VPN Probleme nach Update pve6to7

Sammyray

New Member
Sep 23, 2022
14
0
1
Hallo zusammen,

ich habe das System von pve 6.4.x auf 7.2.11 nach der offiziellen Anleitung per In-Place Upgrade aktualisert.
Das hat soweit auch bestens geklappt, alle Container und VM's ließen sich danach normal starten und laufen bis auf den VPN auch wie gewohnt.

Als VPN hatte ich debian9-Turnkey-openvpn im Einsatz. Der Container lief zwar, allerdings der openvpn Service nicht - das konnte ich aber dank dieser Anleitung beheben.
Wenn ich versuche mich mit einem Client wie vorher zum Server zu verbinden, klappt das aber nicht:
Die Fehlermeldungen lauten "read UDPv4[ECONNREFUSED]: Connection refused (fd=4, code=111)" und enden in TLS Error: TLS handshake failed

Da ich nicht weitergekommen bin, habe ich dann einen neuen Container nach der obigen Anleitung aufgestetzt, allerdings ist das Ergebnis das gleiche :(
Ich habe es daraufhin mal mit einem Wireguard Container versucht, aber auch da gehts beim "Handshake" nicht weiter...

Da es anscheinend nicht an den Containern liegt, muss ja irgendwas eine Etage höher das Problem sein. Hat jemand eine Idee?
Hat sich etwas grundlegend geändert, was ich bisher übersehen/überlesen habe?
Oder kann es etwas mit der im Update erwähnten "Check Linux Network Bridge MAC" zu tun haben? Ich hatte mich dort für Variante B enschieden.

Für hilfreiche Tips wäre ich dankbar!
Besten Dank,
Sammyray
 
Last edited:
Servus,
weil ich UDP lese mal die Frage: hast du in /etc/network/interfaces bei der bridge bridge-vlan-aware yes gesetzt?
 
Servus,
weil ich UDP lese mal die Frage: hast du in /etc/network/interfaces bei der bridge bridge-vlan-aware yes gesetzt?
Servus,
danke für deine Antwort.
Ich habe in der Datei bis auf die hwaddress gar keine Änderungen vorgenommen und der von dir erwähnte Part existiert in meiner Datei auch gar nicht.
Kenne mich nicht wirklich gut mit Proxmox und Linux aus und hab daher liebr nicht weiter dran rumgespielt, da die Datei auch drauf hinweist, nur Änderungen vorzunehmen, wenn man entsprechende Ahnung hat ;)
So sieht der Inhalt bei mir aus:
Code:
auto lo
iface lo inet loopback

iface eno1 inet manual

iface enx9cebe8aae419 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.178.105/24
        gateway 192.168.178.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
        hwaddress 1c:69:7a:05:1e:09

Muss da noch etwas ergänzt bzw. verändert werden? Vor dem Upgrade auf 7.2 lief es zumindest mit diesen Einstellungen (abgesehen von der Ergänzung von hwaddress)
 
PVE-Firewall ist auch nicht aktiviert?

Wie sieht den die config von dem container aus pct config [container id]?
 
PVE-Firewall ist auch nicht aktiviert?

Wie sieht den die config von dem container aus pct config [container id]?
Die ist aktiviert, hatte ich aber auch deaktiviert und brachte keine Änderung. Reicht dafür in der Proxmox-Oberfläche die Firewall zu de-/aktivieren oder muss man ggf. noch etwas neu laden oder rebooten?

