Port 1194 nicht erreichbar, obwohl OpenVPN aktiviert und Port explizit in Firewall eingetragen

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich versuche gerade, auf einer DS einen OpenVPN Server zum Laufen zu bekommen (DS-Lite, feste-ip.net und all das Tamtam, was IPV6 so mit sich bringt). Ich bekomme aber den Port 1194 nicht auf. Die Freigaben in der FritzBox usw sind gar nicht mal das Problem, auch einen Portmapper habe ich bei feste-ip.net schon eingerichtet. Der Test dort auf 1194 sagt immer "Port nicht erreichbar", also habe ich mal ein wenig getestet. Habe u.A. die DS als Exposee Host in der FB hinterlegt (natürlich nur kurz) aber selbst dann sagt der FIP-Test, dass der Port nicht erreichbar sei.

Ein Portscan per NMAP ergab, dass der Port auf der DS auch noch zu ist. Ich habe OpenVON aktiviert und auf 1194 TCP eingestellt. Außerdem die Firewall der DS aktiviert und explizit 1194 TCP geöffnet. Nichtsdestotrotz findet NMAP keinen offenen Port.

Ich vermute mein Problem in der ganzen Konstellation also auf der DS. Hat jemand eine Idee, wo mein Fehler liegt?

Gruß,
Sascha
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
DS-Lite, feste-ip.net und all das Tamtam, was IPV6 so mit sich bringt

ich vermute, hier ist der Hund begraben. ist denn die ip, die sich hinter feste-ip.net aufloest auch wirklich die frotzbix?
wenn Du wirklcih Deine Fritze erreichst, sollte Port 5060 offen sein fuer SIP.
achja .. 1194 ist UDP eigentlich ...
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Nein, das soll ja auch gar nicht so sein. Der Portmapper zeigt direkt auf die IPV6-Adresse (bzw. die myfritz-Adresse) der DS.

Die Dyndns/Portmapper-Problematik soll hier auch gern erstmal außen vor bleiben. NMAP rufe ich ja im lokalen Netzwerk auf und scanne die DS nach offenen Ports. Wenn schon da der 1194 nicht offen ist, brauche ich ja nach außen hin gar nicht weitersuchen.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
kannst du dich denn nciht im lan an der karre anmelden?

ich habe mal meine openvpn auf die lokale adresse umgestellt .. also https://nasname.fritz.box:1194 und komme mit dem tablet aus dem wlan sofort auf die nas per openvpn client.
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Wenn der Port nachweislich geschlossen ist, bringt das ja auch nix... wieso sollte das klappen, wenn der Portscan zeigt, dass 1194 zu ist?

ich betreue die DS per Fernwartung und aktuell leider nur per TeamViewer, daher habe ich auch nicht mal eben ein zweites Endgerät in dem Netz zur Verfügung.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Firewall auf der DS aktiv?
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Ja, aber mit einer Regel, die für Bond 1 den TCP 1194 öffnet.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
UDP ...
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Habe OpenVPN auf TCP umgestellt, da feste-ip.net nur TCP unterstützt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Die Firewall testweise einmal deaktiviert?
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Ja, ich hatte sie ursprünglich gar nicht an. Ich habe sie dann aktiviert, um wirklich in der Hand zu haben, was offen ist und was nicht.
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Guten Morgen!

Ich kann nun mit etwas mehr Details aufwarten, nachdem ich eben nochmal an der DS war. Aktueller Stand und letzte Maßnahmen:

- Firewall der DS ist deaktiviert
- VPN Server Paket komplett deinstalliert (inklusive Datenbank) und neu installiert
- OpenVPN neu aktiviert
- Erneuter Portscan per NMAP

Stand der Dinge: Es klappt noch immer nicht. Die DS lauscht nicht auf Port 1194. Ich erspare erstmal weitere Details der Fritzbox und von FIP, das ist für mich erstmal nachrangig.

