OpenVPN (Recursive Routing)

[leiti008]

Hallo

Ich habe ein seltsames Problem aus dem ich nicht schlau werde. Ich verwende schon eine weile OpenVPN um mich mit meinem Laptop nach Hause zu verbinden. (Ich bin Beruflich immer Weltweit unterwegs und Netflix & Amazon Video funktionieren nicht immer wie ich es gerne hätte. )
Zuhause in Österreich steht mein Netgear Nighthawk R7000 Router auf dem der VPN Service über No.IP läuft.

Seit kurzen habe ich aber das Problem, wenn ich über das Hotel Wlan einsteige bekomme nur mehr die
Meldung: recursive routing detected drop tun packet to openvpn und die Verbindung wird nicht aufgebaut. Verbinde ich meinen Laptop aber über einen Hotspot am Handy ins Internet, funktioniert der Tunnel aber.
Habt Ihr eine Idee wie ich das Problem lösen könnte?

PS: Ich bin in Mexico und die Dame an der Reception hat null Ahnung

Meine Router Einstellungen:

 

[Raijin]

Welches Subnetz verwendest du

- zu Hause
- in OpenVPN
- im Hotel

?

 

[Zero_Official]

ich vermute ports sind gesperrt.
OpenVPN ist aber dafür bekannt über herkömmlichen port 443 zu funktionieren, muss natürlich eingestellt werden.
damit haben meine bekannten sogar über "great wall" verbindung gehabt.

 

[Olunixus]

@Ichtiander d.h.mein VPN Server muss auf 443 hören? Und ist das dann TCP oder udp?

 

[Raijin]

Muss überhaupt nicht. Im Gegensatz zu IPsec ist der Port bei OpenVPN frei wählbar. Ab Werk ist das UDP 1194. Hinter einer restriktiven Firewall ist jedoch in der Regel alles geblockt außer die http bzw. https Ports sowie meistens auch DNS. Um also aus unbekannten Netzwerken heraus - zB Hotels - eine VPN-Verbindung aufbauen zu können, nimmt man für OpenVPN eben einen dieser Ports, um von der lokalen Internet-Firewall eben nicht geblockt zu werden. Es kann aber auch durchaus sein, dass das Hotel gar nix blockt und somit auch der Standard-Port von OpenVPN funktionieren würde.

Ob TCP oder UDP kommt drauf an. https ist TCP 443. Ein VPN über TCP ist jedoch suboptimal, weil der Overhead des Protokolls und bei unzuverlässigen Verbinden kann es sogar ein regelrechter Performancekiller sein. UDP 443 ist aber nur mit Glück ungeblockt (wenn überhaupt geblockt wird), wenn der Admin sich keine Mühe gemacht hat, das Protokoll zu spezifizieren und pauschal Port 443 freigegeben hat. DNS läuft dagegen auf UDP 53.

Wie auch immer, im vorliegenden Fall sollte es eigentlich nicht am Port liegen. Die Fehlermeldung passt nicht dazu. Entweder würde die Verbindung dort ins timeout gehen und zB alle 5 Sekunden neu versuchen oder eben direkt mit einer Meldung "connection rejected", o.ä. antworten.

Hilfreich wäre es nun, wenn @leiti008 uns verrät welche lokalen Subnetze im Spiel sind und die .ovpn von Server bzw. Client wären auch interessant (Server-Adresse sowie Zertifikate vorher bitte rausnehmen bzw. maskieren!).

 

[snaxilian]

Jain. Sollte wirklich eine Firewall im Hotel o.ä. ausgehenden Traffic auf bestimmten Ports blockieren, dann wäre 443/tcp das einfachste. Deinem Client musst dann natürlich auch mitteilen, dass er 443/tcp ansprechen soll.

 

[Harrdy]

Einfach 2 OpenVPN Server Instancen laufen lassen und unter einer Bridge zusammen fassen. 1x 443 TCP/1x 443 UDP. Dazu 2 Client configs tcp,udp und schon hat man die Qual der Wahl. Ein Betrieb mit UDP ist auf jedenfall vorzuziehen. Aber falls man mal in einem Hotel ist die nur 443 TCP erlauben kommt man halt in diesem Szenario dennoch zurecht.

 

[Zero_Official]

@Ichtiander d.h.mein VPN Server muss auf 443 hören? Und ist das dann TCP oder udp?

ja tcp, ich denke die forenmitglieder haben jetzt auch ausreichend infos gegeben.

