Hallo Leute!
Ich habe ein ganz komisches Problem...
Auf einen neuen Laptop, mit Debian 11 und KDE Plasma, habe ich NetworkManager für die Verwaltung der Netzwerken. Ethernet, WLAN und ein VPN (mit OpenVPN) funktionieren einwandfrei.
Nun wollte ich ein zweites VPN mit OpenVPN zu meinen Server hinzufügen. Das .ovpn-Datei funktioniert problemlos auf verschiedenen Rechner und wenn ich openvpn per Kommandozeile mit der Datei ausführe funktioniert es auch.
Nun habe ich die Datei in NetworkManager importiert (kein Fehler festgestellt) und versucht mich zu verbinden. Die Verbindung klappt und IP und Routen werden geholt. Alles super! Bis auf die Kleinigkeit, dass kein Paket über das VPN läuft...
Hat jemand eine Ahnung, was das Problem sein könnte und was ich versuchen kann?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hi Luca,
On Wed, Feb 08, 2023 at 16:24:36 +0100, Luca Bertoncello wrote:
Nun habe ich die Datei in NetworkManager importiert (kein Fehler festgestellt) und versucht mich zu verbinden. Die Verbindung klappt und IP und Routen werden geholt. Alles super! Bis auf die Kleinigkeit, dass kein Paket über das VPN läuft...
Hat jemand eine Ahnung, was das Problem sein könnte und was ich versuchen kann?
Ich benutze openvpn nur von Hand -- NetworkManager ist bei mir gar nicht erst installiert. Daher weiss ich auch nicht, was NetworkManager im openvpn-Betrieb alles anfasst.
Im verbundenen Zustand waeren die Ausgaben folgender Befehle interessant:
$ ip addr show
$ ip rule show
$ ip route show
$ ip route get 8.8.8.8
(und ggf. noch das Regelwerk des Paketfilters)
Gruss, Christian
Am 08.02.2023 16:54, schrieb Christian Perle:
Hallo Christian
Im verbundenen Zustand waeren die Ausgaben folgender Befehle interessant:
$ ip addr show
$ ip rule show
$ ip route show
$ ip route get 8.8.8.8
Hier das ganze:
lucabert@NB-3W60C0:~$ ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp11s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 6c:24:08:b0:48:61 brd ff:ff:ff:ff:ff:ff inet 172.29.24.183/23 brd 172.29.25.255 scope global dynamic noprefixroute enp11s0 valid_lft 658542sec preferred_lft 658542sec inet6 fe80::530a:1606:b5ef:3d7b/64 scope link noprefixroute valid_lft forever preferred_lft forever 3: enx047bcb5f3c92: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000 link/ether 04:7b:cb:5f:3c:92 brd ff:ff:ff:ff:ff:ff 4: wlp9s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000 link/ether be:66:9e:90:96:cf brd ff:ff:ff:ff:ff:ff permaddr a0:80:69:a3:d7:16 6: lucabert: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500 link/none inet 10.200.0.5/24 brd 10.200.0.255 scope global noprefixroute lucabert valid_lft forever preferred_lft forever inet6 fe80::3446:32d5:f7db:b453/64 scope link stable-privacy valid_lft forever preferred_lft forever lucabert@NB-3W60C0:~$ ip rule show 0: from all lookup local 32766: from all lookup main 32767: from all lookup default lucabert@NB-3W60C0:~$ ip route show default via 172.29.24.1 dev enp11s0 proto dhcp metric 100 10.200.0.0/24 dev lucabert proto kernel scope link src 10.200.0.5 metric 50 46.251.251.211 via 10.200.0.1 dev lucabert proto static metric 50 87.191.224.158 via 10.200.0.1 dev lucabert proto static metric 50 91.216.245.10 via 10.200.0.1 dev lucabert proto static metric 50 93.241.91.232 via 172.29.24.1 dev enp11s0 proto static metric 100 169.254.0.0/16 dev enp11s0 scope link metric 1000 172.29.24.0/23 dev enp11s0 proto kernel scope link src 172.29.24.183 metric 100 172.29.24.1 dev enp11s0 proto static scope link metric 100 185.242.112.224 via 10.200.0.1 dev lucabert proto static metric 50 185.242.112.225 via 10.200.0.1 dev lucabert proto static metric 50 192.168.10.0/24 via 10.200.0.1 dev lucabert proto static metric 50 192.168.40.0/24 via 10.200.0.1 dev lucabert proto static metric 50 lucabert@NB-3W60C0:~$ ip route get 8.8.8.8 8.8.8.8 via 172.29.24.1 dev enp11s0 src 172.29.24.183 uid 1000 cache lucabert@NB-3W60C0:~$ ip route get 192.168.10.3 192.168.10.3 via 10.200.0.1 dev lucabert src 10.200.0.5 uid 1000 cache
Hilft das?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
soweit ich das erkennen kann, sieht das alles korrekt aus. Eine funktionierende Verbindung bei mir via network-manager sieht ähnlich aus, lediglich ein paar Optionen beim Interface sind anders:
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100 link/none
aber das sollte nicht das Problem sein.