Bildschirmfoto 2020-11-04 um 09.46.21.png

Bildschirmfoto 2020-11-04 um 09.59.33.png
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
so, hab jetzt mal auf der backup nas ein openvpn eingerichtet.
port 1195 tcp
keine antwort bei nmap.

bei der produktiven auch keine antwort bei 1194 ...

und ich kann mich dennoch verbinden.
mit einer tcp einstellung ist keine verbindung moeglich, stelle ich auf UDP um, geht es wieder.
mach halt einfach mal eine openvpn verbindung.

nur weil der openvpn server nicht nach aussen plaerrt "jaaaa, du hast mich gefunden", heisst das ja
nicht, dass er nciht reagiert wenn eine anfrage kommt.

eine meiner kiste unterdrueckt auch ICMP Typ 0 Anfragen und stellt sich tot, das ist so gewollt in dem Fall.

bei TCP connections war auch kein staat zu machen, wenn man in den connection settings explizit TCP angibt.
Die Einstellung wieder auf UDP -> neue Konfig exportiert > UPD Connection in OpenVPN erstellt -> drin.
 
Zuletzt bearbeitet:

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Okay, ich gebe mich geschlagen. Habs mit ein bisschen Fummelei im LAN hinbekommen und konnte mich verbinden. Soweit, so gut.

Nun zur FB. Dort ist die IPV6-Freigabe hinterlegt:

Bildschirmfoto 2020-11-04 um 09.34.58.png

Bei FIP habe ich einen Portmapper angelegt (sowohl mit myfritz-Adresse der DS als auch direkt mit der IPV6-Adresse probiert), gemapped auf den 1194. Der Test zeigt immer "Port nicht erreichbar". Nach der Erkenntnis dachte ich, ich probiere einfach mal, allerdings ohne Erfolg. Keine Verbindung möglich. Weitere Ideen?
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
wird dieses portmapping auf die ipv6 von der frotze gemacht und dann auf port 1194 durchgenattet oder nimmst du die ipv6 vom endgeraet und versuchst so ohne umweg direkt den openvpn server zu erreichen?

vielleicht ne doofe frage .. aber ich habe hier kein ipv6 .. ich hab alles auf ipv4 runter gestrippt, daher ist mir da einiges fremd.
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Der Portmapper geht direkt auf IPV6 des Endgeräts, denn Portweiterleitung, wie man das bei IPV4 kennt (also von der FB-IP auf die interne IP der DS) gibt es bei IPV6 nicht mehr.

Wenn ich die verschiedenen Guides und Tutorials richtig verstanden habe, ist eine IPV6-Portfreigabe in der FB auch tatsächlich eine Freigabe(im Firewall-Sinne) und keine Weiterleitung wie bei IPV4.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das sind 2 Paar Schuhe... die Portweiterleitung ist eine "Weiterleitung" (wie der Name schon sagt, fachlich gesprochen ein DNAT (Destination-NAT)), die Portfreigabe eben eine "Freigabe". Bezüglich der Portweiterleitung ist dann noch zusätzlich die Freigabe erforderlich, davon kriegt man aber bei den SoHo-Routern nichts mit, da dies automatisch umgesetzt wird. Bei anderen Geräten wäre es eben das DNAT + Firewall-Regel :)
 

ponG86

Benutzer
Mitglied seit
28. Jan 2011
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Ja, schon... aber AVM Titel es "Freigaben". Da hab ich eine wie gezeigt angelegt. Das sollte auf der FB doch eigentlich reichen, oder muss ich noch etwas tun?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Wenn die "öffentliche" IPv6 des Endgerätes angesprochen wird, sollte nur die Freigabe auf der Fritzbox benötigt werden. Allerdings ist es bei der Fritzbox schon mal öfters vorgekommen, dass vermeintlich angelegte Portfreigaben dann doch nicht funktioniert haben... gelöscht, neu angelegt, dann ging es dann... keine Ahnung. Wenn Du schon soweit bist, dass es intern funktioniert, sollte es dann von extern auch nicht mehr groß problematisch sein, von daher - Vertrauen ist gut, Kontrolle ist besser - vielleicht schmeisst Du den Kram nochmal komplett aus der Fritzbox, Reboot, neu anlegen und dann nochmal schauen? :)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Bzw. Freigabe in der Fritte anlegen und dann noch einen Neustart. Kann mich erinnern, dass ich so einen Fall auch schon mal hatte, dass die Fritzbox das ohne Neustart nicht verarbeitet hat - allerdings bei IPv4.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat