[gelöst]Debian Buster keine VPN Verbindung

[Fuchs1991]

Hallo zusammen,

habe auf meinem Laptop Debian Buster mit der KDE-Oberfläche installiert. (Linux LaptopHP 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64 GNU/Linux)
In meinem Netzwerk habe ich einen Raspberry Pi als VPN Server.
Desweiteren habe ich noch einen Ubuntu Server am laufen der einige Samba freigaben bereit stellt und auf dem zusätzlich noch Pi-Hole läuft.
Ich kann problemlos von allen Geräten mit der VPN connecten. (1x Smartphone, 1x Laptop mit Linux Mint Cinnamon) und auch auf meine Samba-Freigaben etc zugreifen.
Der Laptop auf dem Debian Buster installiert ist macht allerdings Probleme. (bzw. ich mache diese und verstehe sie nur nicht )
Habe in den Systemeinstellungen unter Verbindungen eine neue Verbindung mit "VPN-Verbindung importieren" angelegt und die entsprechende .ovpn eingespielt.
Wenn ich dann auf Verbinden klicke werde ich auch normal nach dem Passwort gefragt. Allerdings wird dann die ganze Zeit nur versucht zu verbinden aber es kommt nichts zu Stande.
Es ist alles genauso eingerichtet wie bei dem anderen Laptop mit LM Mint auch.
Als totaler Debian Anfänger habe ich einfach keine Ahnung wo ich noch ansetzen kann und hoffe das ihr mir dort ein wenig unter die Arme greifen könnt.
Wenn ihr noch spezielle Daten benötigt, stelle ich euch diese natürlich zu Verfügung.

Gruß und schon einmal Danke für die Hilfe,
Tobi

Edit:

Code: Alles auswählen

fuchs@LaptopHP:~$ systemctl list-units --all | grep -i openvpn
  openvpn.service                                                                                       loaded    active   exited    OpenVPN service 

[TomL]

Das ist immer komplizierte Rätselraterei.... ...als erste Maßnahmen fallen mir ein:

1. Ist auf dem Buster-Laptop eine lokale Firewall installiert? Wenn ja, zum Testen deaktivieren
2. Die Openvpn-Verbindung manuell im Terminal starten, dazu ggf. die Log-File-Einträge in der openvpn.conf deaktivieren, damit die Meldungen direkt aufs Terminal auflaufen.Dann beim Verbindungsversuch sehen, ob die Meldungen Hinweise auf Probleme enthalten.

[Fuchs1991]

Danke für die schnelle Antwort

Lokale Firewall ist nicht am laufen.

Wenn ich mich über das Terminal verbinde kommt folgendes:

