Forum: PC Hard- und Software OpenVPN in öffentlichen Netzen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,
ich habe im ICE (wifi-on-ICE) einen openvpn Tunnel benutzt und wollte 
surfen.
Ergebnis, ping geht, browsen nicht.

Ein Versuch mit wget:
1
[u@1005P ~]$ wget www.gmx.de
2
--2017-04-24 01:05:27--  http://www.gmx.de/
3
Resolving www.gmx.de (www.gmx.de)... 82.165.230.36
4
Connecting to www.gmx.de (www.gmx.de)|82.165.230.36|:80... connected.
5
HTTP request sent, awaiting response... 301 Moved Permanently
6
Location: https://www.gmx.net/ [following]
7
--2017-04-24 01:05:40--  https://www.gmx.net/
8
Resolving www.gmx.net (www.gmx.net)... 82.165.230.18
9
Connecting to www.gmx.net (www.gmx.net)|82.165.230.18|:443... connected.
10
Unable to establish SSL connection.


Dann habe ich mich an dem Hotspot meines Smartphones gehängt, und wieder 
den VPN-Tunnel geöffnet.

Es ging:
1
[u@1005P ~]$ wget www.gmx.de
2
--2017-04-24 01:08:55--  http://www.gmx.de/
3
Resolving www.gmx.de (www.gmx.de)... 82.165.x.x
4
Connecting to www.gmx.de (www.gmx.de)|82.165.x.x|:80... connected.
5
HTTP request sent, awaiting response... 301 Moved Permanently
6
Location: https://www.gmx.net/ [following]
7
--2017-04-24 01:08:56--  https://www.gmx.net/
8
Resolving www.gmx.net (www.gmx.net)... 82.165.x.x
9
Connecting to www.gmx.net (www.gmx.net)|82.165.x.x|:443... connected.
10
HTTP request sent, awaiting response... 200 OK
11
Length: unspecified [text/html]
12
Saving to: ‘index.html’
13
14
index.html              [     <=>            ] 197.79K  99.0KB/s    in 2.0s    
15
16
2017-04-24 01:08:59 (99.0 KB/s) - ‘index.html’ saved [202540]

Frage: Verhindern öffentliche Netze die Benutzung von VPN?

von Peter II (Gast)


Bewertung
0 lesenswert
nicht lesenswert
C# Beginner schrieb:
> Ergebnis, ping geht, browsen nicht.

C# Beginner schrieb:
> Frage: Verhindern öffentliche Netze die Benutzung von VPN?

entweder steht der Tunnel oder nicht, mehr sieht das öffentliche Netzt 
nicht. Dieser Effekt ist nicht zu erklären.

Eventuell geht Browser oder Ping nicht durch den Tunnel.

von Thorsten (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das hört sich stark nach (P)MTU Problemen bzw. geblockten ICMP 
fragmentation Paketen an.

von Hans (Gast)


Bewertung
0 lesenswert
nicht lesenswert
WifiOnIce funktioniert sowieso erst richtig, wenn man einen Deauth 
Angriff startet

von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert

von Der kein Bock mehr A. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Split Tunneling ?

von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ich habe die Standard-Einstellungen benutzt, d.h. UDP port 1194.
Manche schreiben, dass man auch TCP nehmen kann und andere ports.

Vllt hilft das schon weiter?

von Stephan (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Jörg B. schrieb:
> Split Tunneling ?

ja auf sowas würde ich auch tippen....

von Stephan (Gast)


Bewertung
0 lesenswert
nicht lesenswert
wäre interessant wo sein Gateway hinzeigt oder Route 0.
Wenn Sein VPN nicht weiter routet ist eben nach der DNS Anfage Schluss.
GMX liegt ja außerhalb seines VPN

von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
> wäre interessant wo sein Gateway hinzeigt

stellt man das damit fest?
1
pi@raspberrypi ~ $ route
2
Kernel IP routing table
3
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
4
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
5
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
6
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
7
192.168.178.0   *               255.255.255.0   U     0      0        0 eth0

von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ansonsten sind alle Setups nach der Anleitung gemacht:

http://readwrite.com/2014/04/10/raspberry-pi-vpn-tutorial-server-secure-web-browsing/
also z.B.

/etc/openvpn/server.conf
1
local 192.168.2.0 # SWAP THIS NUMBER WITH YOUR RASPBERRY PI IP ADDRESS
2
dev tun 
3
proto udp #Some people prefer to use tcp. Don't change it if you don't know.
4
port 1194 
5
ca /etc/openvpn/easy-rsa/keys/ca.crt 
6
cert /etc/openvpn/easy-rsa/keys/Server.crt # SWAP WITH YOUR CRT NAME
7
key /etc/openvpn/easy-rsa/keys/Server.key # SWAP WITH YOUR KEY NAME
8
dh /etc/openvpn/easy-rsa/keys/dh1024.pem # If you changed to 2048, change that here!
9
server 10.8.0.0 255.255.255.0 
10
# server and remote endpoints 
11
ifconfig 10.8.0.1 10.8.0.2 
12
# Add route to Client routing table for the OpenVPN Server 
13
push "route 10.8.0.1 255.255.255.255" 
14
# Add route to Client routing table for the OpenVPN Subnet 
15
push "route 10.8.0.0 255.255.255.0" 
16
# your local subnet 
17
push "route 192.168.2.0 255.255.255.0" # SWAP THE IP NUMBER WITH YOUR RASPBERRY PI IP ADDRESS
18
# Set primary domain name server address to the SOHO Router 
19
# If your router does not do DNS, you can use Google DNS 8.8.8.8 
20
push "dhcp-option DNS 192.168.2.1" # This should already match your router address and not need to be changed.
21
# Override the Client default gateway by using 0.0.0.0/1 and 
22
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of 
23
# overriding but not wiping out the original default gateway. 
24
push "redirect-gateway def1" 
25
client-to-client 
26
duplicate-cn 
27
keepalive 10 120 
28
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 
29
cipher AES-128-CBC 
30
comp-lzo 
31
user nobody 
32
group nogroup 
33
persist-key 
34
persist-tun 
35
status /var/log/openvpn-status.log 20 
36
log /var/log/openvpn.log 
37
verb 1


/etc/firewall-openvpn-rules.sh
1
#!/bin/sh 
2
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.XX.X

von (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Wird kein Routing-Problem sein, wenn ping auf das gleiche Ziel 
funktioniert.

Dem wget-Log zufolge wird eine Verbindung (TCP) zum Ziel aufgebaut, nur 
eine SSL-Verbindung scheitert:

"Connecting to www.gmx.net (www.gmx.net)|82.165.230.18|:443... 
connected.
Unable to establish SSL connection."

Das bedeutet m. E., dass der VPN-Tunnel - wenn kein split tunnel 
verwendet wird - aufgebaut ist, anderenfalls würde das TCP handshake zum 
Ziel schon scheitern.

von Klaus Patenstedt (Gast)


Bewertung
0 lesenswert
nicht lesenswert
...
local 192.168.2.0
...
server 10.8.0.0 255.255.255.0
...

Wie soll das bitte aus dem ICE funktionieren?

von C# Beginner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Es funktionert ja auch mit dem mobilen (Android-Smartphone) Hotspot (aus 
dem ICE). (Tethering)

Wo unterscheiden sich wifionice-Hotspot und Android-Smartphone-Hotspot?

von fpga (Gast)


Bewertung
0 lesenswert
nicht lesenswert
ip-adresse?

von kaeseschnitzel (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Bekanntes Problem. An einer Lösung wird in den nächsten Releases 
gearbeitet.

Quote aus dem Bahn-Forum:

"
Hallo zusammen,
wir möchten euch ein Update zum aktuellen Stand geben:
Der Fachbereich hat eine Lösung erfolgreich getestet und will diese mit 
dem nächsten Patch ausspielen. Die Paketgröße für VPN wird dann auf 1440 
Byte erhöht, das ist das maximal mögliche.
Es wurde mit mi Open VPN getestet (OpenVPN hat leider nur einen feste 
Paketgröße). Damit konnte der Großteil der VPN-Probleme gelöst werden. 
Weiterhin kann es aber sein, dass bei VPNs die Paketgröße größer als 
1440 Byte eingestellt ist. Da hilft dann nur die manuelle Anpassung 
(ggf. durch den System-Admin) oder es könnten von manchen VPNs selten 
genutzte Ports genutzt werden.
Hier bitten wir Sie - unsere Fahrgäste - wenn Sie uns in diesen Fällen 
mitteilen können, welchen VPN-Client, welche Ports, Paketgröße etc. Sie 
nutzen.

Hintergrund zur Paketgröße: Mobilfunk lässt aktuell maximal 
1500-Byte-Pakete durch. Da noch ein kleiner Puffer für die gesicherte 
Verbindung Zug-Land vorgehalten werden muss, bleiben für Sie 1440 Byte. 
/ti
"

von kaeseschnitzel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Auch wird ein Wechsel auf TCP empfohlen, da  Wifi-Kisten im Zug 
verschiedene Netzanbieter nutzen. Das gibt ganz schräge Effekte mit UDP.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.