Der Container von meiner ursprünglichen Version sieht so aus:
Code:
root@pve:~# pct config 101
arch: amd64
cores: 1
hostname: OpenVPN
memory: 512
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.178.1,hwaddr=3A:1B:59:62:F5:13,ip=192.168.178.107/24,ip6=dhcp,type=veth
onboot: 1
ostype: debian
rootfs: WDred:subvol-101-disk-0,size=4G
swap: 512
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir

Der neue, nach der Anleitung erstellte, sieht so aus:
Code:
root@pve:~# pct config 106
arch: amd64
cores: 1
features: nesting=1
hostname: OpenVPN1
memory: 512
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.178.1,hwaddr=32:B3:0F:08:63:65,ip=192.168.178.209/24,ip6=dhcp,type=veth
ostype: debian
rootfs: WDred:subvol-106-disk-0,size=4G
swap: 512
unprivileged: 1
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir
 
Wenn die FIrewall unter "Datacenter" deaktiviert wird dann dauert es etwas (5-10 sekunden auf meinem rechner) dann ist die firewall deaktiviert.

Wird auf das OpenVPN Service von extern zugegriffen? Gabs da einen Port Forward der aufgrund der iP Änderung nicht mehr funktioniert?
 
Wenn die FIrewall unter "Datacenter" deaktiviert wird dann dauert es etwas (5-10 sekunden auf meinem rechner) dann ist die firewall deaktiviert.

Wird auf das OpenVPN Service von extern zugegriffen? Gabs da einen Port Forward der aufgrund der iP Änderung nicht mehr funktioniert?
Genau so hatte ich es auch in Erninnerung und sogar deutlich länger gewartet - leider ohne Erfolg :( Ich habe aber auch da nichts verändert, also vor dem Update lief es mit den Einstellungen.
Genau, auf den Service wird von extern zugegriffen per Dyndns für IPv4. Diese ist im Router (Fritzbox) hinterlegt und funktioniert auch.
Der Port 1194 wird weitergeleitet, ich habe das Gerät in der Fritzbox auch nochmal entfernt und wieder hinzugefügt. Gerät bzw. IP-Adresse (des Containers) ist aber davon abgesehen auch immer noch die gleiche wie vorher
 
Nur um sicherzugehen: der alte container hatte zuvor diese IP: 192.168.178.209?
 
Nein, das war der neu aufgesetzte zum Test. Der alte hatte hinten die 107 und auf den läuft auch aktuell die Freigabe in der Fritzbox
 
Lässt sich der Port von der Node aus erreichen: nc -z -v <IP addr> <port> 2>&1 | grep -v 'Connection refused'?
 
Das sieht nicht gut aus:
root@pve:~# nc -z -v 192.168.178.107 1194 2>&1 | grep -v 'Connection refused'
192.168.178.107: inverse host lookup failed: Unknown host

Das Gerät wird mir auch in der Fritzbox nicht als Verbunden angezeigt... Nach einem Neustart des Containers wird es dort aber zumindest wieder angezeigt, aber nach ein paar Minuten nicht mehr...
 
Last edited:
Der Container läuft noch, wenn du in die Console schaust, nachdem er nicht mehr erreichbar ist? Andere VMs/Container laufen normal? Netzwerk auf der Node funktioniert?
 
Genau, für mich sieht es so aus, als würde der Container ganz normal laufen. Andere VM's (iobroker) und Container (nextcloud, piHole) laufen in meinen Augen auch normal und funktionieren. Ich kann auf die Nextcloud von Extern zugreifen und die Haussteuerung über iobroker ist auch erreichbar, pihole ebenfalls. Daher hätte ich gesagt, Netzwerk auf der Node funktioniert oder kann ich das noch mit einem speziellen Befehl überprüfen?
 
Hm ... erreicht der VPN Container noch andere IPs im Netzwerk?
 