Code: Alles auswählen

fuchs@LaptopHP:~$ sudo openvpn --config /etc/openvpn/fuchs.ovpn
[sudo] Passwort für fuchs: 
Wed Aug  5 17:07:21 2020 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019
Wed Aug  5 17:07:21 2020 library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
Enter Private Key Password: ******
Wed Aug  5 17:07:28 2020 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Wed Aug  5 17:07:28 2020 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Aug  5 17:07:28 2020 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Wed Aug  5 17:07:28 2020 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Aug  5 17:07:28 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]87.154.154.92:1194
Wed Aug  5 17:07:28 2020 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Aug  5 17:07:28 2020 UDP link local: (not bound)
Wed Aug  5 17:07:28 2020 UDP link remote: [AF_INET]87.154.154.92:1194
Wed Aug  5 17:07:28 2020 TLS: Initial packet from [AF_INET]87.154.154.92:1194, sid=e094fc11 8c9aeeba
Wed Aug  5 17:07:28 2020 VERIFY OK: depth=1, CN=ChangeMe
Wed Aug  5 17:07:28 2020 VERIFY KU OK
Wed Aug  5 17:07:28 2020 Validating certificate extended key usage
Wed Aug  5 17:07:28 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Aug  5 17:07:28 2020 VERIFY EKU OK
Wed Aug  5 17:07:28 2020 VERIFY X509NAME OK: CN=raspberrypi_210e13f3-108f-4b0d-87e0-4d68e5160e7a
Wed Aug  5 17:07:28 2020 VERIFY OK: depth=0, CN=raspberrypi_210e13f3-108f-4b0d-87e0-4d68e5160e7a
Wed Aug  5 17:07:28 2020 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 256 bit EC, curve: prime256v1
Wed Aug  5 17:07:28 2020 [raspberrypi_210e13f3-108f-4b0d-87e0-4d68e5160e7a] Peer Connection Initiated with [AF_INET]87.154.154.92:1194
Wed Aug  5 17:07:29 2020 SENT CONTROL [raspberrypi_210e13f3-108f-4b0d-87e0-4d68e5160e7a]: 'PUSH_REQUEST' (status=1)
Wed Aug  5 17:07:29 2020 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,block-outside-dns,redirect-gateway def1,route-gateway 10.8.0.1,topology subnet,ping 15,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Wed Aug  5 17:07:29 2020 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:3: block-outside-dns (2.4.7)
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: timers and/or timeouts modified
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: --ifconfig/up options modified
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: route options modified
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: route-related options modified
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: peer-id set
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: adjusting link_mtu to 1624
Wed Aug  5 17:07:29 2020 OPTIONS IMPORT: data channel crypto options modified
Wed Aug  5 17:07:29 2020 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Aug  5 17:07:29 2020 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Aug  5 17:07:29 2020 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Aug  5 17:07:29 2020 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 IFACE=wlo1 HWADDR=28:3a:4d:8e:b9:e3
Wed Aug  5 17:07:29 2020 TUN/TAP device tun0 opened
Wed Aug  5 17:07:29 2020 TUN/TAP TX queue length set to 100
Wed Aug  5 17:07:29 2020 /sbin/ip link set dev tun0 up mtu 1500
Wed Aug  5 17:07:29 2020 /sbin/ip addr add dev tun0 10.8.0.2/24 broadcast 10.8.0.255
Wed Aug  5 17:07:29 2020 /sbin/ip route add 87.154.154.92/32 via 192.168.2.1
Wed Aug  5 17:07:29 2020 /sbin/ip route add 0.0.0.0/1 via 10.8.0.1
Wed Aug  5 17:07:29 2020 /sbin/ip route add 128.0.0.0/1 via 10.8.0.1
Wed Aug  5 17:07:29 2020 Initialization Sequence Completed

So wie ich es da raus lese ist die Verbindung anscheinend erfolgreich.
Sobald ich das mache habe ich allerdings trotz bestehendem Wlan kein Internet mehr und kann auch nicht auf mein Netzwerk zugreifen.

[MSfree]

Code: Alles auswählen

Wed Aug  5 17:07:29 2020 /sbin/ip route add 0.0.0.0/1 via 10.8.0.1

Du legst mit der VPN-Verbindung eine neue Defaultroute und leitest damit den kompletten Netzwerkverkehr in den VPN-Tunnel.

Wenn der Raspi an der Gegenstelle den über den Tunnel kommenden Netzwerkverkehr nicht an das gewünschte Ziel routet, ist es keinWunder, wenn dein "Internet" nicht mehr geht.

[Fuchs1991]

Das Ganze ist wirklich sehr kurios.
Habe gerade das Wlan deaktiviert, mein Smartphone angeschlossen und per USB-Tethering die Internetverbindung vom Smartphone geteilt.
Danach habe ich die VPN-Verbindung wieder gestartet.
Mache ich es über das Smartphone komme ich ganz normal ins Internet (über den Pi) kann aber nach wie vor nicht auf mein Netzwerk zugreifen.
Irgendwas ist da im argen.
Und ich verstehe absolut nicht was da es exakt so wie unter LM Mint konfiguriert ist und dort einwandfrei läuft.

[MSfree]

Und ich verstehe absolut nicht was da es exakt so wie unter LM Mint konfiguriert ist und dort einwandfrei läuft.

Führ mal auf dem Raspi bitte:

Code: Alles auswählen

cat ./sys/net/ipv4/ip_forward

aus. Was kommt da als Ergebnis?

[Fuchs1991]

Code: Alles auswählen

pi@raspberrypi:~ $ cat ./sys/net/ipv4/ip_forward
cat: ./sys/net/ipv4/ip_forward: No such file or directory

Hab mal geschaut, im Verzeichnis "sys" gibt es kein Verzeichnis "net":

Code: Alles auswählen

pi@raspberrypi:/sys $ ls
block  bus  class  dev  devices  firmware  fs  kernel  module  power

Aber wenn ich das richtig verstehe geht es bei dem IP4 forwarding nur um den Internetzugriff.
Das ist aber für mich eh irrelevant. Möchte über die VPN nur auf meine Samba-Freigaben zugreifen können.

