Geen OpenVPN client verbinding mogelijk op Orange mobiel netwerk [Was OpenVPN - Fritzbox - pfSense]

[NuKeM]

Sinds een dag of twee werkt het verbinden met mijn pfSense router via OpenVPN niet meer. Ik heb er nooit problemen mee gehad en er is niets veranderd of automatisch geupdate in de laatste twee dagen. Ik heb alles eens herstart, maar dat hielp niet.

De opstelling:
Internet <-> Fritzbox <-> pfSense <-> VLANs thuis
Op de Fritzbox is port forwarding voor 1194 UDP ingeschakeld. + de nodige static routes voor alle VLAN subnets omdat ik geen NAT gebruik op de pfSense (die stuurt gewoon alle goedgekeurde internet requests door naar de WAN-interface waarop de Fritzbox hangt, die dan verder het nodige doet)
Op pfSense staan de firewall rules op de WAN-interface goed, ik heb poort 1194 UDP nu zelfs even volledig open gezet voor de buitenwereld.
Niets komt binnen in de logs of state tables.
Vervolgens een hoog poortnummer genomen. Zelfde probleem.
Dan pfsense snel snel direct een PPPoE sessie laten opbouwen en dan proberen te verbinden met er IP achter de opgezette sessie... ook niets (al kan dit aan de snel snel gelegen hebben).

De OpenVPN logs spreken van een time out bij het opbouwen van de connectie (met juiste IP en poort trouwens). Typisch is dit omdat de poort toe is bv.
Met mijn client in het Fritzbox netwerk (dus net voor pfSense) kan ik dan weer wel perfect verbinden met OpenVPN.

Concreet zou ik eigenlijk willen weten of de Fritzbox een mogelijkheid heeft om te kijken of de port forward werkt. Zijn er logs/tables ergens die mij iets kunnen zeggen, diep verborgen in het systeem?

[Splitter]

proximus?
ben je mss niet achter een CGN gezet?

ik lijk te merken dat proximus verscheidene zaken aangepast heeft, wat ik merk omdat ik tegenwoordig een 10.24.x.x adres als gateway krijg.
ook de gekende google "verdachte activiteit" captcha die om de zoveel tijd voor mijn neus verschijnt bij 1 opzoeking is nogal "verdacht".
ik heb echter tot op heden nog geen issues met mijn vpn verbinding. (pppoe en vpn beide opgebouwd in de opnsense)

[CCatalyst]

Met mijn client in het Fritzbox netwerk (dus net voor pfSense) kan ik dan weer wel perfect verbinden met OpenVPN.?

Werkt dit dan ook via port forwarding of hoe raak je voorbij de NAT in dit geval?

Concreet zou ik eigenlijk willen weten of de Fritzbox een mogelijkheid heeft om te kijken of de port forward werkt. Zijn er logs/tables ergens die mij iets kunnen zeggen, diep verborgen in het systeem?

Van FB ken ik niets, maar probeer eens met een tcpdump op de WAN van de FB om te zien of het daar wel aankomt in de eerste plaats. WAN kan druk zijn dus zet een filter op het source IP indien nodig. Indien ja, doe dan ook eens een tcpdump op de interface naar de pfSense om te zien of hij het wel doorstuurt. Zo kan je het probleem lokaliseren, en weet je meteen of het aan de forwarding ligt of niet.

[ITnetadmin]

proximus?
ben je mss niet achter een CGN gezet?
ik lijk te merken dat proximus verscheidene zaken aangepast heeft, wat ik merk omdat ik tegenwoordig een 10.24.x.x adres als gateway krijg.

Je meent het.
Het gebruiken van een rfc1918 private address space range is tegen de iana regels in.
Ze moeten 100.64.0.0/10 gebruiken.

[NuKeM]

De tcpdumps zal ik eventueel vanavond eens bekijken. Maar het lijkt erop dat mijn device ip in de private range zit, namelijk 10.218.116.***. Public ip zit in de public Orange range 94.108.128.0 - 94.111.255.255
Ziet er naar uit dat dit dus geNAT wordt... geen idee of dit vroeger ook al was en op zich zou dit een VPN verbinding niet mogen belemmeren.
Ook bij mijn vrouw op Orange zit ze blijkbaar achter een CGN.
Vervelend...

[ITnetadmin]

Dan mag je gerust ns klagen dat ze daar eigenlijk de 100.64.0.0/10 range moeten voor gebruiken.

[CCatalyst]

Hoe heb je dat ander toestel op het LAN van de FB (de client in het Fritzbox netwerk) kunnen bereiken met OpenVPN als je achter een CGNAT zat

[NuKeM]

Nee, de client zat op het fritzbox netwerk en kon van daar wel verbinden met de vpn server wiens WAN interface ook in dat fritzbox netwerk zit.
Morgen eens vanuit extern netwerk proberen.

[Splitter]

Dan mag je gerust ns klagen dat ze daar eigenlijk de 100.64.0.0/10 range moeten voor gebruiken.

1st line zal het horen donderen in keulen

[CCatalyst]

Nee, de client zat op het fritzbox netwerk en kon van daar wel verbinden met de vpn server wiens WAN interface ook in dat fritzbox netwerk zit.

Ah ok, ik had opgemaakt dat je extern wel bij die client raakte maar niet bij de pfSense, wat misschien nog aan port forwarding zou toe te wijzen kunnen zijn.

In dat geval zal het idd gewoon aan de CGNAT liggen.

[philippe_d]

Je meent het.
Het gebruiken van een rfc1918 private address space range is tegen de iana regels in.
Ze moeten 100.64.0.0/10 gebruiken.

En ... zou dat het probleem oplossen ?
Ik denk het niet, dus deze discucssie is hier wel lichtjes off-topic!

[NuKeM]

Op een extern netwerk (Wifree van de buren) geen problemen, direct verbonden. Het lijkt erop dat Orange een probleem heeft.

Mijn firewall blokkeert ook bogon networks, maar dat uitzetten verandert niets.

[devilkin]

Hier werkt openvpn wel op een orange fixed line (orange modem - usg - synology nas als termination endpoint).

Sent from my ONEPLUS A6003 using Tapatalk

[NuKeM]

Dus van een client op het Orange mobiel netwerk naar een server op het Orange fixed netwerk werkt?

[devilkin]

Yep. GSM zit op Orange, fixed line thuis zit op Orange. Siligence TCG300 modem, ip range 94.110.50.x, gw 94.110.32.1.
GSM krijgt IP in 10.187.223.x.

[philippe_d]

@nukem
Wie is jouw ISP? Ik lees enerzijds Orange, maar je spreekt ook PPPoE?

Bij Proximus vast Internet kan de klant via "Mijn Proximus" zelf CGN uitschakelen.
Bij Proximus mobiel kan je dat ook via de Helpdesk laten uitzetten.
Van andere providers heb ik geen weet...

[NuKeM]

Blijkbaar kan ik ook niet naar edpnet.be surfen via Orange mobile. Begint er op te lijken dat ze wat routing problemen hebben (bij Orange?). Misschien omdat Edpnet mobile ook gebruik maakt van het Orange netwerk.
@philippe_d: EDPnet dus

[devilkin]

Huh, ja, ik merk het hier ook dat ik er niet op geraak. VPN tunnel naar huis geactiveerd, werkt wel dan.

[philippe_d]

Blijkbaar kan ik ook niet naar edpnet.be surfen via Orange mobile. Begint er op te lijken dat ze wat routing problemen hebben (bij Orange?). Misschien omdat Edpnet mobile ook gebruik maakt van het Orange netwerk.
@philippe_d: EDPnet dus

Misschien is er hier toch wel wat spraakverwarring.
Als ik het goed begrijp:

• je hebt een EDPNet (vaste) internet lijn, met hierop een Fritz!Box en hierachter een pfSense VPN server.
• je hebt een Orange mobiel abonnement, met hierop de VPN client.
• het probleem is dat je sedert enkele dagen met de smartphone geen VPN verbinding kan maken met de pfsense.

Alle uitspraken hierboven over CGNAT gingen dus niet over EDPNet (VPN sever) maar over Orange (VPN client)?
Dan kan CGNAT niet de oorzaak zijn van jouw probleem (voor zover ik weet krijg je nog altijd een publiek IPv4 bij EDPNet).
Routing probleem bij Orange kan inderdaad de issue zijn?

[devilkin]

Dan klopt de titel van de thread toch ook niet 100%

[NuKeM]

Even plots als het er was is het probleem ook verdwenen... alles werkt terug.