Debian als OpenVPN Client - Mehrere Instanzen versuchen sich zu verbinden nach Neustart

[debNutzer89]

Hallo zusammen,

ich habe eine pfSense Firewall, auf der ein OpenVPN Server läuft. Dieser funktioniert tadellos und ich kann mich mit verschiedenen Clients problemlos verbinden und damit arbeiten. Leider gilt das nicht für einen einzelnen Debian Client.

Dieser besagte Debian Client soll eigentlich permanent mit dem Server verbunden sein, sobald er startet. Leider versucht er sich ständig erfolglos zu verbinden. Die Logs des VPN-Servers zeigen einen "Authenticate/Decrypt packet error: packet HMAC authentication failed". Ich habe mir dann über

Code: Alles auswählen

ps -ef | grep openvpn

die laufenden Prozesse auf dem Client angeschaut und es waren drei aktiv. Ich habe alle bis auf 574 gekillt. Danach hat sich der Client, den Server Logs nach zu urteilen, normal verbunden. Auch tauchte der Client in der GUI der pfSense als verbunden auf. Allerdings lässt sich die Client VPN-IP nicht pingen. Also irgendwas stimmt mit der Config immer noch nicht. Scheint aber ein anderes Thema zu sein. Davon unabhängig tauchen die 3 Prozesse nach einem Neustart wieder auf. Über eine Internetrecherche habe ich folgenden Befehl gefunden, um zu prüfen, welche Dienste beim Neustart gestartet werden:

Code: Alles auswählen

sudo systemctl list-unit-files | grep openvpn

Allerdings werde ich aus der Ausgabe nicht schlau:

Code: Alles auswählen

openvpn-client@.service indirect enabled
openvpn-server@.service disabled enabled
openvpn.service enabled enabled
openvpn@.service indirect enabled

Was kann ich also tun, damit OpenVPN beim Neustart nur einmal gestartet wird?

Vielleicht bin ich mit meinen Verbindungsproblemen auch komplett auf der falschen Fährte, dann bin ich natürlich auch über Tipps dankbar.

Viele Danke für eure Hilfe.

[mat6937]

ich habe eine pfSense Firewall, auf der ein OpenVPN Server läuft. Dieser funktioniert tadellos und ich kann mich mit verschiedenen Clients problemlos verbinden und damit arbeiten. Leider gilt das nicht für einen einzelnen Debian Client.

Welches Debian hast Du auf dem Client? Welches OS/Version haben die verschiedenen Clients, mit denen Du kein Problem hast?

[debNutzer89]

Kann ich leider gerade nicht prüfen. Ich denke es ist Bookworm.

Die anderen Clients sind Android und Windows.

[mat6937]

... Ich denke es ist Bookworm.

Die anderen Clients sind Android und Windows.

Vergleiche mal die config-Dateien: auf Bookworm und auf Windows.

[debNutzer89]

Das werde ich noch tun. Allerdings erstellt pfSense die Config Dateien automatisch, sodass ich abgesehen von den Schlüsseln/Zertifikaten keine großen Unterschiede erwarte. Außerdem lief der Debian Client mit der Config schon mal ohne Probleme. Aber ich werde dem mal nachgehen.

Unabhängig davon, dass die Config ggf. nicht ganz sauber ist, scheint es ja auch noch ein Problem mit dem OpenVPN Daemon zu geben, da er in mehreren Instanzen mit z.T. unterschiedlichen Configs gestartet wird?

[mat6937]

..., scheint es ja auch noch ein Problem mit dem OpenVPN Daemon zu geben, da er in mehreren Instanzen mit z.T. unterschiedlichen Configs gestartet wird?

Wie sind auf dem debian-Client die Ausgaben von:

Code: Alles auswählen

systemctl status openvpn.service
systemctl cat openvpn.service
cat /var/log/boot.log | grep -i vpn
systemd-analyze blame | grep -i vpn

?

[debNutzer89]

Die Debian Version ist tatsächlich bullseye nicht bookworm. Die client configs unterscheiden sich zwischen den einzelnen Client, abgesehen von den Zertifikaten, Schlüssels etc., nicht voneinander.

Das sind die Ausgaben der einzelnen Befehle:

Code: Alles auswählen

systemctl status openvpn.service

Code: Alles auswählen

systemctl cat openvpn.service

Code: Alles auswählen

cat /var/log/boot.log | grep -i vpn

Datei/Verzeichnis nicht gefunden.

Code: Alles auswählen

systemd-analyze blame | grep -i vpn

[mat6937]

Die Debian Version ist tatsächlich bullseye nicht bookworm. Die client configs unterscheiden sich zwischen den einzelnen Client, abgesehen von den Zertifikaten, Schlüssels etc., nicht voneinander.

Dann vergleich mal die OpenVPN-Versionen (pfSense-Server, Windows-Client und bullseye-Client):

Code: Alles auswählen

apt policy openvpn

[debNutzer89]

Android ist Version 3.4.2 (App aus dem Play Store)

Windows läuft auf 3.4.3 (OpenVPN connect)

Die OpenVPN Version, die auf dem Debian läuft, kann ich gerade nicht nachprüfen. Ich hatte das letztens schon mal gemacht und ich glaube es war 2.5.x. Es war kein Update verfügbar. Ich werde die Info nachschieben.

Die pfSense zeigt nach "openvpn --version" folgendes:

Code: Alles auswählen

OpenVPN 2.6.8 aarch64-portbld-freebsd15.0 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] [DCO]
library versions: OpenSSL 3.0.13 24 Oct 2023, LZO 2.10
DCO version: FreeBSD 15.0-CURRENT #0 plus-RELENG_24_03-n256311-e71f834dd81: Fri Apr 19 00:30:27 UTC 2024     root@freebsd:/var/jenkins/workspace/pfSense-Plus-snapshots-24_03-main/obj/aarch64/Jqi6F4gT/var/jenkins/workspace/pfSense-Plus-snapshots-24_03-main/sources/Free
Originally developed by James Yonan
Copyright (C) 2002-2023 OpenVPN Inc <sales@openvpn.net>
Compile time defines: enable_async_push=yes enable_comp_stub=no enable_crypto_ofb_cfb=yes enable_dco=yes enable_dco_arg=yes enable_debug=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_pam_dlopen=no enable_pedantic=no enable_pkcs11=yes enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_shared=yes enable_shared_with_static_runtimes=no enable_silent_rules=no enable_small=no enable_static=yes enable_strict=yes enable_strict_options=no enable_systemd=no enable_unit_tests=no enable_werror=no enable_win32_dll=yes enable_wolfssl_options_h=yes enable_x509_alt_username=yes with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_openssl_engine=auto with_sysroot=no

Sollte ich mal auf bookworm upgraden?

Ist das mit diesen 3 Prozessen, die zu OpenVPN gehören nicht auffällig?

[mat6937]

Sollte ich mal auf bookworm upgraden?

Ja. Oder, wenn es nicht zwingend OpenVPN sein muss, kannst Du auch WireGuard benutzen (auf Android, Windows, pfSense, Debian-bullseye). WiereGuard kann auch zusätzlich bzw. parallel zu OpenVPN installiert und benutzt werden.

[debNutzer89]

Code: Alles auswählen

apt policy openvpn

Gibt 2.5.1-3 500 zurück.

[debNutzer89]

Habe jetzt auf bookworm geupgradet. Damit ist die OpenVPN Version nun 2.6.3-1. Es scheint jetzt zu funktionieren. Schauen wir mal;)

Danke für die Hilfe. Wenn es nochmal Probleme geben sollte, melde ich mich;)