[Frage] OpenVPN und ip6

xrated

Mitglied
Mitglied seit
2 Jul 2012
Beiträge
788
Punkte für Reaktionen
1
Punkte
18
Hallo

weil mir OpenVPN in einem älteren Trunk Build eine Fehlermeldung (access denied) abgeworfen hatte als ich die server-ipv6 direktive benutzen wollte, habe ich freetz und somit auch openvpn aktualisiert. Jetzt ist mir aufgefallen das die simple gui scheinbar entfernt wurde und man gar keine eigene conf mehr erstellen kann, ist das richtig?

dort kann man für ip6 auch überhaupt keine Parameter angeben und ich benutze auch Zertifikate und static key gleichzeitig weil mir nur eins von beiden zu unsicher ist.

Und nur weil in der config proto udp6 steht, heisst das ja noch lange nicht das das ganze voll ip6 fähig ist bzw. wenn ip4 nicht am dsl interface da wäre, würde gar nichts gehen oder?
 
Kann es sein, dass du beim Konfigurieren nicht mindestens "Advanced" beim "User Competence Level" ausgewählt hast?
Dann würde die "simple GUI" nicht zur Auswahl angezeigt.
 
ist ausgewählt. Die .config hatte ich vom alten Build 13... übernommen.
Müsste simple GUI auch unter packages/openvpn erscheinen?

In der .config steht noch:
FREETZ_USER_LEVEL_ADVANCED=y
FREETZ_SHOW_ADVANCED=y
# FREETZ_PACKAGE_OPENVPN_WITH_MGMNT is not set
FREETZ_PACKAGE_OPENVPN_ENABLE_SMALL=y
FREETZ_PACKAGE_OPENVPN_CGI=y
# FREETZ_PACKAGE_OPENVPN_USE_V2_CGI is not set
 
Zuletzt bearbeitet:
Ja, das wählt man "unter" dem OpenVPN-Paket, der letzte Punkt.
Der Punkt sollte sichtbar sein, sobald OpenVPN gewählt ist, wnnn man "Advanced" ist:

Code:
config FREETZ_PACKAGE_OPENVPN_USE_V2_CGI
    bool "Use new (simple) GUI - EXPERIMENTAL"
    depends on FREETZ_PACKAGE_OPENVPN && FREETZ_SHOW_ADVANCED
    select FREETZ_PACKAGE_OPENVPN_V2_CGI
    default n
    help
        CAUTION: This option will delete configurations made with "old" GUI!
        New quite simple OpenVPN configuration interface.
        It will not generate a configuration file based on GUI settings
        but just ask for an existing configuration.
 
ich glaube es lag an mir weil nur SSL library (OpenSSL) nach rechts eingerückt war und ich gar nicht so weit runter gescrollt hatte. Wie peinlich...

ist eigentlich openvpn auf freetz nicht ip6 tauglich oder warum bekomme ich immer folgenden Fehler:
daemon.err openvpn[5357]: Linux ifconfig inet6 failed: external program exited with error status: 1
beim command: server-ipv6

wenn man den command manuell auf der konsole ausführt:
/sbin/ifconfig tun0 add 2003:c7:83xx:49xx::1/64
ifconfig: SIOCSIFADDR: Permission denied
 
Zuletzt bearbeitet:
bzw.
ip -6 addr add 2003:c7:83xx:49xx::1/64 dev tun0
ip: RTNETLINK answers: Permission denied

dann ist mir noch aufgefallen
sysctl net.ipv6.conf.default.disable_ipv6
net.ipv6.conf.default.disable_ipv6 = 1
sysctl net.ipv6.conf.default.disable_ipv6=0
sysctl: error: 'net.ipv6.conf.default.disable_ipv6=0' is an unknown key

hmmmm.....
 
welcher FritzBox-Typ sowie Firmware-Version verwendest Du ?

die Informationslage ist mal wieder herrlich dünn ;-)
da sich je nach OS-Version und verschiedener Box-Typ auch die Kernel-Version ändert, wären mehr Inputs schon hilfreich.
 
Das ist eine 7362SL mit 6.30 als OS.
bei FW 6.30 ist es schwierig noch Support zu bekommen;
warum verwendest Du nicht FW 06.83 oder 07.01 ?

siehe: http://freetz.org/browser/trunk/FIRMWARES
Code:
SNIP
198 * Fritz!Box Fon WLAN 7362 SL
199     * 131.06.30 rev30889
200     * 131.06.50 rev32505
201     * 131.06.83 rev43615
202     * 131.07.01 rev61708

Bitte mal mit aktueller oder vorgänger FW Version testen.
 
und die 7er funktioniert mit Freetz noch nicht.
Bitte mal die .config Datei anhängen, dann sieht man mehr.

Verwendest Du die Replace-Kernel Option ?

ist bei Dir IPv6 enabled oder disabled ?
Code:
# cat /proc/sys/net/ipv6/conf/all/disable_ipv6
1
#

ggf aktivieren:
Code:
# echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
#
 
Zuletzt bearbeitet:
siehe oben, war deaktiviert. Mit echo 0 > .... gehts jetzt.
Wo ändert man das denn dauerhaft, sysctl.conf gibts nicht und rc.custom wird erst am Ende ausgeführt.

Bonusfrage: Wegen der Sicherheitshysterie gibts vom ISP nur einen dynamischen IP6 Präfix. Man könnte ein cron Script anlegen welche diesen bei einer Änderung ausliest und die config von OpenVPN neu generiert. Wenn man /var/mod/etc/openvpn.conf von bash aus ändert wird doch das von der GUI wieder zurück geschrieben beim restart des Daemon.
Bei Synology geschieht das wohl alles über dhcp-pd aber nicht bei freetz oder?