Falls "erreichen" nur anpingen bedeutet, würde ich sagen ja.
Anbei Ping vom OpenVPN Container an den Pihole:

Code:
root@OpenVPN ~# ping 192.168.178.106
PING 192.168.178.106 (192.168.178.106) 56(84) bytes of data.
64 bytes from 192.168.178.106: icmp_seq=1 ttl=64 time=0.065 ms
64 bytes from 192.168.178.106: icmp_seq=2 ttl=64 time=0.068 ms
64 bytes from 192.168.178.106: icmp_seq=3 ttl=64 time=0.057 ms
64 bytes from 192.168.178.106: icmp_seq=4 ttl=64 time=0.048 ms
64 bytes from 192.168.178.106: icmp_seq=5 ttl=64 time=0.075 ms
64 bytes from 192.168.178.106: icmp_seq=6 ttl=64 time=0.073 ms
64 bytes from 192.168.178.106: icmp_seq=7 ttl=64 time=0.064 ms
64 bytes from 192.168.178.106: icmp_seq=8 ttl=64 time=0.073 ms
64 bytes from 192.168.178.106: icmp_seq=9 ttl=64 time=0.067 ms
64 bytes from 192.168.178.106: icmp_seq=10 ttl=64 time=0.054 ms
^C
--- 192.168.178.106 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9200ms
rtt min/avg/max/mdev = 0.048/0.064/0.075/0.011 ms
 
Ich denke nicht - wie könnte ich das verifizieren?

Code:
root@OpenVPN ~# systemctl | grep openvpn
  openvpn.service                      loaded active exited    OpenVPN service                                                             
  openvpn@server.service               loaded active running   OpenVPN connection to server                                                 
  system-openvpn.slice                 loaded active active    system-openvpn.slice                                                         
root@OpenVPN ~# systemctl status openvpn@server.service
* openvpn@server.service - OpenVPN connection to server
   Loaded: loaded (/lib/systemd/system/openvpn@.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2022-09-26 17:23:24 CEST; 23h ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
  Process: 73 ExecStart=/usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid (code=exited, status=0/SUCCESS)
 Main PID: 97 (openvpn)
    Tasks: 1 (limit: 629145)
   CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
           `-97 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid

Sep 26 17:23:24 OpenVPN ovpn-server[97]: succeeded -> ifconfig_pool_set()
Sep 26 17:23:24 OpenVPN ovpn-server[97]: IFCONFIG POOL LIST
Sep 26 17:23:24 OpenVPN ovpn-server[97]: Backup,10.8.0.4
Sep 26 17:23:24 OpenVPN ovpn-server[97]: AchimMi9,10.8.0.8
Sep 26 17:23:24 OpenVPN ovpn-server[97]: LenaHandy,10.8.0.12
Sep 26 17:23:24 OpenVPN ovpn-server[97]: Initialization Sequence Completed
Sep 26 19:38:53 OpenVPN ovpn-server[97]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]167.94.138.109:57704
Sep 26 23:12:56 OpenVPN ovpn-server[97]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]139.162.72.12:41218
Sep 27 04:19:23 OpenVPN ovpn-server[97]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]205.210.31.11:54831
Sep 27 05:17:07 OpenVPN ovpn-server[97]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]146.88.240.4:37076

Ich hab das vorher noch ni durchgeführt und weiß nicht wie es korrekt aussehen müsste, aber was ist mit den TLS Error?

Danke übrigens noch mal für deine Unterstützung! :)
 
Sieht für mich aus, als würde es laufen. Die TLS Fehler sehen für mich so wie Verbindungsversuche aus.

Siehst du fehler im syslog journalctl -b0?
 
Sieht für mich aus, als würde es laufen. Die TLS Fehler sehen für mich so wie Verbindungsversuche aus.

Siehst du fehler im syslog journalctl -b0?
Bin ich auch schon drauf gestoßen... anscheinend versuchte Zugriffe (nicht von mir...)

Ich weiß leider auch hier nicht wie ein "perfekter" Syslog aussehen würde, daher mal das Ergebnis.

Edit: Ich hatte zuerst einiges unterschlagen, hab jetzt das komplette Ergebnis nochmal als Datei angehängt
 

Attachments

  • Log.txt
    65.4 KB · Views: 2
Last edited:
ich hätte erwähnen sollen, dass es der Log der Node und nicht von der VM sein sollte. ;)
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!