Probleme mit OpenVPN Turnkey 16.0 als LXC

[Esjay]

Guten Tag zusammen,
ich habe nun schon "sehr viel" mit Proxmox und LXC`s umgesetzt. FHEM, Pihole, Blynk Server, HA-Bridge, Maria DB, und Node-Red.

Bei OpenVPN drifte ich aber so langsam in Richtung Verzweiflung ab und wenn man so im Internet schaut, bin ich nicht der Einzige.

Das Verbinden per App funktioniert, aber danach ist Schluss.

Aber von vorne:

Ist:

• Proxmox 6.1.7 auf nem Intel Nuc
• debian-10-turnkey-openvpn_16.0 als privilegierten Container aufgesetzt.
• nesting unter Features auf 1

• tun ist vorhanden

  root@OpenVPN /dev/net# ls
  tun

• Ipv4 Weiterleitung vorhanden

  # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1

  
  
• crontab für die IPTables angelegt

  # m h  dom mon dow   command
  @reboot /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

• unter nano /etc/pve/lxc/105.conf folgendes hinzugefügt

  lxc.cgroup.devices.allow = c 10:200 rwm
  lxc.hook.autodev = sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun"

• ein root@OpenVPN ~# tcpdump -i eth0 udp and dst 1xx.xx.xx.xxx zeigt mir das die Verbindung steht

  15:50:32.066073 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 66
  15:50:32.135479 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 62
  15:50:32.135854 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 114
  15:50:32.136579 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 114
  15:50:32.136660 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 360
  15:50:32.214811 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 62
  15:50:32.221723 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 224
  15:50:32.222534 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 305
  15:50:32.283556 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 62
  15:50:32.283656 IP 192.168.178.42.openvpn > ip-1xx-xxx-xx-xxx.web.vodafone.de.33842: UDP, length 247

  
  Nun geht es aber nicht mehr weiter. Mein eigenes Netz sprich 192.168.178.2 - 192.168.178.254 ist nicht zu erreichen.
  
  Ich habe zwar nen Pi mit PiVPN aufgesetzt, welcher auch funktioniert, aber deshalb aufgeben würde ich eigentlich ungern.
  
  Da ich mittlerweile anfange Dinge durcheinander zu werfen und nicht mehr sicher bin wo ich noch ansetzen soll, bitte ich hier um Hilfe.
  
  Gruß Esjay

 

[oguz]

hi,

wie schaut deine openvpn server configuration aus?

 

[simi]

Ich habe das selbe Problem und meine Konfiguration entspricht im Wesentlichen der vom TO. Soll ich mich hier dranhängen oder einen eigenen Thread eröffnen?

 

[simi]

Dann hänge ich mich mal ran - denke Esjay und ich haben das gleiche Problem. Ich habe den Container mit der Standardkonfiguration der CIDR durchlaufen lassen und die selben Anpassungen wie Esjay gemacht (priviligierter Container, Nesting, Container-Config, Cronjob - halt alles, was man hier im Forum zum Turnkey-OpenVPN findet...).

Meine Server Config:

# PUBLIC_ADDRESS: vpn.meineDomain.de (used by openvpn-addclient)

port 1194
proto udp
dev tun

cipher AES-256-CBC
auth SHA256

keepalive 10 120

persist-key
persist-tun
user nobody
group nogroup

chroot /etc/openvpn/easy-rsa/keys/crl.jail
crl-verify /etc/openvpn/crl.pem

ca /etc/openvpn/easy-rsa/keys/ca.crt
dh /etc/openvpn/easy-rsa/keys/dh.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
key /etc/openvpn/easy-rsa/keys/private/server.key
cert /etc/openvpn/easy-rsa/keys/issued/server.crt

ifconfig-pool-persist /var/lib/openvpn/server.ipp
client-config-dir /etc/openvpn/server.ccd
status /var/log/openvpn/server.log
verb 4

# virtual subnet unique for openvpn to draw client addresses from
# the server will be configured with x.x.x.1
# important: must not be used on your network
server 10.173.241.0 255.255.255.0
# push routes to clients to allow them to reach private subnets
push "route 10.0.1.0 255.255.255.0"

"Standardnetz" ist bei mir 192.168.1.0/24

 

[Esjay]

Ich habe mittlerweile einen funktionierenden Container laufen. Dieser basier allerdings nicht auf dem 16.0 sondern auf TurnKey GNU/Linux 15.1

 

[simi]

Hast Du einfach die ältere Version auf der Turnkey-Seite genommen?

 

[manuelgh]

@simi in der Server Config steht bei dir der Befehl push "route 10.0.1.0 255.255.255.0" das heist dein Server drückt alle Clients in dieses Netzwerk. Das es bei dir aber nicht gibt. Die 10.0.1.0 muss durch dein Netzwerk ersetz werden. Also 192.168.1.0 die Subnetzmaske kann so bleiben wenn diese auch deinem Netzwerk entspricht.

 

[simi]

Danke, das wars. Es läuft jetzt Eigentlich auch ganz logisch, wenn man sich die Überschrift in der Datei dazu mal durchliest...

 

[manuelgh]

Kein Problem. Manchmal sieht man den Wald.....

Wenn du einen anderen DNS Server zuweisen möchtest zb. einen PiHole dann muss du das auch über eine push Direktive machen.

push "dhcp-option DNS ip.vom.dns"

 

[simi]

Danke, habe jetzt mal testweise die Ip meiner Fritte als DNS-IP eingetragen. Läuft auch (Namensauflösung von "fritz.box").

 

[Esjay]

Das bedeutet dann aber, dass er den VPN nicht aus einem fremden WLAN aufbauen kann oder? Ich merke das nämlich gerade bei mir. Und ich hasse Subnetting und den ganzen kram ohne Ende.

Nagut, nicht zwangsläufig..