Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 15.06.2024 21:37:10

Hallo zusammen,

ich habe eine pfSense Firewall, auf der ein OpenVPN Server läuft. Dieser funktioniert tadellos und ich kann mich mit verschiedenen Clients problemlos verbinden und damit arbeiten. Leider gilt das nicht für einen einzelnen Debian Client.

Dieser besagte Debian Client soll eigentlich permanent mit dem Server verbunden sein, sobald er startet. Leider versucht er sich ständig erfolglos zu verbinden. Die Logs des VPN-Servers zeigen einen "Authenticate/Decrypt packet error: packet HMAC authentication failed". Ich habe mir dann über

Code: Alles auswählen

ps -ef | grep openvpn
Bild

die laufenden Prozesse auf dem Client angeschaut und es waren drei aktiv. Ich habe alle bis auf 574 gekillt. Danach hat sich der Client, den Server Logs nach zu urteilen, normal verbunden. Auch tauchte der Client in der GUI der pfSense als verbunden auf. Allerdings lässt sich die Client VPN-IP nicht pingen. Also irgendwas stimmt mit der Config immer noch nicht. Scheint aber ein anderes Thema zu sein. Davon unabhängig tauchen die 3 Prozesse nach einem Neustart wieder auf. Über eine Internetrecherche habe ich folgenden Befehl gefunden, um zu prüfen, welche Dienste beim Neustart gestartet werden:

Code: Alles auswählen

sudo systemctl list-unit-files | grep openvpn
Allerdings werde ich aus der Ausgabe nicht schlau:

Code: Alles auswählen

openvpn-client@.service indirect enabled
openvpn-server@.service disabled enabled
openvpn.service enabled enabled
openvpn@.service indirect enabled
Was kann ich also tun, damit OpenVPN beim Neustart nur einmal gestartet wird?

Vielleicht bin ich mit meinen Verbindungsproblemen auch komplett auf der falschen Fährte, dann bin ich natürlich auch über Tipps dankbar.

Viele Danke für eure Hilfe.

mat6937
Beiträge: 3207
Registriert: 09.12.2014 10:44:00

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von mat6937 » 15.06.2024 22:11:04

debNutzer89 hat geschrieben: ↑ zum Beitrag ↑
15.06.2024 21:37:10
ich habe eine pfSense Firewall, auf der ein OpenVPN Server läuft. Dieser funktioniert tadellos und ich kann mich mit verschiedenen Clients problemlos verbinden und damit arbeiten. Leider gilt das nicht für einen einzelnen Debian Client.
Welches Debian hast Du auf dem Client? Welches OS/Version haben die verschiedenen Clients, mit denen Du kein Problem hast?
Debian 12.6 mit LXDE, OpenBSD 7.5 mit i3wm, FreeBSD 14.0 mit Xfce

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 15.06.2024 22:14:54

Kann ich leider gerade nicht prüfen. Ich denke es ist Bookworm.

Die anderen Clients sind Android und Windows.

mat6937
Beiträge: 3207
Registriert: 09.12.2014 10:44:00

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von mat6937 » 15.06.2024 22:30:57

debNutzer89 hat geschrieben: ↑ zum Beitrag ↑
15.06.2024 22:14:54
... Ich denke es ist Bookworm.

Die anderen Clients sind Android und Windows.
Vergleiche mal die config-Dateien: auf Bookworm und auf Windows.
Debian 12.6 mit LXDE, OpenBSD 7.5 mit i3wm, FreeBSD 14.0 mit Xfce

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 15.06.2024 22:55:14

Das werde ich noch tun. Allerdings erstellt pfSense die Config Dateien automatisch, sodass ich abgesehen von den Schlüsseln/Zertifikaten keine großen Unterschiede erwarte. Außerdem lief der Debian Client mit der Config schon mal ohne Probleme. Aber ich werde dem mal nachgehen.

Unabhängig davon, dass die Config ggf. nicht ganz sauber ist, scheint es ja auch noch ein Problem mit dem OpenVPN Daemon zu geben, da er in mehreren Instanzen mit z.T. unterschiedlichen Configs gestartet wird?

mat6937
Beiträge: 3207
Registriert: 09.12.2014 10:44:00

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von mat6937 » 15.06.2024 23:09:43

debNutzer89 hat geschrieben: ↑ zum Beitrag ↑
15.06.2024 22:55:14
..., scheint es ja auch noch ein Problem mit dem OpenVPN Daemon zu geben, da er in mehreren Instanzen mit z.T. unterschiedlichen Configs gestartet wird?
Wie sind auf dem debian-Client die Ausgaben von:

Code: Alles auswählen

systemctl status openvpn.service
systemctl cat openvpn.service
cat /var/log/boot.log | grep -i vpn
systemd-analyze blame | grep -i vpn
?
Debian 12.6 mit LXDE, OpenBSD 7.5 mit i3wm, FreeBSD 14.0 mit Xfce

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 16.06.2024 14:43:42

Die Debian Version ist tatsächlich bullseye nicht bookworm. Die client configs unterscheiden sich zwischen den einzelnen Client, abgesehen von den Zertifikaten, Schlüssels etc., nicht voneinander.