Was sagen die Firewallregeln? nft list ruleset bzw. iptables-save
Gruß Rico
Am 08.02.23 um 17:13 schrieb Luca Bertoncello: ...
6: lucabert: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500 link/none
...
Hilft das?
Danke Luca Bertoncello (lucabert@lucabert.de)
Am 08.02.2023 um 19:47 schrieb Rico Koerner:
Hallo Rico
soweit ich das erkennen kann, sieht das alles korrekt aus. Eine funktionierende Verbindung bei mir via network-manager sieht ähnlich aus, lediglich ein paar Optionen beim Interface sind anders:
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100 link/none
aber das sollte nicht das Problem sein.
Was sagen die Firewallregeln? nft list ruleset bzw. iptables-save
Es ist gar kein Firewall eingestellt. Außerdem, wie gesagt, wenn OpenVPN per Hand gestartet wird, funktioniert alles...
Andere Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
hast du die VPN-Config aus dem networkmanager exportiert und diese gestartet? Ggf. beide Config-Dateien bzw. die Netzwerkeinstellungen (ip ...) vergleichen. Was sagen die Logfiles dazu? Auch hier beide Einwahlversuche vergleichen. Manchmal sind es Kleinigkeiten bei Verschlüsselung, Kompression o.ä., die in den Logs zu erkennen sind.
Rico
Am 08.02.23 um 20:05 schrieb Luca Bertoncello:
Am 08.02.2023 um 19:47 schrieb Rico Koerner:
Hallo Rico
soweit ich das erkennen kann, sieht das alles korrekt aus. Eine funktionierende Verbindung bei mir via network-manager sieht ähnlich aus, lediglich ein paar Optionen beim Interface sind anders:
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100 link/none
aber das sollte nicht das Problem sein.
Was sagen die Firewallregeln? nft list ruleset bzw. iptables-save
Es ist gar kein Firewall eingestellt. Außerdem, wie gesagt, wenn OpenVPN per Hand gestartet wird, funktioniert alles...
Andere Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Am 09.02.2023 13:19, schrieb Rico Koerner:
Hallo Rico
hast du die VPN-Config aus dem networkmanager exportiert und diese gestartet? Ggf. beide Config-Dateien bzw. die Netzwerkeinstellungen (ip ...) vergleichen. Was sagen die Logfiles dazu? Auch hier beide Einwahlversuche vergleichen. Manchmal sind es Kleinigkeiten bei Verschlüsselung, Kompression o.ä., die in den Logs zu erkennen sind.
Ich habe gerade die Konfiguration exportiert und verglichen...
Also, folgende Einträge gibt es in NetworkManager und nicht in meiner Datei:
auth-user-pass auth-nocache script-security 2 user nobody group nobody
In meiner Datei gibt aber folgende Einträge, die nicht in NetworkManager sind:
remote-cert-tls server
resolv-retry infinite server-poll-timeout 10 keepalive 10 30 tls-client tls-exit pull float remote-random connect-retry 60 300 fast-io down-pre compress lz4 explicit-exit-notify 2 ncp-disable prng none auth SHA512 ecdh-curve secp521r1 tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384 remote-cert-tls server tls-version-min 1.2 key-direction 1
Ich befürchte, das Problem ist bei "compress lz4"... Ich weiß allerdings nicht, wie ich das in NetworkManager einschalten kann... So eine Option finde ich nicht...
Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
On 09.02.23 13:51, Luca Bertoncello wrote:
Ich befürchte, das Problem ist bei "compress lz4"... Ich weiß allerdings nicht, wie ich das in NetworkManager einschalten kann... So eine Option finde ich nicht...
Bei den Verbindungseinstellungen, im Reiter "VPN" auf den Button "Erweitert..." klicken, dort beim Reiter "Allgemein" unter "Data compression:" den gewünschten Algorithms einstellen.
Es wird generell jedoch davon abgeraten, OpenVPN mit Kompression zu betreiben, siehe https://community.openvpn.net/openvpn/wiki/VORACLE
Viele Grüße, Mathias
Am 09.02.2023 14:04, schrieb Mathias Krause:
On 09.02.23 13:51, Luca Bertoncello wrote:
Ich befürchte, das Problem ist bei "compress lz4"... Ich weiß allerdings nicht, wie ich das in NetworkManager einschalten kann... So eine Option finde ich nicht...
Bei den Verbindungseinstellungen, im Reiter "VPN" auf den Button "Erweitert..." klicken, dort beim Reiter "Allgemein" unter "Data compression:" den gewünschten Algorithms einstellen.
Das habe ich nicht... Siehe Screenshot...
Grüße Luca Bertoncello (lucabert@lucabert.de)
On 09.02.23 14:11, Luca Bertoncello wrote:
Am 09.02.2023 14:04, schrieb Mathias Krause:
On 09.02.23 13:51, Luca Bertoncello wrote:
Ich befürchte, das Problem ist bei "compress lz4"... Ich weiß allerdings nicht, wie ich das in NetworkManager einschalten kann... So eine Option finde ich nicht...
Bei den Verbindungseinstellungen, im Reiter "VPN" auf den Button "Erweitert..." klicken, dort beim Reiter "Allgemein" unter "Data compression:" den gewünschten Algorithms einstellen.
Das habe ich nicht... Siehe Screenshot...
...dann doch über die Kommandozeile? Oder System aktualisieren? Bei mir unter Debian 11 sieht's so aus, wie im screenshot unten.
Viele Grüße, Mathias
Am 09.02.2023 14:30, schrieb Mathias Krause:
Hallo Mathias
...dann doch über die Kommandozeile? Oder System aktualisieren? Bei mir unter Debian 11 sieht's so aus, wie im screenshot unten.
Ich habe auch eine Debian 11, vor einer Woche installiert... Welche Pakete hast du für den NetworkManager und VPN? Ich habe network-manager-openvpn und openvpn, nur die beide...
Danke Luca Bertoncello (lucabert@lucabert.de)
On 09.02.23 14:37, Luca Bertoncello wrote:
Am 09.02.2023 14:30, schrieb Mathias Krause:
Hallo Mathias
...dann doch über die Kommandozeile? Oder System aktualisieren? Bei mir unter Debian 11 sieht's so aus, wie im screenshot unten.
Ich habe auch eine Debian 11, vor einer Woche installiert... Welche Pakete hast du für den NetworkManager und VPN? Ich habe network-manager-openvpn und openvpn, nur die beide...
Ah, dann liegt es vermutlich an der Integration in KDE. Ich benutze die GNOME-Variante unter Cinnamon:
minipli@bell:~$ dpkg --get-selections | grep network-manager network-manager install network-manager-gnome install network-manager-openvpn install network-manager-openvpn-gnome install network-manager-ssh install network-manager-ssh-gnome install
Anscheinend fehlen der KDE-Variante schlicht ein paar Optionen. :/
Viele Grüße, Mathias
Am 09.02.2023 14:47, schrieb Mathias Krause:
Hallo Mathias,
Ah, dann liegt es vermutlich an der Integration in KDE. Ich benutze die GNOME-Variante unter Cinnamon:
minipli@bell:~$ dpkg --get-selections | grep network-manager network-manager install network-manager-gnome install network-manager-openvpn install network-manager-openvpn-gnome install network-manager-ssh install network-manager-ssh-gnome install
Anscheinend fehlen der KDE-Variante schlicht ein paar Optionen. :/
Na toll...
Dann weiter per Hand... Ich danke dir trotzdem!
Grüße Luca
lug-dd@mailman.schlittermann.de
-
Christian Perle -
Luca Bertoncello -
Mathias Krause -
Rico Koerner