1
Vraag
2
Reacties
EMV1

Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

OpenVPN werkt niet meer na installatie nieuwe smartwifi modem

Voor werk maak ik verbinding met een OpenVPN server met de Viscosity client. Met de oude witte Ziggo modem ging dit zonder problemen. Na installatie van de nieuwe SmartWifi modem komt de OpenVPN verbinding nog wel tot stand, maar komt er geen DNS-resolution voor de domeinen die via de VPN moeten lopen.

Als ik, zonder verder instellingen te wijzigen, mijn telefoon gebruik als hotspot (dus geen thuis-WiFi) werkt de OpenVPN verbinding weer naar behoren.

 

Al geprobeerd:

De 4 vinkjes bij “Beveiliging” in de SmartWifi modem-instellingen. Geen effect.

Google DNS servers 8.8.8.8 en 8.8.4.4 instellen op de modem. Geen effect.

Google DNS servers instellen in de netwerkadapterinstellingen van mijn laptop. Geen effect.

Andere OpenVPN client. Geen effect.

Rommelen met de DNS instellingen in de OpenVPN client. Geen effect.

 

Mijn setup:

Smartwifi modem in reguliere modus, met DHCP aan en DNS op de default instelingen.

Wifi staat uit.

Achter de modem hangt een setje TP-link Deco mesh-punten waarbij DHCP uitstaat. Dus de Ziggo modem regelt alle ip-adressen binnen het hele thuisnetwerk.

Windows 10 laptop met Viscosity met een ovpn profiel.

 

Mijn conclusie is dat er een verschil is tussen de oude witte Connect box en de SmartWifi modem, aangezien dat de enige verandering is die ertoe heeft geleid dat het niet meer werkt. Hoe krijg ik OpenVPN weer aan de praat?

Oplossing

Geaccepteerde oplossingen
efok

Level 17
  • 4031Posts
  • 219Oplossingen
  • 1605Likes

OK, met wat ik nu zie gebruik je dus gewoon de Ziggo DNS. Het split DNS werkt op beide verbindingen niet lekker, maar zou ook niet uit mogen maken omdat 8.8.8.8 een publieke DNS is en niet een bedrijfsDNS.

wat we inmiddels wel weten is dat het sagemcom modem een bug heeft waardoor resolven van domeinen met een adres in de private range niet werkt. Hoe dat kan? Geen idee, maar ik vermoed dat jij daar wel van afhankelijk bent.

Workaround/hack klop de domeinen en bijhorende interne ip adressen in je hosts file. Ben benieuwd.

En vraag ziggo evt om een ubee1318 (zonder wifi dat wel)

@EMV1 

Bekijk in context

Uitgelicht
EMV1
topicstarter
Level 3
  • 11Reacties
  • 0Oplossingen
  • 4Likes

Update: Ubee modem ontvangen nadat ik bij de klantenservice naar de conclusie in dit topic had verwezen. Modem geïnstalleerd zonder problemen, en OpenVPN met DNS-resolution binnen het VPN netwerk werkt weer .

Alles opgelost dus. Dank aan @efok  voor het aandragen van de juiste oplossing, en @tobiastheebe @S4R en @Jiri  voor het meedenken!

 

(voor wie het weten wil: het toevoegen van specifieke entries aan de hosts file heb ik ook nog even geprobeerd met het Sagemcom modem. Dat werkte ook, maar dat is alleen een tijdelijke workaround, geen echte oplossing aangezien de IPs kunnen veranderen)

27 Reacties 27
tobiastheebe

Level 20
T.E.A.M.
  • 31707Posts
  • 2226Oplossingen
  • 15928Likes

Op welke waarde is de MTU van de modemrouter ingesteld? Zie de pagina Geavanceerde instellingen, Hulpmiddelen, MTU-grootte.

 

Wat is het resultaat van een ping naar een IP-adres op internet, met het IP-adres van de VPN-interface als source?

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

 

Hi Tobias, dank voor je reactie.

MTU staat op 1500.

Pingen met VPN aan naar openbare IP's gaat alleen goed als de default instelling van het VPN profiel op 'split' staat: oftewel, dan loopt die traffic niet over de VPN-tunnel. Als ik de VPN client op 'all traffic through VPN' instel, komt er geen antwoord terug van de ping.

