Port nicht erreichbar (DS-Lite, FB, PiVPN)
Port nicht erreichbar (DS-Lite, FB, PiVPN)
Hallo zusammen,
ich habe versucht, mit einem universellen Portmapper einen Raspberry mit PiVPN (OpenVPN) hinter der Fritzbox an meinem DS-Lite-Anschluss (Deutsche Glasfaser) zu erreichen.
Dabei habe ich mich ganz genau an diese Anleitung gehalten, die mir eigentlich sehr ausführlich und vollständig erschien: https://www.glasfaser-huenstetten.de/an ... pn-server/
Die üblichen "Klippen" hatte ich damit gehofft zu umschiffen, wie UDP im PiVPN oder fehlende IPv6-Aktivierung. Trotzdem wird mir im Account leider nur angezeigt "Port nicht erreichbar !", und der OpenVPN-Client meldet "Transport error on ... NETWORK_RECV_ERROR" oder "TCP recv error: Connection reset by peer".
Wo könnte das Problem noch liegen? Könnte vielleicht irgendeine Einstellung der Fritzbox (Filter, Firewall etc.) hier noch blockieren? Oder darf der Raspi mit PiVPN keinen Bindestrich im Namen haben? Oder ...?
Danke für jeden Hinweis!
Gruß Alex
ich habe versucht, mit einem universellen Portmapper einen Raspberry mit PiVPN (OpenVPN) hinter der Fritzbox an meinem DS-Lite-Anschluss (Deutsche Glasfaser) zu erreichen.
Dabei habe ich mich ganz genau an diese Anleitung gehalten, die mir eigentlich sehr ausführlich und vollständig erschien: https://www.glasfaser-huenstetten.de/an ... pn-server/
Die üblichen "Klippen" hatte ich damit gehofft zu umschiffen, wie UDP im PiVPN oder fehlende IPv6-Aktivierung. Trotzdem wird mir im Account leider nur angezeigt "Port nicht erreichbar !", und der OpenVPN-Client meldet "Transport error on ... NETWORK_RECV_ERROR" oder "TCP recv error: Connection reset by peer".
Wo könnte das Problem noch liegen? Könnte vielleicht irgendeine Einstellung der Fritzbox (Filter, Firewall etc.) hier noch blockieren? Oder darf der Raspi mit PiVPN keinen Bindestrich im Namen haben? Oder ...?
Danke für jeden Hinweis!
Gruß Alex
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Hab den Fehler gefunden
Ich hab den Fehler gemacht, den Raspi in der Netzwerkübersicht der Fritzbox umzubenennen. Dadurch stimmte der generierte myfritz-Link nicht mehr mit dem Hostnamen überein. Nach Zurücksetzen der Einstellungen und Neuanlage der Freigabe in der Fritzbox komme ich nun von außen auf mein PiVPN. Insofern war die Anleitung echt Gold wert
Nur Zugriff auf die lokalen Geräte (mit Ausnahme des Raspi) hab ich noch nicht. Irgendwie scheint die "Rückübersetzung" in IPv4 noch nicht zu funktionieren.
Hat da vielleicht noch jemand einen Tipp?
Danke&Gruß
Alex
Ich hab den Fehler gemacht, den Raspi in der Netzwerkübersicht der Fritzbox umzubenennen. Dadurch stimmte der generierte myfritz-Link nicht mehr mit dem Hostnamen überein. Nach Zurücksetzen der Einstellungen und Neuanlage der Freigabe in der Fritzbox komme ich nun von außen auf mein PiVPN. Insofern war die Anleitung echt Gold wert
Nur Zugriff auf die lokalen Geräte (mit Ausnahme des Raspi) hab ich noch nicht. Irgendwie scheint die "Rückübersetzung" in IPv4 noch nicht zu funktionieren.
Hat da vielleicht noch jemand einen Tipp?
Danke&Gruß
Alex
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Die oben genannte Anleitung ist wirklich sehr empfehlenswert. Eine weitere Fehlerquelle könnte eine falsch hinterlegte IPv6 Interface-ID bei der FritzBox sein. Wenn diese nicht korrekt ist, erscheint auch die Fehlermeldung "Port nicht erreichbar !". Ich habe lange gebraucht, bis ich auf die entsprechende Lösung hier gestoßen bin.
- Einfach auf dem RPi "ip a" eingeben
- Den Abschnitt "inet6 xxxx:xxx:xxx:xxxx:xxxx:xxx:xxx:xxx/64 scope global dynamic mngtmpaddr noprefixroute" suchen
- Die letzten vier Blöcke mit "IPv6 Interface-ID" in der entsprechenden Gerätefreigabe in der FritzBox abgleichen und ggf. korrigieren
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Der Eintrag scheint bei mir korrekt zu sein. Aber Probleme mit dem Zugriff auf Geräte im LAN habe ich immer noch.