Da gibts ip6 Adressen ohne Ende und man wird noch mehr gegängelt als bei ip4.
 
In rc.custom habe ich jetzt eingetragen:
echo 0 > /proc/sys/net/ipv6/conf/all/disable_ipv6
/etc/init.d/rc.openvpn start

bzgl. der eigenen Config ein file angelegt z.B. /var/tmp/flash/openvpn/configs/ovpn_cust2

modsave flash
Checking Freetz configuration ... changed.
Writing 18572 bytes to /var/flash/freetz ... done.

/mod/etc/default.openvpn/generate_virtual_pkg ovpn_cust2
ovpn_cust2 is disabled.

was stimmt da nicht?
 
Sorry für die späte Antwort.

Ich meine "is disabled" ist die normale Ausgabe, wenn in der GUI für diese Config der Start auf "manuell" gesetzt ist.
Kann das sein?
 
noch mal einen Schritt zurück. OpenVPN ist geladen mit:
proto udp6
dev tun
port 1194
u.a.:
server 192.168.200.0 255.255.255.0
server-ipv6 2003:c7:83f8:500::/64 (Präfix ändert sich eh jeden Tag, kein Geheimnis)

mit ip -6 addr sehe ich auch das es ein tun0 mit entsprechender ipv6 gibt. Aber mit netstat -taulpen | grep openvpn sehe ich nur:
udp 0 0 :::1194 :::* 10012/openvpn

ich komme von aussen auch gar nicht rein mit OpenVPN Client und auch ein Online ipv6 udp Portscanner zeigt das 1194 closed ist:
http://www.ipv6tech.ch
dagegen das:
UDP6 Port 547 dhcpv6-server REACHABLE

In der Fritzbox habe ich auch eine entsprechende Freigabe erstellt (OS 6.30), wahlweise mit LAN oder DSL interface.

Port 81 von Freetz kann ich genauso wenig freigeben, dass einzige was funktioniert ist 450 also die GUI von Fritzbox über IP6.

siehe auch:
netstat -taulpen | grep :81
tcp 0 0 :::81 :::* LISTEN 1937/httpd-webcfg

An was liegt das jetzt? Ich weiß das 6.30 sehr alt ist aber mit 6.81 hatte ich DSL Probleme. Ausserdem ist die GUI ewig langsam.
 
Ich weiß das 6.30 sehr alt ist
der IPv6 Stack ist nach meinem Stand bei FW 06.30 noch rudimentär implementiert, ggf. ist da auch nach so etwas wie AVMFW aktiv;

Vorschlag: Portforwarding von WAN-IPv4:1194 auf LAN-IP der Fritzbox testen; siehe: https://www.ip-phone-forum.de/threa...penvpn-in-fw-6-30-freetz-trunk-setzen.281521/
Test mit Remote-Portscanner, ..., OpenVPN-Client.

dann sieht man, ob bei IPv6 ein Problem liegt, bzw. ob es mit Portforwarding funktioniert.
 
Vorweg: Mit IPv6 hab ich bislang nicht wirklich viel gemacht.

Was ist denn an dem Ergebnis vom netstat "auszusetzen"? Da wird doch auf 1194 gelauscht?
Musste man nicht auch bei IPv6 Freigaben für Dienste auf der Box machen?
Wie gesagt, da kann ich leider nicht so viel beitragen ...
 
Port 81 von Freetz kann ich genauso wenig freigeben, dass einzige was funktioniert ist 450 also die GUI von Fritzbox über IP6.
@xrated: am Besten mit OpenVPN Referenz-Configuration mit IPv4 starten (bei Telekom gibt es Dual-Stack), und wenn IPv4 funktioniert, dann kann man sich nach IPv6 testen.
 
Über ip4 geht OpenVPN einwandfrei schon seit Jahren mit der 7362 und diesem Anschluss.
Habe grade mal eine andere 7390 mit der neuen 6.85 und Freetz versehen, da gibts wohl auch kein TUN mehr:
Oct 28 16:30:51 fritz daemon.err openvpn[3666]: ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Oct 28 16:30:51 fritz daemon.notice openvpn[3666]: Exiting due to fatal error

Aber auch mit der Box komme ich von aussen nicht auf die GUI mit TCP Port 81 oder 450.

UDP scheint bei der Freigabe mega buggy zu sein, da werden wahllos irgendwelche anderen Ports freigegeben obwohl man nur 1 freigibt und der ist dann nichtmal freigegeben.

Bei Zugriff von aussen gebe ich die Adresse an, die im Online Monitor unter IPv6 Adresse steht und bei der Freigabe deren letzten 4 Gruppen.
Was mich auch immer irriert, warum der angezeigte Präfix davon abweicht und zwar nach oben.
Als ob die Adresse der Box gar nicht zum LAN Range gehört.

Adresse: 2003:c7:83bf:201
Präfix: 2003:c7:83c1:d900::/56

### Zusammenführung Doppelpost by stoney ###

Mit folgenden Befehlen habe ich auch wieder TUN:
mkdir -p /dev/net
mknod /dev/net/tun c 10 200
chmod 600 /dev/net/tun
 
Zuletzt bearbeitet von einem Moderator:
Mit folgenden Befehlen habe ich auch wieder TUN:
na dann würde ich test mit IPv6 vorschlagen;
Bitte noch folgendes in openvpn.cfg einpflegen
Code:
log /var/tmp/debug_openvpn.out
verb 3
und dann die openvpn.cfg und das Logfile posten; ggf. sensible Daten anonymisieren.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.