Als VPN op 'split traffic' staat (maar DNS binnen de VPN client op 'always use DNS defined in VPN profile', terwijl in de logs van de VPN client wel een waarschuwing staat dat verkeer naar 8.8.8.8 niet via de VPN tunnel zelf zal lopen):

C:\Windows\system32>nslookup google.com
Server:  dns.google
Address:  8.8.8.8

Non-authoritative answer:
Name:    google.com
Addresses:  2a00:1450:400e:80f::200e
          172.217.168.206


C:\Windows\system32>ping 172.217.168.206

Pinging 172.217.168.206 with 32 bytes of data:
Reply from 172.217.168.206: bytes=32 time=18ms TTL=117
Reply from 172.217.168.206: bytes=32 time=14ms TTL=117

Ping statistics for 172.217.168.206:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 14ms, Maximum = 18ms, Average = 16ms
Control-C
^C

Vanaf hier VPN client zo ingesteld dat alle traffic en DNS over VPN gaat:

C:\Windows\system32>rem vanaf hier VPN client zo ingesteld dat alle traffic en DNS over VPN gaat

C:\Windows\system32>nslookup google.com
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
^C
C:\Windows\system32>ping 172.217.168.206

Pinging 172.217.168.206 with 32 bytes of data:
Request timed out.
Request timed out.

Ping statistics for 172.217.168.206:
    Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),
Control-C
^C
C:\Windows\system32>

 

tobiastheebe

Level 20
T.E.A.M.
  • 31707Posts
  • 2226Oplossingen
  • 15928Likes

Misschien kun je ook een traceroute naar 8.8.8.8 laten lopen met VPN (full tunnel)?

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes
C:\Windows\system32>tracert -d -w 1000 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

  1    25 ms    13 ms    60 ms  10.242.60.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out. ^C

 

10.242.60.1 is de gateway die door de VPN-server wordt gepushed bij het opbouwen van de verbinding:

route-gateway 10.242.60.1
EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

De VPN-server wijst een IP toe in diezelfde range: 10.242.60.x

tobiastheebe

Level 20
T.E.A.M.
  • 31707Posts
  • 2226Oplossingen
  • 15928Likes

Is het mogelijk dat er op de VPN-server een whitelist moet worden bijgewerkt? Het publieke IPv4-adres is namelijk gewijzigd toen het modem werd vervangen. De traceroute laat zien dat de server wel bereikt wordt, maar vervolgens lijkt er een DROP/REJECT plaats te vinden in de firewall.

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

Nee, de OpenVPN server werkt niet op basis van een allowlist/blocklist. Authenticatie is met user credentials en een certificaat.

Bovendien wisselt het ip-adres wel vaker ook met de oude modem (voor andere zaken draai ik nog een DDNS client op een andere server in huis, die moet wel eens een update sturen).

 

En via 5G hotspot ipv Ziggo internet werkt de OpenVPN verbinding dus wel zoals het hoort - daar is ook geen IP van bekend of gewhitelist.

tobiastheebe

Level 20
T.E.A.M.
  • 31707Posts
  • 2226Oplossingen
  • 15928Likes

Misschien is het waardevol om aan de serverzijde de logs te controleren, mogelijk wordt dan duidelijk wat er precies misgaat. We hebben in ieder geval wel uitgesloten dat het een probleem met DNS lookups is.

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

Ja, dat is wel een goeie. Ga ik eens navragen. En inderdaad, door jouw suggesties is duidelijk geworden dat het geen DNS probleem is.

 

Door meer combinaties van ping, nslookup en traceroute te proberen via VPN over hotspot ben ik er inmiddels achter dat de VPN server helemaal geen verkeer of DNS lookups toelaat naar servers anders dan de specifieke bedrijfsdomeinen. Dus de VPN server heeft geen weg naar buiten. Dus testen kan alleen met die specifieke hostnames en IPs.

 

 

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

De serverside logs laten helaas niks zien wat kan helpen: de verbinding wordt succesvol opgebouwd, en dan weer gestopt op het moment dat de client het verzoek om te disconnecten stuurt. Daartussen zijn geen log-entries of fouten te zien.

Jiri
Oud Community Moderator
Oud Community Moderator
  • 2539Posts
  • 345Oplossingen
  • 1002Likes

Wat lastig dat ook hier geen fouten te vinden zijn, @EMV1 
@tobiastheebe wil jij nog eens meekijken?

tobiastheebe

Level 20
T.E.A.M.
  • 31707Posts
  • 2226Oplossingen
  • 15928Likes

Mijn kennis van OpenVPN is helaas onvoldoende om verdere ondersteuning te verlenen.

Jiri
Oud Community Moderator
Oud Community Moderator
  • 2539Posts
  • 345Oplossingen
  • 1002Likes

@tobiastheebe Geen probleem hoor. Goed dat je het aangeeft.
Weet een van jullie dit toevallig @Bert of @Francois83 ?

S4R

Level 16
  • 2045Posts
  • 71Oplossingen
  • 1281Likes

Je kan in de client file een DNS server toevoegen.

