANAGEMENT: CMD 'hold release'
Thu Mar 21 16:48:36 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 21 16:48:36 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 21 16:48:36 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1174)
Thu Mar 21 16:48:36 2019 MANAGEMENT: >STATE:1553183316,RESOLVE,,,,,,
Thu Mar 21 16:48:36 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xx:11194
Thu Mar 21 16:48:36 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Mar 21 16:48:36 2019 UDP link local: (not bound)
Thu Mar 21 16:48:36 2019 UDP link remote: [AF_INET]xxx.xxx.xxx.xx:11194
Thu Mar 21 16:48:36 2019 MANAGEMENT: >STATE:1553183316,WAIT,,,,,,
Thu Mar 21 16:48:37 2019 MANAGEMENT: CMD 'signal SIGHUP'
Thu Mar 21 16:48:37 2019 SIGHUP[hard,] received, process restarting
Thu Mar 21 16:48:37 2019 MANAGEMENT: >STATE:1553183317,RECONNECTING,SIGHUP,,,,,
Thu Mar 21 16:48:37 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Thu Mar 21 16:48:37 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Mar 21 16:48:37 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Thu Mar 21 16:48:37 2019 Restart pause, 5 second(s)
Thu Mar 21 16:48:42 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 21 16:48:42 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 21 16:48:42 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1174)
Thu Mar 21 16:48:42 2019 MANAGEMENT: >STATE:1553183322,RESOLVE,,,,,,
Thu Mar 21 16:48:42 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xx:11194
Thu Mar 21 16:48:42 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Mar 21 16:48:42 2019 UDP link local: (not bound)
Thu Mar 21 16:48:42 2019 UDP link remote: [AF_INET]xxx.xxx.xxx.xx:11194
Thu Mar 21 16:48:42 2019 MANAGEMENT: >STATE:1553183322,WAIT,,,,,,
Thu Mar 21 16:49:42 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar 21 16:49:42 2019 TLS Error: TLS handshake failed
Thu Mar 21 16:49:42 2019 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 21 16:49:42 2019 MANAGEMENT: >STATE:1553183382,RECONNECTING,tls-error,,,,,
Thu Mar 21 16:49:42 2019 Restart pause, 5 second(s)

tun-mtu 1500
fragment 1300

Die Log sagt mir dass das --fragment nur eingesetzt werden darf wenn das Protokoll UDP lautet, also muss das wohl zuerst gelöst werden.
Andererseits finde ich den minimalen Malus von TCP nicht so schlimm, wenn ich mir dafür sicher sein kann dass auch wirklich alle Pakete ankommen.

Jetzt geht ja pirmär nur noch darum das IPv6 manierlich funktioniert und die Roten Zeilen aus der Log zu bekommen.

 

[feedzapper]

Also ich würde an diesen Einstellungen (tun-mtu, link-mtu) überhaupt nichts von Hand verändern.
OpenVPN sollte hier die richtigen Werte automatisch ermitteln. Diese Werte hängen u.a. auch davon ab ob "compress disabled/lzo/lz4" verwendet wird.
Ich glaube wichtig erscheint mir nur (wenn ich mich richtig erinnere), dass die "MTU Discovery" unter Windows auch richtig funktioniert.
Dafür muss auf beiden Seiten in der Firewall auch "Respond to ICMP ECHO" erlaubt sein, sei es nun im Router oder im Windows.

 

[CaptainMorgan]

Also ich würde an diesen Einstellungen (tun-mtu, link-mtu) überhaupt nichts von Hand verändern.

Ohne manuelle Anpassung funktioniert es nun aber nicht wirklich einwandfrei.

OpenVPN sollte hier die richtigen Werte automatisch ermitteln. Diese Werte hängen u.a. auch davon ab ob "compress disabled/lzo/lz4" verwendet wird.

