OpenVPN Portforwarding funktioniert nicht

Alles was zum Thema Firewall gehört

Moderator: Lancom-Systems Moderatoren

Antworten
mboe
Beiträge: 4
Registriert: 25 Mai 2018, 15:16

OpenVPN Portforwarding funktioniert nicht

Beitrag von mboe » 25 Mai 2018, 15:26

Hallo,

ich habe bereits bei Lancom ein Support Ticket offen, aber bisher keine Reaktion.
Mein Problem, ich habe ein Portforwarding eingerichtet UDP 1194 für ein openvpn Endpoint. Das Forwarding scheint zu funktionieren, denn ich sehe per tcpdump eingehende Pakete. Es gehen dann exakt 5 Packet an den Client zurück und dann lässt der Lancom Router die UDP Pakete Richtung Client nicht mehr durch.
Ich hab von dem Lancom Teil nicht allzuviel Ahnung und muss das Teil leider wegen SIP-Trunk + 2x ISDN Anlagenanschluss von der Telekom verwenden. Meine Begeisterung hält sich in Grenzen (...)

Jemand eine Idee wo ich ansetzen kann warum das Ding die UDP Palete einfach dropped?
Dateianhänge
Screenshot_20180524_123537.png
tcpdump am openvpn server, am Client kommen die letzten Pakete nicht mehr an
Screenshot_20180524_123537.png (165.19 KiB) 293 mal betrachtet
Screenshot_20180524_123437.png
Port Forward
Screenshot_20180524_123437.png (33.71 KiB) 293 mal betrachtet
Screenshot_20180524_123336.png
Firewall regeln
Screenshot_20180524_123336.png (33.64 KiB) 293 mal betrachtet

mboe
Beiträge: 4
Registriert: 25 Mai 2018, 15:16

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von mboe » 25 Mai 2018, 15:28

Achso es handelt sich um ein 1783VAW
Firmware 10.12.0292 / 06.03.2018
Dateianhänge
Screenshot_20180524_124709.png
Meldung des OpenVPN Servers
Screenshot_20180524_124709.png (104.67 KiB) 289 mal betrachtet

Dr.Einstein
Beiträge: 1862
Registriert: 12 Jan 2010, 15:10
Wohnort: Berlin

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von Dr.Einstein » 25 Mai 2018, 16:47

Folgende Idee: Schalt mal unter Voice Call Manager / Erweitert -> abgehende Pakete bevorzugen -> auf keine Veränderung und starte danach den Lancom Router neu.

Gruß Dr.Einstein

backslash
Moderator
Moderator
Beiträge: 5711
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von backslash » 25 Mai 2018, 18:31

Hi mboe,

du reservierst mit der Firewall-Regel SIP-SIGNALISIERUNG für jedes Telefon, daß sich nur beim Provider registriert 320 KBit/s... ich weiss ja nicht, wie breit dein Upstream ist und wie viele Telefone du hast, aber diese Reservierungen könnten dir garnz schnell den Upsteram sperren - und das ganz ohne laufenden Traffic...

Für die Signalisierung solltest du maximal 10 kBit/s reservieren. Wichtig sind die RTP-Daten - für die brauchst du aber eigene Regeln - oder du nimmst das Ganze komplett raus und nutzt entweder den VCM oder das SIP-ALG

Gruß
Backslash

mboe
Beiträge: 4
Registriert: 25 Mai 2018, 15:16

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von mboe » 25 Mai 2018, 19:00

Upstream stehen 40 Mbit zur Verfügung. Aber das ist auch nicht das problem

Dr.Einstein
Beiträge: 1862
Registriert: 12 Jan 2010, 15:10
Wohnort: Berlin

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von Dr.Einstein » 25 Mai 2018, 20:49

Gar nicht gesehen, die QoS-Echtzeit Regel deaktivieren (oder abändern, zum Testen lieber deaktivieren) wegen der MTU Reduzierung. Wichtig: auch hier wieder WAN Verbindung danach trennen oder besser gleich den Router neustarten.

Gruß Dr.Einstein

GrandDixence
Beiträge: 324
Registriert: 19 Aug 2014, 22:41

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von GrandDixence » 25 Mai 2018, 23:12

Vielleicht gleiches Problem:
http://www.lancom-forum.de/post93298.html

mboe
Beiträge: 4
Registriert: 25 Mai 2018, 15:16

Re: OpenVPN Portforwarding funktioniert nicht

Beitrag von mboe » 26 Mai 2018, 09:10

Danke, genau das Problem war es. VCM QOS die Fragmentierung deaktiviert (PMTU aktiviert) und schon lief der Handshake.
Dann blieb die Verbindung nach 30sek stehen. Das konnte ich beheben indem ich unter den Maskierungsoptionen das UDP Aging von 30 auf 300sek erhöht habe.

Nun läuft es. Danke noch mal das ihr mich auf den richtigen Weg gebracht habt.

Antworten

Zurück zu „Fragen zum Thema Firewall“