Support-Forum

VPN mit TCP

Fragen zu den Basis-Schutzfunktionen der TrutzBox. Fragen zum Betriebssystem, Netzwerk, WLAN, zur Firewall, VPN (Remote-Zugriff) und zum Virenscanner.
Hallo,

da ich bei einigen Telekom-Hotspots per UDP ärgerlicherweise keine Verbindung zum VPN-Server bekomme, würde ich den Transport Layer gerne auf TCP umstellen. Allein die Änderungen an der Portweiterleitung des Routers und der Konfigurationsdatei des OpenVPN Client (von "proto udp" in "proto tcp") reichten dafür natürlich nicht aus.

Können Sie mir wie hier vielleicht noch mal einen Tipp geben? ;)

Vielen Dank!
Wenn Sie zusätzlich zu Ihren Einstellungen, noch die openvpn server configuration auf der trutzbox auf TCP umstellen und auch den firewall port auf der shorewall firewall von udp auf tcp umstellen, sollte es funktionieren.

Dann auch noch das certificate neu laden und im Client installieren und die firewall neu durchstarten.

Ihr Comidio Support
Wenn Sie zusätzlich zu Ihren Einstellungen, noch die openvpn server configuration auf der trutzbox auf TCP umstellen und auch den firewall port auf der shorewall firewall von udp auf tcp umstellen, sollte es funktionieren.

Dann auch noch das certificate neu laden und im Client installieren und die firewall neu durchstarten
Ja, eigentlich alles kein Problem - bis auf die Umstellung der betreffenden Firewall-Konfiguration von UDP auf TCP. Denn wenn ich das richtig sehe, wird der entsprechende Firewall-Eintrag durch ein Makro erzeugt und lässt sich somit nicht einfach so per Shoreline Firewall anpassen, oder?

Wäre deshalb an dieser Stelle für einen weiteren kleinen Tipp sehr dankbar. :)
In den shorewall Einstellungen unter Webmin müssen die Rules auf den entsprechenden tcp Port umgestellt werden, d.h. Die Freischaltung des udp Ports 1194 muss auf den entsprechenden tcp Port umgestellt werden.

Dann muss noch der VPN Tunnel auf openvpnserver mit dem gleichen tcp Port umgestellt werden. Dazu openVPN auswählen auf den entsprechen tcp Port umstellen.

Ihr Comidio Support
Unter "TrutzBase" > "Shoreline Firewall" > "Firewall Regeln (rules)" bzw. in der Datei "/etc/shorewall/rules" gibt es aber eben leider keinen entsprechenden Eintrag für UDP, Port 1194. Also wo genau kann ich diesen zu editierenden Eintrag finden?

Und nur kurz am Rande: Unter "TrutzBase" > "Shorewall6 Firewall" > "Firewall Regeln (rules)" hat sich mit der Überschrift "Firwall-Regeln" übrigens ein kleiner Rechtschreibfehler eingeschlichen. ;)
Ohh, ja, hatte ich falsch angegeben. Das Makro erzeugt bereits die rule für die Freischaltung des udp Ports.

Daher ist dieser nicht zu ändern, sondern neu anzulegen mit dem gewünschten tcp port.

Der Rechtschreibfehler ist uns auch schon aufgefallen. Wir versuchen den Rechtschreibfehler zu korrigieren. Danke für den Hinweis.

Ihr Comidio Support
Zu diesem Thema noch mal vielen Dank, hat mit dem letzten Hinweis dann gut geklappt. :)

Damit ich den VPN-Server meiner TrutzBox unter TCP 443 erreichen kann, habe ich dafür nun

(1) die "server.conf" des OpenVPN-Servers (in den erweiterten Einstellungen unter "System" > "File Manager" : "/ etc / openvpn") wie folgt abgeändert:

Code: Alles auswählen

# TCP or UDP server?
proto tcp
;proto udp
 
(2) zur "rules" der Shorewall Firewall (in den erweiterten Einstellungen unter "TrutzBase" > "Shoreline Firewall" > "Firewall Regeln (rules)" : "Datei manuell editieren") einen Abschnitt nach dem Muster hinzugefügt:

