1
Vraag
2
Reacties
3
Oplossing
satfrico

Level 1
  • 13Posts
  • 1Oplossingen
  • 4Likes

Open vpn aan de praat krijgen

Hallo allemaal,

Ik heb een satelietontvanger in mijn netwerk zitten.
Nu moet ik op die ontvanger een openvpn verbinding activeren.
Het lukt me maar niet om het draaiend te krijgen.
Is er iemand die mij stap voor stap erdoor heen kan loodsen.
Ik begrijp dat er geen optie is in de technicolor van Ziggo om vpn te activeren.
Vandaar de openvpn in de satelietontvanger.
43 Reacties 43
Meldingen
Aan Uit
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
Gefeliciteerd , je traceroute laat al een werkende IP verbinding zien over je VPN! 1.1.1.1 bereik je duidelijk vanuit de USA.

In je log zie ik het volgende:
Je Sat-ontvanger krijgt ook de route gepushed van Goose VPN en gebruikt deze in je traceroute dus dat lijkt te kloppen. Daarnaast zie je dat er DNS servers (die van OpenDNS) worden gepushed voor de VPN verbinding. De vraag is of die wel lekker werken:

Kun je eens met de VPN aan intypen:

ping www.google.com

en
nslookup www.google.com


Daarnaast zie ik nog wel wat meldingen over de mtu-size. Dat vind ik een beetje raar omdat die settings direct van Goose zelf afkomstig zijn. Maar laat dat nu maar even voor wat het is.
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
efok , het lijkt wel of hij jumbo-frames verstuurd.
Of de Ziggo modem/router blokkeert Path MTU Discovery. (ICMP)
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
Gusto wrote:
efok , het lijkt wel of hij jumbo-frames verstuurd.
Of de Ziggo modem/router blokkeert Path MTU Discovery. (ICMP)


Gusto ja die 9000 hè? Dat hele MTU/mss gebeuren zit ik niet zo heel goed in.

Heb jij nog suggesties over dat stukje in deze setup?
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
efok , jumbo-frames over het internet lijkt me onwaarschijnlijk.
Ik zal me nog eens buigen over de config.
comp-lzo
tun-mtu 1470
mssfix 1460
keepalive 5 60

Ik zou de tun-mtu op 1500 zetten

Groet, Gusto
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3467Likes
VPN tunnel mtu moet lager dan 1500 wegens inpakken originele packet.
Anders fragmentatie. 1470 lijkt me zo slecht nog niet.
Maar het beste?
https://forums.openvpn.net/viewtopic.php?t=25039
Gr Han
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
hanh , Goose-VPN meld pakket-groote van 9000, dus er gaat iets mis.

Groet, Gusto
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
Gusto wrote:
efok , jumbo-frames over het internet lijkt me onwaarschijnlijk.
Ik zal me nog eens buigen over de config.
comp-lzo
tun-mtu 1470
mssfix 1460
keepalive 5 60


Ik zou de tun-mtu op 1500 zetten

Groet, Gusto


Gusto Ja, eigenlijk staat dat ook zo in het log:
WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1470)


Alleen heb ik deze setting niet zelf bedacht, maar direct uit de configuratie van GooseVPN geplukt. Maar even wachten totdat satfrico weer kan testen, misschien werkt tun-mtu 1500 beter.

Ben eerst benieuwd of de DNS-lookups wel goed gaan.
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
efok ik zag een wget van ipecho.net....... , dat beloofd weinig goeds.

Groet, Gusto
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
Gusto wrote:
efok ik zag een wget van ipecho.net....... , dat beloofd weinig goeds.

Groet, Gusto

Gusto Ik zag dat ook. Daarom had ik gevraagd eerst een traceroute te doen op ip-basis. En dat werkt. De wget zou dit moeten doen:
wget -qO- https://ipecho.net/plain;echo


maar kan blijkbaar ipecho.net niet vinden. Dus mogelijk DNS issue. Maar ik wacht eerst maar even de verdere bevindingen van TS af.

Edit: oh leuk:joy:, het wordt automatisch een link, ook als je aangeeft dat het code is.:angry:
KBX458

Oud Community-lid
  • 8462Posts
  • 376Oplossingen
  • 2930Likes
Als je er op klikt krijg je
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
KBX458 dat ligt aan jouw OS, de mijne laat gewoon html-code zien die mijn ip-adres toont. 😉

Groet, Gusto
KBX458

Oud Community-lid
  • 8462Posts
  • 376Oplossingen
  • 2930Likes
Gusto
Hier wordt in W10 de overige vermelde code "normaal" weergegeven, alleen deze laatste als een werkzame link in oranje en onderstreept.
Verder volg ik jullie gezamenlijke inspanning om tot een oplossing te komen met een grote dosis leergierigheid.:wink:
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
KBX458 , het is altijd leuk, om van elkaar te leren. 🙂

Groet, Gusto
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
Maar die "Ziggo dozen" loggen het verkeerde! 😞
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
KBX458 wrote:
Als je er op klikt krijg je
*knip plaatje*


We beginnen een beetje af te dwalen. Het was ook helemaal niet bedoeld als link om op te klikken, maar als code. Daarom staat het in een code-blok. De forumsoftware hier denkt echter mee, ziet ergens https staan en denkt, daar hoor je op te kunnen klikken en maakt er prompt een niet werkende hyperlink van. Nee dus, niet klikken, don’t.
Op de commandline werkt het prima, en krijg je gewoon je IP terug.
satfrico
Topicstarter
Level 1
  • 13Posts
  • 1Oplossingen
  • 4Likes
efok goedemorgen, even snel voor het werk een test gedaan zoals je vroeg.
Hierbij de uitkomst.

De rest wacht ik even mee wat er inmiddels is bij getypt door jullie om te doen nadat je mijn foto hebt beoordeeld.
Ik ben eind van de dag weer online.
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
Probeer eens nslookup google.com 😉

Groet, Gusto
efok

Level 17
  • 4084Posts
  • 221Oplossingen
  • 1622Likes
satfrico

Precies wat ik dacht. Je setup gebruikt nog de DNS server van Ziggo (84.116.46.21). Deze is niet bereikbaar van buiten het Ziggo netwerk (dus ook niet via je VPN). Het lukt je daarom niet om www.google.com om te zetten in een IP-adres.
GooseVPN probeert daarom de OpenDNS servers naar je te pushen, dat zie je in je log:
Mon Dec 3 13:14:56 2018 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220


Deze worden echter niet opgepikt door je receiver. Het wordt nu zaak de receiver zover te krijgen dat hij niet meer de Ziggo DNS server voor OpenVPN blijft gebruiken.

Misschien kun je in de interface van de receiver gewoon ergens handmatig de 2 bovenstaande DNS servers opgeven? Dan werkt het altijd (met en zonder VPN).

Kan dat niet, dan voeren we de moeilijkheidsgraad nog wat op, en is er een script nodig, om je receiver te vertellen dat wanneer openvpn verbonden wordt hij over moet naar een andere DNS server.

Misschien staat dit script al op je receiver onder /etc/openvpn/update-resolv.conf
Anders bijgaand het script:
#!/bin/bash
#
# Parses DHCP options from openvpn to update resolv.conf
# To use set as 'up' and 'down' script in your openvpn *.conf:
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf
#
# Used snippets of resolvconf script by Thomas Hood and Chris Hanson.
# Licensed under the GNU GPL. See /usr/share/common-licenses/GPL.
#
# Example envs set from openvpn:
#
# foreign_option_1='dhcp-option DNS 193.43.27.132'
# foreign_option_2='dhcp-option DNS 193.43.27.133'
# foreign_option_3='dhcp-option DOMAIN be.bnc.ch'
#

[ -x /sbin/resolvconf ] || exit 0
[ "$script_type" ] || exit 0
[ "$dev" ] || exit 0

split_into_parts()
{
part1="$1"
part2="$2"
part3="$3"
}

case "$script_type" in
up)
NMSRVRS=""
SRCHS=""
for optionvarname in ${!foreign_option_*} ; do
option="${!optionvarname}"
echo "$option"
split_into_parts $option
if [ "$part1" = "dhcp-option" ] ; then
if [ "$part2" = "DNS" ] ; then
NMSRVRS="${NMSRVRS:+$NMSRVRS }$part3"
elif [ "$part2" = "DOMAIN" ] ; then
SRCHS="${SRCHS:+$SRCHS }$part3"
fi
fi
done
R=""
[ "$SRCHS" ] && R="search $SRCHS
"
for NS in $NMSRVRS ; do
R="${R}nameserver $NS
"
done
echo -n "$R" | /sbin/resolvconf -a "${dev}.openvpn"
;;
down)
/sbin/resolvconf -d "${dev}.openvpn"
;;
esac



Sla dit script op als het bestand update-resolv-conf onder /etc/openvpn/
maak het script uitvoerbaar met:
chmod +x /etc/openvpn/update-resolv-conf


Voeg vervolgens onderaan je client.conf het volgende toe:
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3467Likes
efok
Kun je niet beter de DNS centraal regelen in /etc/resolv.conf
Of bazel ik hier maar wat?
Voel je vrij voor dodelijk commentaar.
Kan tegen een stootje. Van jou zeker. Ben jij ff goed bezig hier!
Over details van VPN resp OpenVPN, weet ik te weinig.
Volg dit alles met grote interesse. En dat is het dan.
Een zogenaamde expert moet ook zijn beperkingen kennen.
Han
satfrico
Topicstarter
Level 1
  • 13Posts
  • 1Oplossingen
  • 4Likes
efok Jij krijgt van mij een standbeeld.
Jij mag zeggen waar ik die moet gaan plaatsen.
Het is uiteindelijk gelukt.
Ik heb nu weer IPTV via de satelietontvanger.
Dankzij de truc die je zei om in de receiver te plaatsen dat hij gebruik moest maken van de twee bovenstaande DNS servers.