-
- Posts: 772
- Joined: Tue 24. Feb 2015, 11:13
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Hallo,
Entweder tragen Sie eine Statische IPv4 Route zum OpenVPN Netz (IP, die der Client erhält) in die Fritzbox ein.:
Client IP: 10.12.12.13 =netz: 10.12.12.0/24
also netz: 10.12.12.0 Netzmaske 255.255.255.0 Ziel {IP des Raspis}
oder sie machen ein Masqurade des OpenVPN Netzes.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Entweder tragen Sie eine Statische IPv4 Route zum OpenVPN Netz (IP, die der Client erhält) in die Fritzbox ein.:
Client IP: 10.12.12.13 =netz: 10.12.12.0/24
also netz: 10.12.12.0 Netzmaske 255.255.255.0 Ziel {IP des Raspis}
oder sie machen ein Masqurade des OpenVPN Netzes.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
LG Michael
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Die IPv4 Route hat leider nicht funktioniert. Ich bin mir auch nicht sicher, ob die private IP immer aus dem gleichen Netz vergeben wird.
Was genau bewirkt eine Masquerade?
Danke&Gruß
Was genau bewirkt eine Masquerade?
Danke&Gruß
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Also bei mir geht das. Wichtig ist die statische IP-v4 Route in die FB eintragen. Als Gateway muss eben der Raspberry mit OpenVPN angegeben werden und natürlich das richtige 10er Netz.
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Was genau ist damit gemeint? Die IPv4 des Raspi als "Ziel" der Route? Mit Portnummer von OpenVPN?
Übrigens ist mir aufgefallen, dass PiVPN bei der Installation offenbar bereits eine Maskierung für 10.8.0.0/24 an eth0 angelegt hat, allerdings ohne Ziel-IP.
EDIT: Seit ich in die Regel über webmin die IPv4 des Raspi eingetragen hab, hat sich am VPN-Zugriff nichts geändert, aber ich komme lokal nicht mehr auf webmin
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Ich habe nichts von irgendeiner Regel geschrieben. In der Standardbeschreibung wird auch meist das 10.8.0.0/24 Netz angegeben. Für dieses Netz musst Du in Deiner FB eine statische Route definieren.
Du kannst in /etc/openvpn die server.conf nochmals überprüfen, ob da auch noch die 10.8.0.0 drinsteht.
Deine Maschine auf der OpenVPN läuft muss doch eine lokale IP Adresse habe, meist 192.168.178.xx die musst als Gateway für Deine statische Route in der FB eintragen.
Als geh in Deine FB:
Dort in Heimnetz => Netzwerk => Netzwerkeinstellungen
Dort ganz unten auf IPv4 Routen und neue Route für Dein 10.8.0.0 anlegen:
Wenn Deine Maschine oder PiVPN auf der lokalen Adresse 192.168.178.66 arbeiten würde - dann muss die neue IP v4 Route halt wie auf dem Bild aussehen:
Da ist nix mit Port etc. ...
Du kannst in /etc/openvpn die server.conf nochmals überprüfen, ob da auch noch die 10.8.0.0 drinsteht.
Deine Maschine auf der OpenVPN läuft muss doch eine lokale IP Adresse habe, meist 192.168.178.xx die musst als Gateway für Deine statische Route in der FB eintragen.
Als geh in Deine FB:
Dort in Heimnetz => Netzwerk => Netzwerkeinstellungen
Dort ganz unten auf IPv4 Routen und neue Route für Dein 10.8.0.0 anlegen:
Wenn Deine Maschine oder PiVPN auf der lokalen Adresse 192.168.178.66 arbeiten würde - dann muss die neue IP v4 Route halt wie auf dem Bild aussehen:
Da ist nix mit Port etc. ...
Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)
Das mit der Regel bezog sich auf den 2. Lösungsansatz mit der "Maskierung". Seit der Anpassung komme ich nicht mehr in das webmin-Interface des Raspi
Ich hab nochmal in die server.conf geschaut, da steht die 10.8.0.0 noch drin.
Außerdem steht da noch
Könnte das vielleicht der Grund sein, dass die Clients nicht auf das lokale Netzwerk der Fritzbox zugreifen können?
Die Route hab ich aber genauso angelegt, daher die genaue Nachfrage nach den Einträgen: Leider ändert das nichts ...
Gruß Alex
Ich hab nochmal in die server.conf geschaut, da steht die 10.8.0.0 noch drin.
Code: Select all
server 10.8.0.0 255.255.255.0
Code: Select all
push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
Die Route hab ich aber genauso angelegt, daher die genaue Nachfrage nach den Einträgen: Leider ändert das nichts ...
Gruß Alex