In dem Fall müssten ja meine conifg Server und Client seitig dementsprechend auseinandergehen. Darüber hat sich aber noch niemand echauviert, aber ich bin lernwillig. Ich habe aus der Freetz-Wiki und dem OpenVPN Tutorial zusammengewürfelt was funktioniert.

Ich glaube wichtig erscheint mir nur (wenn ich mich richtig erinnere), dass die "MTU Discovery" unter Windows auch richtig funktioniert.
Dafür muss auf beiden Seiten in der Firewall auch "Respond to ICMP ECHO" erlaubt sein, sei es nun im Router oder im Windows.

Der Router ist eine FritzBox, da habe ich dazu noch nie eine Option gesehen.
Auf den Windows Maschinen findet sich das in diesem Wortlaut weder in der Firewall noch in den Netzwerktreibern.
Was in den Firewalls allerdings so ähnlich klingt, "Paket zu groß (ICMPv6)", "Zeitüberschreitung (ICMPv6)", "Routerabfrage (ICMPv6)" sind alle auf grün geschaltet.
Laut Internet ist ICMP ECHO allerdings das gleiche wie ein einfacher Ping (zumindest nach dem Überfliegen der ersten Google Seite), und auf die antworten alle beteiligten Geräte ohne zu murren.

 

[feedzapper]

Zu dem Problem mit dem Remote Desktop würde mir noch einfallen, das der betroffene Windows 10 Rechner hinter
deiner 7560 (192.168.172.2) die Pakete einfach nicht über den OpenVPN routet, sondern über deine 7362SL (192.168.172.1).
Weil die entsprechende Route zu deinem 192.168.178.X Netzwerk dort dem Windows 10 Rechner nicht bekannt ist.

Versuche ich eine RemoteDesktop Verbindung zu einem Windows 10 Computer aufzubauen, der direkt am LAN 2 der 7560 hängt, funktioniert zwar die Passwortabfrage, lokale Sitzungen oder weitere Remotesitzungen werden auch geschlossen, doch das Bild bleibt schwarz und das RDP Fenster wird nach einigen Sekunden geschlossen mit dem Verweis darauf das entweder die Netzwerkkonektivität zu schlecht sei, oder wahlweise (ca 30% zu 69%) das es einen internen Fehler gegeben habe. Die nachfolgende angebotene Windowshilfe ist beides mal die gleiche und geradeheraus nutzlos. Ganz selten funktioniert die Verbindung für wenige Minuten/Sekunden.

Abhilfe , manueller routing Eintrag am Windows 10 Rechner in der EIngabeaufforderung mit Admin Rechten :

route -p ADD 192.168.178.0 MASK 255.255.255.0 192.168.172.2

Der Eintrag ist dann auch Permanent und überlebt einen Windows Neustart ...

 

[CaptainMorgan]

Zu dem Problem mit dem Remote Desktop würde mir noch einfallen, das der betroffene Windows 10 Rechner hinter
deiner 7560 (192.168.172.2) die Pakete einfach nicht über den OpenVPN routet, sondern über deine 7362SL (192.168.172.1).
Weil die entsprechende Route zu deinem 192.168.178.X Netzwerk dort dem Windows 10 Rechner nicht bekannt ist.

Also das Problem mit dem Remote Desktop liegt definitiv an der MTU. Wenn ich link-mtu 1328 in die Client-config eintrage funnktioniert alles.
Als ich den Titel dieses Threads eingetragen habe war es das was ich mit Subnetz eigentlich meinte das eventuell die Route in die andere Richtung nicht richtig auflgelöst werden kann.
Allerdings taucht am Client bein Einloggen immer diese Meldung auf:

Thu Mar 21 16:54:18 2019 Warning: address 192.168.172.1 is not a network address in relation to netmask 255.255.255.0
Thu Mar 21 16:54:18 2019 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert   [status=5 if_index=5]

Überdies hinaus scheint die begrenzte MTU ab und zu kaum wahrnehmbare restarts zu verursachen.