Code: Alles auswählen

#CUSTOM OPENVPN SETTINGS
ACCEPT 		net:a.b.c.d/e	$FW	tcp	1194
ACCEPT 		net:f.g.h.i/j,k.l.m.n/o	$FW	tcp	1194
ACCEPT 		$FW	net	tcp	1194
 
Dabei entspricht a.b.c.d/e dem Adressblock meines heimischen Internetanschlusses(*), f.g.h.i/j und k.l.m.n/o (etc.) den Adressblöcken meines Mobilfunk-/WLAN-Hotspot-Providers (für die jeweiligen Adressblöcke siehe Provider IP Address List).

Natürlich ließen sich hier auch noch weitere Zeilen für weitere Adressblöcke ergänzen. Der Vorteil ist, dass man mit Angabe der Adressblöcke auch gleich ungeliebte Adressbereiche vom VPN-Server ausschließt. Wer öfters mal ins Log seiner Firewall bei angebotenen Server-Diensten geschaut hat, weiß sicher, was ich meine. ;)

(3) die "*.ovpn" (meines iPhones) nach dem Muster abgeändert:

Code: Alles auswählen

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote my-server.dyndns 443
;remote my-server-2 1194
 
(4) in den Einstellungen meiner FRITZ!Box eine Portweiterleitung von TCP 443 (WAN) auf TCP 1194 der TrutzBox eingerichtet.

Funktioniert auf diese Weise (anders als die Standardeinstellung mit UDP 1194) bei mir bestens - eben einschließlich der mit unter etwas restriktiv eingestellten WLAN-Hotspots (bspw. der Telekom bei McDonalds, diversen Hotels).

(*) Je nach Router bzw. NAT Reflection kann es auch nötig sein, hier anstelle des Provider-Adressblocks den Adressblock des LAN anzugeben. Bspw. verlangt eine FritzBox von AVM hier den Provider-Adressblock, das USG von Ubiquiti den Adressblock des LAN bzw, die Adresse des USG (idR. 192.168.1.1/32).

Anmerkung: Eine kleine Aktualisierung dieses Beitrags ist hier zu finden.
Danke für die vorbildliche Zusammenfassung

Ihr Comidio Support
Ich hatte heute Probleme über den kostenlosen WLAN-Zugang im ICE das VPN zu meiner TrutzBox zu nutzen. Über Mobilfunk kein Problem, aber über die ICE-WLAN-Verbindung bekam ich zwar eine VPN-Verbindung zur TrutzBox, aber nach dem Verbindungsaufbau bekam ich keinen Zugriff auf das TrutzBox-UI und auch keinen Zugriff ins Internet.

Hat schon mal einer Erfahrung mit dem ICE-WLAN Zugang im Zusammenhang mit VPN zur TrutzBox gemacht?
speedster1 hat geschrieben:
So 9. Apr 2017, 20:47
Ich hatte heute Probleme über den kostenlosen WLAN-Zugang im ICE das VPN zu meiner TrutzBox zu nutzen. Über Mobilfunk kein Problem, aber über die ICE-WLAN-Verbindung bekam ich zwar eine VPN-Verbindung zur TrutzBox, aber nach dem Verbindungsaufbau bekam ich keinen Zugriff auf das TrutzBox-UI und auch keinen Zugriff ins Internet.
Eben dieses Problem tritt je nach Router-Konfiguration der Telekom-Hotspots auf: Zwar kann via UDP 1194 eine Verbindung zum VPN-Server erfolgreich hergestellt werden, aber es werden nur sehr wenige bis gar keine Nutzdaten über den VPN-Kanal übertragen. - Störungsmeldungen bei T-Mobile bzw. der Hotspot-Hotline bringen nichts, das habe ich alles schon durch. Hier hilft nur die oben genannte Umstellung auf TCP 443.