Wellicht als je de DNS van werk daar plaats, dat het dan wel werkt

 

Dat zijn deze regels in het file

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

efok

Level 17
  • 4031Posts
  • 219Oplossingen
  • 1605Likes

@EMV1 Ik heb het probleem nog niet scherp. Je zegt dat bij testen over 5 G er geen verkeer naar “buiten” wordt toegelaten. Dus het gaat puur om verkeer binnen het bedrijfsnetwerk, right? Via het ziggo modem werkt dit niet goed. In het begin zeg je dat dit is omdat DNS lookup Floor bedrijfsdomeinen niet werken.

Vragen: kun je wel de bijhorende interne ip-adressen bereiken? Welke dns server krijg je mee uit je openvpn?  Had je in de oude situatie ook IPv6? En nu? 

S4R

Level 16
  • 2045Posts
  • 71Oplossingen
  • 1281Likes

OpenVPN client wellicht updaten? 

 

https://openvpn.net/community-downloads/

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

Dank voor de suggesties. Hier nog wat puzzelstukjes:

 

Nogmaals: via 5G + VPN kom ik dus op de werkserver (we noemen hem maar even test.pietje.com). Zonder instellingen te wijzigen kom ik via Ziggo + VPN met nieuwe modem niet op de server, terwijl dat met het oude modem wel lukte.

 

OpenVPN client is Viscosity. Laatste versie. Ook geprobeerd met de Sophos OpenVPN client, ook geen succes.

 

En hoewel ik eerst dacht dat het een DNSprobleem was, en toen mede door het meedenken van tobiastheebe leek te kunnen concluderen dat het geen DNSprobleem was, heb ik nu weer een aanwijzing dat het wel met DNS te maken moet hebben:

  • Via 5G + VPN  verbinden.
  • nslookup naar test.pietje.com, krijg het ipv4-adres terug.
  • Ping naar dat ip-adres werkt.

 

  • Vervolgens switch ik naar Ziggo + VPN.
  • nslookup naar test.pietje.com geeft geen antwoord.
  • Maar, ping naar het eerder via 5G + VPN gevonden ip-adres werkt wel!
  • Direct invullen van het ip-adres in een browser tab laat zien dat de server wel antwoordt, maar niet is geconfigureerd om requests direct naar het ip-adres te kunnen beantwoorden. Ik krijg een server-side redirect maar vervolgens een lege pagina. Dit is natuurlijk ook niet de manier om die server te benaderen (mogelijke reden: er zou een reverse proxy actief kunnen zijn).

Oftewel: traffic gaat in principe goed, maar DNS resolution niet.

 

Hier nog een paar logfiles van de client, om het verschil tussen VPN + 5G en VPN + Ziggo te laten zien:

 

VPN client logfile als ik via Ziggo verbind (geknipt om irrelevante stukken weg te laten):

jan 31 9:14:16 PM: Status gewijzigd naar Aan het verbinden
jan 31 9:14:16 PM: Viscosity Windows 1.10.4 (1769)
...
jan 31 9:14:16 PM: OpenVPN 2.5.7 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [AEAD] built on Nov  2 2022
...
jan 31 9:14:17 PM: Status gewijzigd naar Authenticating
...
jan 31 9:14:18 PM: Status gewijzigd naar Aan het verbinden
jan 31 9:14:19 PM: PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.242.60.1,route-gateway 10.242.60.1,topology subnet,ping 10,ping-restart 120,route 192.168.72.21 255.255.255.255,route 192.168.61.125 255.255.255.255,route 192.168.72.22 255.255.255.255,route 192.168.61.126 255.255.255.255,route 192.168.72.66 255.255.255.255,route 192.168.72.150 255.255.255.255,route 192.168.70.0 255.255.255.0,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,dhcp-option DOMAIN holland.nbtc,ifconfig 10.242.60.2 255.255.255.0'
...
jan 31 9:14:19 PM: Awaiting adapter to come up...
...
jan 31 9:14:21 PM: Waiting for DNS Setup to complete...
...
jan 31 9:14:24 PM: TEST ROUTES: 8/8 succeeded len=8 ret=1 a=0 u/d=up
...
jan 31 9:14:24 PM: Initialization Sequence Completed
jan 31 9:14:24 PM: DNS set to Split, report follows:
Server - 8.8.8.8:53; Lookup Type - Split; Domains - ******************.; Server is not reachable and will not be used.
Server - 8.8.4.4:53; Lookup Type - Split; Domains - ******************.; Server is not reachable and will not be used.
Server - 84.116.46.21:53; Lookup Type - Any; Domains - dynamic.ziggo.nl.
Server - 84.116.46.20:53; Lookup Type - Any; Domains - dynamic.ziggo.nl.

jan 31 9:14:25 PM: WARNING: The DNS server 8.8.8.8 is not routed through the VPN connection. DNS lookups to this server may travel over a different network interface (Wi-Fi).
jan 31 9:14:25 PM: Status gewijzigd naar Verbonden

In plaats van de ***************** staat daar een werkdomein in de vorm naaméén.naamtwee dat meer lijkt op een netwerknaam dan op een internetdomein. De server die ik probeer te bereiken is een subdomein van een internetdomein (bijvoorbeeld test.pietje.com).