Thu Mar 21 18:48:46 2019 WARNING: Bad encapsulated packet length from peer (1361), which must be > 0 and <= 1331 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Thu Mar 21 18:48:46 2019 WARNING: Bad encapsulated packet length from peer (60166), which must be > 0 and <= 1331 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Thu Mar 21 18:48:46 2019 Connection reset, restarting [0]

Der automatische Reconnect von RDP scheint das abfangen zu können, während eines SMB Transfers ist es noch nicht passiert, aber da sagt mir mein Gefühl dass ich dann von vorne anfangen kann.

Edit, 22. März, 0 Uhr 30:
Habe UDP jetzt ans Laufen bekommen. Der Grund war profan. UDP funktioniert nur wenn der "Startmodus" von OpenVPN auf Manuell oder Automatisch steht. Inetd geht nicht.
Nun muss ich mir natürlich wieder eine neue autmatische Startmethode ausdenken, da der Patch natürlich zuerst aktiviert werden muss.

Im UDP Modus funktioniert es, "scheinbar", ohne jede MTU Beschränkung.
Mittlerweile ist auch eine akademische Aufgabe daraus geworden, möchte das ganze jetzt eigentlich auch gerne verstehen anstatt nur zurechtzubiegen.

Um ein failover zu haben und daneben auch wählen zu können zwischen UDP und TCP, je nach Situation, würde ich gerne zwei Instanzen parallel betreiben:
Im Wiki steht das:

Weitere Konfigs anlegen
Um weitere Konfigs anzulegen, muss man momentan noch von Hand einmal einen Aufruf machen. Um Beispielsweise eine Config Namens OpenVPN_TCP anzulegen:

http://fritz.box:81/cgi-bin/conf/openvpn?genconfigname=OpenVPN_TCP

ACHTUNG: Nicht den Config-Namen "OpenVPN" oder "openvpn" verwenden!

Das funktioniert nicht, man gelangt einfach in die Einstellungsseite der ohnehin schon existierenden Instanz. Hat sich da was geändert oder mach ich etwas falsch?

Edit2:
Nachdem UDP nun funktionierte, konnte ich den eingebauten MTU Test machen.
Das war das Ergebnis:

Fri Mar 22 01:47:36 2019 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1557,1557] remote->local=[1557,1557]

 

[CaptainMorgan]

Ich würde das ganze nach fast zwei Wochen dann mal vorsichtig pushen:
Besonders wie ich eine weitere Konfig anlege ist mir immer noch schleierhaft?
Ist beim übertragen auf Github da im Wiki eventuell ein Bild verloren gegangen, oder hat sich da was geändert?
Außerdem versuche ich momentan einem Programm die Verbindung als zweiten Internetzugang schmackhaft zu machen.
Dazu wird im Programm einfach nur die zugewiesene IP4 des zu verwendenden Interfaces angegeben, in meinem Fall 192.168.172.241 und dann fuktioniert das eigentlich bei allen anderen.
Ich bekokmme im Programm aber immer nur die die Meldung dass diverse Internetseiten über diese Verbindung nicht erreicht werden können.
Kann jemand eventuell mach über meine Routen (alles unverändert wie im ersten Post) schauen und mir sagen warum ich immer das habe

Wed Apr 03 19:12:24 2019 ROUTE: route addition failed using service: Falscher Parameter.   [status=87 if_index=5]

und warum meine Netzwerkverbindung immer so seltsam aussieht?
Besonders ipv4....


Ich glaube ich habe da irgendetwas falsch verstanden, was die verschieden Subnetze angeht und so weiter...
Ich habe ein Subnetz beim Clienten und eines bei der Box.
Brauche ich noch ein drittes/viertes/fünftes für den Tunnel und/oder die beiden Schnittestellen?
Oder ist das nur bei TUN und nicht bei TAP der Fall?