 

[leiti008]

Danke erstmals für die ganzen Antworten

Zuhause habe ich folgende Einstellungen:

Im Hotel bekomme ich folgendes zugewiesen:

Meint ihr mit OVPN folgendes:

Bin leider was das Thema angeht schlecht informiert, bzw kenne mich sehr wenig aus.......

Vielen Dank schon mal

 

[Raijin]

Wie vermutet. Das Hotel verwendet dasselbe Subnetz wie du zu Hause. Routing basiert auf der Ziel-Adresse. Da nun sowohl lokal im Hotel als auch hinter dem VPN dieselben IP-Adressen sind weiß dein Rechner nicht mehr was er wie wohin routen soll. Das ist ungefähr so als wenn du in München bist, aber ohne Vorwahl einfach deine heimische Telefonnummer aus Hamburg eingibst. Was wird die Telekom tun? Ganz einfach, ohne Vorwahl bleibt's in München und du kommst bei Oma Puvogel raus, aber nicht bei dir daheim. Das Konzept der Vorwahlen gibt es im Netzwerk so aber nicht, daher sollte man penibel darauf achten, eben nicht dieselbe Nummer zu wählen wie Oma Puvogel sie hat.

Die oberste Regel bei VPN lautet: Niemals Standard-Subnetze verwenden! Das von dir und dem Hotel verwendete Subnetz 192.168.1.0/24 zählt zu den häufigsten überhaupt. Gefühlt 90% aller privaten oder laiengeführten professionellen Netzwerke belegen entweder 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.178.0/24 oder die Ab-Werk-Subnetze sonstiger Router.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

In diesem Bereich kann man sich austoben wie man möchte. Diese IP-Ranges sind für private Netzwerke reserviert und kommen im www nicht vor. Wie unschwer zu erkennen ist, sind diese Bereiche sehr groß, aber 90% aller (semi-)privaten Netzwerke auf der Welt drängeln sich eben in den oben genannten 08/15 Subnetzen, der Werkseinstellung des jeweils verwendeten Routers.

Bei der Wahl des eigenen Subnetzes sollte man daher kreativ sein. Ich wähle meine Subnetze zB gerne auf Basis von Geburtstagen, weil man sich das dann ganz gut merken kann. Zum Beispiel 172.24.7.0/24 für den 24.7. Die Wahrscheinlichkeit, dass ein Hotel nur gerade dieses Subnetz verwendet, weil zB der Chef auch am 24.7. Geburtstag hat, ist verschwindend gering. Bei 192.168.1.0/24 ist die Wahrscheinlichkeit, dass man spätestens beim 3. Hotel auf die Nase fliegt fast schon eine Garantie.

 

[leiti008]

Vielen vielen Dank für die super Erklärung, geniales Beispiel dafür
Heist ich werde wenn ich wieder zuhause bin in 9 Tagen das Subnetz mal ändern und es dann nochmal versuchen.
(Muss danach wieder hier her)

Lg

 

[Raijin]

Ganz genau. Wie gesagt, sei kreativ. Dem heimischen Netzwerk ist es vollkommen egal ob es nu mit 192.168.1.0/24, 172.27.4.0/24 oder auch 10.123.234.0/24 läuft. Hauptsache man hält sich an die oben genannten Bereiche, die nach RFC1918 für private Netzwerke reserviert sind. Es gibt keine schnelleren oder langsameren Subnetze, das sind einfach nur 4 Zahlen von 0-255, die aneinander gereiht eine IP ergeben (intern ist 1.1.1.1 im übrigen 001.001.001.001 und somit genauso lang wie 255.255.255.255). Es geht also nur darum was man sich gut merken kann und was sich eben bei Verknüpfung mehrerer Netzwerke (zB VPN) nicht überschneidet.

Übrigens: Auch 10.8.0.0/24 ist unklug, weil das das Standard-OpenVPN-Subnetz ist. Wobei man dieses ja in der server.ovpn und/oder der Router-GUI beliebig anpassen kann (sofern der Router dies erlaubt). Generell sollte man auch tendenziell die Startbereiche aller 3 Blöcke meiden, weil eben auch gerne mal einfach 10.0.0.0/24 oder 172.16.0.0/24 genutzt wird. Also nochmal: Sei kreativ.. Je kreativer du dein Subnetz wählst, umso unwahrscheinlicher ist es, dass jemand anderes (zB der Admin des Hotels) dasselbe Subnetz gewählt hat.