Das sind die Ausgaben der einzelnen Befehle:

Code: Alles auswählen

systemctl status openvpn.service
Bild

Code: Alles auswählen

systemctl cat openvpn.service
Bild

Code: Alles auswählen

cat /var/log/boot.log | grep -i vpn
Datei/Verzeichnis nicht gefunden.

Code: Alles auswählen

systemd-analyze blame | grep -i vpn
Bild

mat6937
Beiträge: 3207
Registriert: 09.12.2014 10:44:00

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von mat6937 » 16.06.2024 15:33:30

debNutzer89 hat geschrieben: ↑ zum Beitrag ↑
16.06.2024 14:43:42
Die Debian Version ist tatsächlich bullseye nicht bookworm. Die client configs unterscheiden sich zwischen den einzelnen Client, abgesehen von den Zertifikaten, Schlüssels etc., nicht voneinander.
Dann vergleich mal die OpenVPN-Versionen (pfSense-Server, Windows-Client und bullseye-Client):

Code: Alles auswählen

apt policy openvpn
Debian 12.6 mit LXDE, OpenBSD 7.5 mit i3wm, FreeBSD 14.0 mit Xfce

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 16.06.2024 18:37:28

Android ist Version 3.4.2 (App aus dem Play Store)

Windows läuft auf 3.4.3 (OpenVPN connect)

Die OpenVPN Version, die auf dem Debian läuft, kann ich gerade nicht nachprüfen. Ich hatte das letztens schon mal gemacht und ich glaube es war 2.5.x. Es war kein Update verfügbar. Ich werde die Info nachschieben.

Die pfSense zeigt nach "openvpn --version" folgendes:

Code: Alles auswählen

OpenVPN 2.6.8 aarch64-portbld-freebsd15.0 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]
library versions: OpenSSL 3.0.13 24 Oct 2023, LZO 2.10
DCO version: FreeBSD 15.0-CURRENT #0 plus-RELENG_24_03-n256311-e71f834dd81: Fri Apr 19 00:30:27 UTC 2024     root@freebsd:/var/jenkins/workspace/pfSense-Plus-snapshots-24_03-main/obj/aarch64/Jqi6F4gT/var/jenkins/workspace/pfSense-Plus-snapshots-24_03-main/sources/Free
Originally developed by James Yonan
Copyright (C) 2002-2023 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=yes enable_comp_stub=no enable_crypto_ofb_cfb=yes enable_dco=yes enable_dco_arg=yes enable_debug=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_pam_dlopen=no enable_pedantic=no enable_pkcs11=yes enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_shared=yes enable_shared_with_static_runtimes=no enable_silent_rules=no enable_small=no enable_static=yes enable_strict=yes enable_strict_options=no enable_systemd=no enable_unit_tests=no enable_werror=no enable_win32_dll=yes enable_wolfssl_options_h=yes enable_x509_alt_username=yes with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_openssl_engine=auto with_sysroot=no
Sollte ich mal auf bookworm upgraden?

Ist das mit diesen 3 Prozessen, die zu OpenVPN gehören nicht auffällig?

mat6937
Beiträge: 3207
Registriert: 09.12.2014 10:44:00

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von mat6937 » 16.06.2024 19:23:22

debNutzer89 hat geschrieben: ↑ zum Beitrag ↑
16.06.2024 18:37:28
Sollte ich mal auf bookworm upgraden?
Ja. Oder, wenn es nicht zwingend OpenVPN sein muss, kannst Du auch WireGuard benutzen (auf Android, Windows, pfSense, Debian-bullseye). WiereGuard kann auch zusätzlich bzw. parallel zu OpenVPN installiert und benutzt werden.
Debian 12.6 mit LXDE, OpenBSD 7.5 mit i3wm, FreeBSD 14.0 mit Xfce

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 18.06.2024 13:34:19

Code: Alles auswählen

apt policy openvpn
Gibt 2.5.1-3 500 zurück.

debNutzer89
Beiträge: 7
Registriert: 15.06.2024 20:35:25

Re: Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

Beitrag von debNutzer89 » 18.06.2024 16:27:09

Habe jetzt auf bookworm geupgradet. Damit ist die OpenVPN Version nun 2.6.3-1. Es scheint jetzt zu funktionieren. Schauen wir mal;)

Danke für die Hilfe. Wenn es nochmal Probleme geben sollte, melde ich mich;)

Antworten