Port nicht erreichbar (DS-Lite, FB, PiVPN)

Alles Rund um die Einrichtung unserer IPv6 Portmapper
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

Hallo zusammen,

ich habe versucht, mit einem universellen Portmapper einen Raspberry mit PiVPN (OpenVPN) hinter der Fritzbox an meinem DS-Lite-Anschluss (Deutsche Glasfaser) zu erreichen.

Dabei habe ich mich ganz genau an diese Anleitung gehalten, die mir eigentlich sehr ausführlich und vollständig erschien: https://www.glasfaser-huenstetten.de/an ... pn-server/

Die üblichen "Klippen" hatte ich damit gehofft zu umschiffen, wie UDP im PiVPN oder fehlende IPv6-Aktivierung. Trotzdem wird mir im Account leider nur angezeigt "Port nicht erreichbar !", und der OpenVPN-Client meldet "Transport error on ... NETWORK_RECV_ERROR" oder "TCP recv error: Connection reset by peer".

Wo könnte das Problem noch liegen? Könnte vielleicht irgendeine Einstellung der Fritzbox (Filter, Firewall etc.) hier noch blockieren? Oder darf der Raspi mit PiVPN keinen Bindestrich im Namen haben? Oder ...?

Danke für jeden Hinweis!

Gruß Alex
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

Hab den Fehler gefunden :D

Ich hab den Fehler gemacht, den Raspi in der Netzwerkübersicht der Fritzbox umzubenennen. Dadurch stimmte der generierte myfritz-Link nicht mehr mit dem Hostnamen überein. Nach Zurücksetzen der Einstellungen und Neuanlage der Freigabe in der Fritzbox komme ich nun von außen auf mein PiVPN. Insofern war die Anleitung echt Gold wert :!:

Nur Zugriff auf die lokalen Geräte (mit Ausnahme des Raspi) hab ich noch nicht. Irgendwie scheint die "Rückübersetzung" in IPv4 noch nicht zu funktionieren.

Hat da vielleicht noch jemand einen Tipp?

Danke&Gruß
Alex
oops
Posts: 1
Joined: Mon 22. Feb 2021, 17:50

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by oops »

Die oben genannte Anleitung ist wirklich sehr empfehlenswert. Eine weitere Fehlerquelle könnte eine falsch hinterlegte IPv6 Interface-ID bei der FritzBox sein. Wenn diese nicht korrekt ist, erscheint auch die Fehlermeldung "Port nicht erreichbar !". Ich habe lange gebraucht, bis ich auf die entsprechende Lösung hier gestoßen bin.
  • Einfach auf dem RPi "ip a" eingeben
  • Den Abschnitt "inet6 xxxx:xxx:xxx:xxxx:xxxx:xxx:xxx:xxx/64 scope global dynamic mngtmpaddr noprefixroute" suchen
  • Die letzten vier Blöcke mit "IPv6 Interface-ID" in der entsprechenden Gerätefreigabe in der FritzBox abgleichen und ggf. korrigieren
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

Der Eintrag scheint bei mir korrekt zu sein. Aber Probleme mit dem Zugriff auf Geräte im LAN habe ich immer noch. :(
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by MichaelWeigel »

Hallo,

Entweder tragen Sie eine Statische IPv4 Route zum OpenVPN Netz (IP, die der Client erhält) in die Fritzbox ein.:

Client IP: 10.12.12.13 =netz: 10.12.12.0/24

also netz: 10.12.12.0 Netzmaske 255.255.255.0 Ziel {IP des Raspis}

oder sie machen ein Masqurade des OpenVPN Netzes.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
LG Michael
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

Die IPv4 Route hat leider nicht funktioniert. Ich bin mir auch nicht sicher, ob die private IP immer aus dem gleichen Netz vergeben wird.

Was genau bewirkt eine Masquerade?

Danke&Gruß
mickym
Posts: 71
Joined: Wed 28. Aug 2019, 11:33

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mickym »

Also bei mir geht das. Wichtig ist die statische IP-v4 Route in die FB eintragen. Als Gateway muss eben der Raspberry mit OpenVPN angegeben werden und natürlich das richtige 10er Netz.
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

mickym wrote: Fri 26. Feb 2021, 14:20Als Gateway muss eben der Raspberry mit OpenVPN angegeben werden
Was genau ist damit gemeint? Die IPv4 des Raspi als "Ziel" der Route? Mit Portnummer von OpenVPN?

Übrigens ist mir aufgefallen, dass PiVPN bei der Installation offenbar bereits eine Maskierung für 10.8.0.0/24 an eth0 angelegt hat, allerdings ohne Ziel-IP.

EDIT: Seit ich in die Regel über webmin die IPv4 des Raspi eingetragen hab, hat sich am VPN-Zugriff nichts geändert, aber ich komme lokal nicht mehr auf webmin :(
mickym
Posts: 71
Joined: Wed 28. Aug 2019, 11:33

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mickym »

Ich habe nichts von irgendeiner Regel geschrieben. In der Standardbeschreibung wird auch meist das 10.8.0.0/24 Netz angegeben. Für dieses Netz musst Du in Deiner FB eine statische Route definieren.

Du kannst in /etc/openvpn die server.conf nochmals überprüfen, ob da auch noch die 10.8.0.0 drinsteht.

Deine Maschine auf der OpenVPN läuft muss doch eine lokale IP Adresse habe, meist 192.168.178.xx die musst als Gateway für Deine statische Route in der FB eintragen.

Als geh in Deine FB:

Dort in Heimnetz => Netzwerk => Netzwerkeinstellungen

Dort ganz unten auf IPv4 Routen und neue Route für Dein 10.8.0.0 anlegen:

Wenn Deine Maschine oder PiVPN auf der lokalen Adresse 192.168.178.66 arbeiten würde - dann muss die neue IP v4 Route halt wie auf dem Bild aussehen:
screen.png
screen.png (107.57 KiB) Viewed 4811 times

Da ist nix mit Port etc. ... ;) ;)
mv_alex
Posts: 10
Joined: Mon 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Post by mv_alex »

Das mit der Regel bezog sich auf den 2. Lösungsansatz mit der "Maskierung". :D Seit der Anpassung komme ich nicht mehr in das webmin-Interface des Raspi :(

Ich hab nochmal in die server.conf geschaut, da steht die 10.8.0.0 noch drin.

Code: Select all

server 10.8.0.0 255.255.255.0
Außerdem steht da noch

Code: Select all

push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
Könnte das vielleicht der Grund sein, dass die Clients nicht auf das lokale Netzwerk der Fritzbox zugreifen können?

Die Route hab ich aber genauso angelegt, daher die genaue Nachfrage nach den Einträgen:
route.PNG
route.PNG (5.49 KiB) Viewed 4791 times
Leider ändert das nichts ...

Gruß Alex
Post Reply