 

VPN client logfile als ik via 5G verbind (geknipt om irrelevante stukken weg te laten):

jan 31 9:15:22 PM: Status gewijzigd naar Aan het verbinden
jan 31 9:15:22 PM: Viscosity Windows 1.10.4 (1769)
...
jan 31 9:15:23 PM: OpenVPN 2.5.7 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [AEAD] built on Nov  2 2022
...
jan 31 9:15:24 PM: Status gewijzigd naar Authenticating
...
jan 31 9:15:24 PM: Status gewijzigd naar Aan het verbinden
jan 31 9:15:25 PM: PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.242.60.1,route-gateway 10.242.60.1,topology subnet,ping 10,ping-restart 120,route 192.168.72.21 255.255.255.255,route 192.168.61.125 255.255.255.255,route 192.168.72.22 255.255.255.255,route 192.168.61.126 255.255.255.255,route 192.168.72.66 255.255.255.255,route 192.168.72.150 255.255.255.255,route 192.168.70.0 255.255.255.0,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,dhcp-option DOMAIN holland.nbtc,ifconfig 10.242.60.2 255.255.255.0'
...
jan 31 9:15:26 PM: Awaiting adapter to come up...
...
jan 31 9:15:27 PM: Waiting for DNS Setup to complete...
...
jan 31 9:15:31 PM: TEST ROUTES: 8/8 succeeded len=8 ret=1 a=0 u/d=up
...
jan 31 9:15:31 PM: Initialization Sequence Completed
jan 31 9:15:31 PM: DNS set to Split, report follows:
Server - 8.8.8.8:53; Lookup Type - Split; Domains - *****************.; Server is not reachable and will not be used.
Server - 8.8.4.4:53; Lookup Type - Split; Domains - *****************.; Server is not reachable and will not be used.
Server - 192.168.67.191:53; Lookup Type - Any; Domains - None

jan 31 9:15:32 PM: WARNING: The DNS server 8.8.8.8 is not routed through the VPN connection. DNS lookups to this server may travel over a different network interface (Wi-Fi).
jan 31 9:15:32 PM: Status gewijzigd naar Verbonden

Het enige zichtbare verschil: andere extra DNS server. In het geval van Ziggo komt er een Ziggo DNS door, bij de hotspot komt er 192.168.67.191 door wat een lokale DNS lijkt binnen het werknetwerk.

 

Ik heb de suggestie van S4R om de DNS-server van werk handmatig te definiëren in de client geprobeerd met dit ip-adres, en dan staat er in de log een foutmelding: WARNING: the DNS server 192.168.67.191 is not routed through the VPN connection. DNS lookups to this server may travel over a different network interface (Wi-fi). En geen toegang tot test.pietje.com.

 

Als ik voor dat IP-adres ook in de traffic-instellingen van de VPN-client aangeef dat traffic via de VPN moet lopen is de error weg, maar heb ik alsnog geen toegang tot test.pietje.com.

 

whatismyip.com kan in geen van de gevallen een ipv6 adres noemen trouwens. Ik heb ook via de windows-netwerkadapterinstellingen ipv6 uitgezet, maar dat gaf geen verschil.

efok

Level 17
  • 4031Posts
  • 219Oplossingen
  • 1605Likes

OK, met wat ik nu zie gebruik je dus gewoon de Ziggo DNS. Het split DNS werkt op beide verbindingen niet lekker, maar zou ook niet uit mogen maken omdat 8.8.8.8 een publieke DNS is en niet een bedrijfsDNS.

wat we inmiddels wel weten is dat het sagemcom modem een bug heeft waardoor resolven van domeinen met een adres in de private range niet werkt. Hoe dat kan? Geen idee, maar ik vermoed dat jij daar wel van afhankelijk bent.

Workaround/hack klop de domeinen en bijhorende interne ip adressen in je hosts file. Ben benieuwd.

En vraag ziggo evt om een ubee1318 (zonder wifi dat wel)

@EMV1 

EMV1
Topicstarter
Level 3
  • 11Posts
  • 0Oplossingen
  • 4Likes

Thanks, een bekende bug in de modem, dat verklaart een hoop. Hosts file zou een tijdelijke workaround zijn, want het is een lijstje van servers en die wijzigt ook wel eens. Ik ga achter die andere modem aan. WiFi stond toch al uit.

 

@Jiri dat gaat via Ziggo klantenservice neem ik aan? Ik had al een ticket aangemaakt maar nog geen reactie ontvangen.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic