Op mijn EdgeRouter heb ik een viertal port geforward: 80, 1194, 4040 en 8200. Voor 3 van de 4 werkt dat. Echter, voor poort 1194 (OpenVPN) werkt dat niet. Bedoeling is dat er gebruik gemaakt wordt van de FileServer op adres 192.168.1.111 voor OpenVPN en niet van de EdgeRouter zelf. Als ik binnen het netwerk probeer een VPN verbinding te maken dan zie ik met tcpdump het volgende langskomen:
ubnt@EdgeRouter-X-5-Port:~$ sudo tcpdump -i eth0 -n -v host 77.xxx.xx.xx
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:04:59.650244 IP (tos 0x0, ttl 63, id 21647, offset 0, flags [DF], proto UDP (17), length 82)
192.168.2.199.45277 > 77.xxx.xx.xx.1194: UDP, length 54
De logging van OpenVPN laat het volgende zien:
2023-02-16 19:31:39 NOTE: --user option is not implemented on Windows
2023-02-16 19:31:39 NOTE: --group option is not implemented on Windows
2023-02-16 19:31:39 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-02-16 19:31:39 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2023-02-16 19:31:39 OpenVPN 2.5.8 [git:none/0357ceb877687faa] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 2 2022
2023-02-16 19:31:39 Windows version 10.0 (Windows 10 or greater) 64bit
2023-02-16 19:31:39 library versions: OpenSSL 1.1.1s 1 Nov 2022, LZO 2.10
2023-02-16 19:31:39 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2023-02-16 19:31:39 Need hold release from management interface, waiting...
2023-02-16 19:31:39 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2023-02-16 19:31:40 MANAGEMENT: CMD 'state on'
2023-02-16 19:31:40 MANAGEMENT: CMD 'log on all'
2023-02-16 19:31:40 MANAGEMENT: CMD 'echo on all'
2023-02-16 19:31:40 MANAGEMENT: CMD 'bytecount 5'
2023-02-16 19:31:40 MANAGEMENT: CMD 'state'
2023-02-16 19:31:40 MANAGEMENT: CMD 'hold off'
2023-02-16 19:31:40 MANAGEMENT: CMD 'hold release'
2023-02-16 19:31:40 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-02-16 19:31:40 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-02-16 19:31:40 MANAGEMENT: >STATE:1676572300,RESOLVE,,,,,,
2023-02-16 19:31:40 TCP/UDP: Preserving recently used remote address: [AF_INET]77.xxx.xx.xx:1194
2023-02-16 19:31:40 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023-02-16 19:31:40 UDP link local: (not bound)
2023-02-16 19:31:40 UDP link remote: [AF_INET]77.xxx.xx.xx.71:1194
2023-02-16 19:31:40 MANAGEMENT: >STATE:1676572300,WAIT,,,,,,
Als ik met de telefoon op 4G een VPN verbinding probeer te maken, zie ik niets langskomen met tcpdump.
Met mijn vorige router heeft dit altijd gewerkt. Wat is er zo speciaal aan het forwarden van poort 1194 dat dit niet lukt en de andere poorten wel? En nog veel interessanter: hoe kan ik zorgen dat dit wel lukt?
Ik heb mijn configuratie file toegevoegd. De EdgeRouter staat achter een Experia10 box, waarvan ik de benodigde poorten forward naar de EdgeRouter.
ubnt@EdgeRouter-X-5-Port:~$ sudo tcpdump -i eth0 -n -v host 77.xxx.xx.xx
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:04:59.650244 IP (tos 0x0, ttl 63, id 21647, offset 0, flags [DF], proto UDP (17), length 82)
192.168.2.199.45277 > 77.xxx.xx.xx.1194: UDP, length 54
De logging van OpenVPN laat het volgende zien:
2023-02-16 19:31:39 NOTE: --user option is not implemented on Windows
2023-02-16 19:31:39 NOTE: --group option is not implemented on Windows
2023-02-16 19:31:39 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-02-16 19:31:39 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2023-02-16 19:31:39 OpenVPN 2.5.8 [git:none/0357ceb877687faa] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 2 2022
2023-02-16 19:31:39 Windows version 10.0 (Windows 10 or greater) 64bit
2023-02-16 19:31:39 library versions: OpenSSL 1.1.1s 1 Nov 2022, LZO 2.10
2023-02-16 19:31:39 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2023-02-16 19:31:39 Need hold release from management interface, waiting...
2023-02-16 19:31:39 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2023-02-16 19:31:40 MANAGEMENT: CMD 'state on'
2023-02-16 19:31:40 MANAGEMENT: CMD 'log on all'
2023-02-16 19:31:40 MANAGEMENT: CMD 'echo on all'
2023-02-16 19:31:40 MANAGEMENT: CMD 'bytecount 5'
2023-02-16 19:31:40 MANAGEMENT: CMD 'state'
2023-02-16 19:31:40 MANAGEMENT: CMD 'hold off'
2023-02-16 19:31:40 MANAGEMENT: CMD 'hold release'
2023-02-16 19:31:40 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-02-16 19:31:40 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-02-16 19:31:40 MANAGEMENT: >STATE:1676572300,RESOLVE,,,,,,
2023-02-16 19:31:40 TCP/UDP: Preserving recently used remote address: [AF_INET]77.xxx.xx.xx:1194
2023-02-16 19:31:40 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023-02-16 19:31:40 UDP link local: (not bound)
2023-02-16 19:31:40 UDP link remote: [AF_INET]77.xxx.xx.xx.71:1194
2023-02-16 19:31:40 MANAGEMENT: >STATE:1676572300,WAIT,,,,,,
Als ik met de telefoon op 4G een VPN verbinding probeer te maken, zie ik niets langskomen met tcpdump.
Met mijn vorige router heeft dit altijd gewerkt. Wat is er zo speciaal aan het forwarden van poort 1194 dat dit niet lukt en de andere poorten wel? En nog veel interessanter: hoe kan ik zorgen dat dit wel lukt?
Ik heb mijn configuratie file toegevoegd. De EdgeRouter staat achter een Experia10 box, waarvan ik de benodigde poorten forward naar de EdgeRouter.