Port nicht erreichbar (DS-Lite, FB, PiVPN)

Alles Rund um die Einrichtung unserer IPv6 Portmapper
mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Di 12. Jan 2021, 21:38

Hallo zusammen,

ich habe versucht, mit einem universellen Portmapper einen Raspberry mit PiVPN (OpenVPN) hinter der Fritzbox an meinem DS-Lite-Anschluss (Deutsche Glasfaser) zu erreichen.

Dabei habe ich mich ganz genau an diese Anleitung gehalten, die mir eigentlich sehr ausführlich und vollständig erschien: https://www.glasfaser-huenstetten.de/an ... pn-server/

Die üblichen "Klippen" hatte ich damit gehofft zu umschiffen, wie UDP im PiVPN oder fehlende IPv6-Aktivierung. Trotzdem wird mir im Account leider nur angezeigt "Port nicht erreichbar !", und der OpenVPN-Client meldet "Transport error on ... NETWORK_RECV_ERROR" oder "TCP recv error: Connection reset by peer".

Wo könnte das Problem noch liegen? Könnte vielleicht irgendeine Einstellung der Fritzbox (Filter, Firewall etc.) hier noch blockieren? Oder darf der Raspi mit PiVPN keinen Bindestrich im Namen haben? Oder ...?

Danke für jeden Hinweis!

Gruß Alex

mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Mi 13. Jan 2021, 20:48

Hab den Fehler gefunden :D

Ich hab den Fehler gemacht, den Raspi in der Netzwerkübersicht der Fritzbox umzubenennen. Dadurch stimmte der generierte myfritz-Link nicht mehr mit dem Hostnamen überein. Nach Zurücksetzen der Einstellungen und Neuanlage der Freigabe in der Fritzbox komme ich nun von außen auf mein PiVPN. Insofern war die Anleitung echt Gold wert :!:

Nur Zugriff auf die lokalen Geräte (mit Ausnahme des Raspi) hab ich noch nicht. Irgendwie scheint die "Rückübersetzung" in IPv4 noch nicht zu funktionieren.

Hat da vielleicht noch jemand einen Tipp?

Danke&Gruß
Alex

oops
Beiträge: 1
Registriert: Mo 22. Feb 2021, 17:50

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von oops » Mo 22. Feb 2021, 21:09

Die oben genannte Anleitung ist wirklich sehr empfehlenswert. Eine weitere Fehlerquelle könnte eine falsch hinterlegte IPv6 Interface-ID bei der FritzBox sein. Wenn diese nicht korrekt ist, erscheint auch die Fehlermeldung "Port nicht erreichbar !". Ich habe lange gebraucht, bis ich auf die entsprechende Lösung hier gestoßen bin.
  • Einfach auf dem RPi "ip a" eingeben
  • Den Abschnitt "inet6 xxxx:xxx:xxx:xxxx:xxxx:xxx:xxx:xxx/64 scope global dynamic mngtmpaddr noprefixroute" suchen
  • Die letzten vier Blöcke mit "IPv6 Interface-ID" in der entsprechenden Gerätefreigabe in der FritzBox abgleichen und ggf. korrigieren

mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Di 23. Feb 2021, 21:33

Der Eintrag scheint bei mir korrekt zu sein. Aber Probleme mit dem Zugriff auf Geräte im LAN habe ich immer noch. :(

MichaelWeigel
Beiträge: 524
Registriert: Di 24. Feb 2015, 11:13

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von MichaelWeigel » Mi 24. Feb 2021, 14:06

Hallo,

Entweder tragen Sie eine Statische IPv4 Route zum OpenVPN Netz (IP, die der Client erhält) in die Fritzbox ein.:

Client IP: 10.12.12.13 =netz: 10.12.12.0/24

also netz: 10.12.12.0 Netzmaske 255.255.255.0 Ziel {IP des Raspis}

oder sie machen ein Masqurade des OpenVPN Netzes.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
LG Michael

mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Mi 24. Feb 2021, 21:33

Die IPv4 Route hat leider nicht funktioniert. Ich bin mir auch nicht sicher, ob die private IP immer aus dem gleichen Netz vergeben wird.

Was genau bewirkt eine Masquerade?

Danke&Gruß

mickym
Beiträge: 70
Registriert: Mi 28. Aug 2019, 11:33

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mickym » Fr 26. Feb 2021, 14:20

Also bei mir geht das. Wichtig ist die statische IP-v4 Route in die FB eintragen. Als Gateway muss eben der Raspberry mit OpenVPN angegeben werden und natürlich das richtige 10er Netz.

mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Fr 26. Feb 2021, 20:18

mickym hat geschrieben:
Fr 26. Feb 2021, 14:20
Als Gateway muss eben der Raspberry mit OpenVPN angegeben werden
Was genau ist damit gemeint? Die IPv4 des Raspi als "Ziel" der Route? Mit Portnummer von OpenVPN?

Übrigens ist mir aufgefallen, dass PiVPN bei der Installation offenbar bereits eine Maskierung für 10.8.0.0/24 an eth0 angelegt hat, allerdings ohne Ziel-IP.

EDIT: Seit ich in die Regel über webmin die IPv4 des Raspi eingetragen hab, hat sich am VPN-Zugriff nichts geändert, aber ich komme lokal nicht mehr auf webmin :(

mickym
Beiträge: 70
Registriert: Mi 28. Aug 2019, 11:33

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mickym » Fr 26. Feb 2021, 22:32

Ich habe nichts von irgendeiner Regel geschrieben. In der Standardbeschreibung wird auch meist das 10.8.0.0/24 Netz angegeben. Für dieses Netz musst Du in Deiner FB eine statische Route definieren.

Du kannst in /etc/openvpn die server.conf nochmals überprüfen, ob da auch noch die 10.8.0.0 drinsteht.

Deine Maschine auf der OpenVPN läuft muss doch eine lokale IP Adresse habe, meist 192.168.178.xx die musst als Gateway für Deine statische Route in der FB eintragen.

Als geh in Deine FB:

Dort in Heimnetz => Netzwerk => Netzwerkeinstellungen

Dort ganz unten auf IPv4 Routen und neue Route für Dein 10.8.0.0 anlegen:

Wenn Deine Maschine oder PiVPN auf der lokalen Adresse 192.168.178.66 arbeiten würde - dann muss die neue IP v4 Route halt wie auf dem Bild aussehen:
screen.png
screen.png (107.57 KiB) 122 mal betrachtet

Da ist nix mit Port etc. ... ;) ;)

mv_alex
Beiträge: 8
Registriert: Mo 11. Jan 2021, 21:03

Re: Port nicht erreichbar (DS-Lite, FB, PiVPN)

Beitrag von mv_alex » Sa 27. Feb 2021, 21:20

Das mit der Regel bezog sich auf den 2. Lösungsansatz mit der "Maskierung". :D Seit der Anpassung komme ich nicht mehr in das webmin-Interface des Raspi :(

Ich hab nochmal in die server.conf geschaut, da steht die 10.8.0.0 noch drin.

Code: Alles auswählen

server 10.8.0.0 255.255.255.0
Außerdem steht da noch

Code: Alles auswählen

push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
Könnte das vielleicht der Grund sein, dass die Clients nicht auf das lokale Netzwerk der Fritzbox zugreifen können?

Die Route hab ich aber genauso angelegt, daher die genaue Nachfrage nach den Einträgen:
route.PNG
route.PNG (5.49 KiB) 102 mal betrachtet
Leider ändert das nichts ...

Gruß Alex

Antworten