[MSfree]

Code: Alles auswählen

pi@raspberrypi:~ $ cat ./sys/net/ipv4/ip_forward
cat: ./sys/net/ipv4/ip_forward: No such file or directory

mein Fehler:

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

[Fuchs1991]

Code: Alles auswählen

pi@raspberrypi:/sys/module $ cat /proc/sys/net/ipv4/ip_forward
1

Also IP4-forwarding ist aktiviert.

[MSfree]

OK.
Wie sieht die Routingtabelle auf dem Raspi aus?

Code: Alles auswählen

ip route

[Fuchs1991]

Code: Alles auswählen

pi@raspberrypi:~ $ ip route
default via 192.168.2.1 dev eth0 src 192.168.2.120 metric 202 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
192.168.2.0/24 dev eth0 proto dhcp scope link src 192.168.2.120 metric 202 

[MSfree]

Das Problem ist, daß du über VPN mit einer 10.0.0.x IP reinkommst. Der Raspi schickt die Netzwerkpaket vermutlich sogar noch an den Sambasever mit einer 192.168.2.y IP. Der Sambaserver weiß aber nicht, über welche Route er seine Antwortpakete schicken soll, der kennt vermutlich nur die Defaultroute 192.168.2.1, aber da ist nicht dein Raspberry, so daß die Antworten im Sande verlaufen.

Du mußt auf dem Sambaserver eine Route zum 10.0.0.x-Netz setzen, die über den Raspi und nicht über deinen Internetrouter geht.

[Fuchs1991]

Danke für den Hinweis
Finde es zwar verwunderlich das es von den anderen Geräten trotzdem klappt, aber deinen Hinweis werde ich auf jedenfall heute Abend testen und berichten.
Merci

[TomL]

Finde es zwar verwunderlich das es von den anderen Geräten trotzdem klappt, aber deinen Hinweis werde ich auf jedenfall heute Abend testen und berichten.

Bei mir ist eine solche Route nicht gesetzt... das sollte man auch eigentlich nicht müssen. Eigentlich müsste eine statische Route im DSL-Router gesetzt sein. Bei mir sind zusätzliche statische Routen eben für das VPN in der Fritzbox gesetzt, das heisst, die aus Sicht des lokalen Netzwerk eigentlich unbekannte DST-IP-Adressen, hier die VPN-IP-Adressen, werden auf den VPN-Server als Gateway geroutet. Das erspart es einem, an den Geräten einzeln rumfummeln zu müssen.

Code: Alles auswählen

Netzwerk    Subnetzmaske     Gateway      
10.8.0.0    255.255.255.0    10.1.0.2    
10.9.0.0    255.255.255.0    10.1.0.2

10.1.0.2 ist die reguläre IP des Gerätes im LAN, welches auch den VPN-Server betreibt. Nicht irritieren lassen... bei mir sind es 2 VPN-Netze.

[MSfree]

Bei mir ist eine solche Route nicht gesetzt... das sollte man auch eigentlich nicht müssen. Eigentlich müsste eine statische Route im DSL-Router gesetzt sein.

Ja, das kann man auch machen. Dann gehen aber alle Antworten zweimal durch den DSL-Router. Einmal vom Sambaserver an den Defaultrouter (also den DSL-Router), der reicht die Pakete an den VPN-Server (hier ein Raspi) weiter. Der Raspi verschlüsselt die Pakte und verpackt sie in VPN-Pakete, die wiederum nochmal durch den DSL-Router laufen. Bei einer einzelnen VPN-Verbindung fällt dieser Doppelverkehr aber wohl kaum ins Gewicht.

[Fuchs1991]

So habe die Routen jetzt mal eingerichtet, leider ohne Erfolg. Allerdings habe ich den Fehler anderweitig gefunden habe.
Habe die eingespielten .ovpn Konfigurationen unter LM Mint und Debian mal bis aufs kleinste Detail abgeglichen.
In den Verbindungseinstellungen gibt es unter dem Punkt "Erweitert" die sogenannten TLS-Einstellungen. In Linux Mint steht es dort auf TLS-Crypt und unter Debian auf keine.
Auch wenn ich die .ovpn neu einspiele wird diese wieder auf keine gesetzt.
Habe es dann manuell umgeändert und mir das entsprechende .pem Zertifikat aus LM Mint exportiert und manuell in Debian eingebunden.
Jetzt kann ich die Verbindung endlich aufbauen und alles klappt wie gewünscht.

Danke für alle die geholfen haben