Problem mit VPNC unter Debian

Hallo!

Ich nutze einen Rootserver RS 2000 G9 mit Debian Bullseye, auf dem ich einen VPN zu meiner heimischen Fritzbox einrichten möchte. Dazu habe ich VPNC installiert.

Unter /etc/vpnc habe ich eine Konfiguration test.conf angelegt mit folgendem Inhalt:

IPSec gateway [name].myfritz.net
IKE DH Group dh2
Perfect Forward Secrecy nopfs
IPSec ID [username]
# "key" from the Fritz!Box VPN configuration
IPSec secret [passwort]
NAT Traversal Mode force-natt
Xauth username [fritzbox-user]
Xauth password [fritzbox-pw]
Interface mode tap
Script /etc/vpnc/fb-script.sh

Das Script /etc/vpnc/fb-script.sh setzt Routing-Einstellungen, damit nur mein privater IP-Range durch den Tunnel geroutet wird.

Die Konfiguration habe ich nach folgener Anleitung durchgeführt:

https://waal70blog.wordpress.com/2019/01/14/connect-vpn-to-fritzbox-with-vpnc-from-debian-linux/

Wenn ich den Tunnel mit "vpnc-connect test" aufbaue, schaut eigentlich alles richtig aus:

Ausgabe von ifconfig:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
inet [IP-Adresse 1]  netmask 255.255.252.0  broadcast 89.58.31.255
ether [xx:xx:xx:xx:xx:xx]  txqueuelen 1000  (Ethernet)
RX packets 3052450  bytes 482431385 (460.0 MiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 2397537  bytes 1921930786 (1.7 GiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


eth0:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
inet [IP-Adresse 2]  netmask 255.255.255.255  broadcast 188.68.45.8
ether [xx:xx:xx:xx:xx:xx]  txqueuelen 1000  (Ethernet)


lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
inet 127.0.0.1  netmask 255.0.0.0
loop  txqueuelen 1000  (Local Loopback)
RX packets 1182274  bytes 976041546 (930.8 MiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 1182274  bytes 976041546 (930.8 MiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1024
inet [private IP]  netmask 255.255.255.255  broadcast 0.0.0.0
ether [xx:xx:xx:xx:xx:xx]  txqueuelen 1000  (Ethernet)
RX packets 0  bytes 0 (0.0 B)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 0  bytes 0 (0.0 B)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Ausgabe von route:

Kernel IP routing table
Destination      Gateway         Genmask         Flags Metric Ref    Use Iface
default          89.58.28.1      0.0.0.0         UG    0      0        0 eth0
[Server-Netz]    0.0.0.0         255.255.252.0   U     0      0        0 eth0
[Privates-Netz]  0.0.0.0         255.255.255.0   U     0      0        0 tap0

Mein Problem: es gehen keine IP-Packets durch den Tunnel, keine IP-Connection, kein ping zur Fritzbox, mounten von NAS-Shares, SSH, FTP - nichts.

Auf einem VServer bei einem anderen Provider mit der gleichen Konfiguration funktioniert der Tunnel, nur auf dem Netcup Rootserver nicht.

Beide Server sind mit ISPconfig und UFW Firewall installiert. Ein komplettes Deaktivieren der Firewall ändert nichts am Problem.

Mit der gleichen Config gelingt der Tunnel auf einem VServer bei einem anderen Provider. Wenn ich den Tunnel dort abbaue (vpnc-disconnect) und auf Netcup neu connecte, funktioniert dort leider nichts.

Ich hab keine Idee, woran es liegen könnte und ich finde auch in den LOGS keine echte Spur.

Danke für deine Antwort. Ich verwende einen Fritzbox-Account zum Tunnelaufbau auf mehreren Endgeräten, jedoch nie gleichzeitig. Nur während ich ein Endgerät nutze, baue ich bei Bedarf dort den Tunnel auf und nach der Nutzung erfolgt ein Disconnect. Das funktioniert derzeit mit 4 unterschiedlichen Clients, darunter 2 Notebooks, mit denen ich mich von unterwegs in mein heimisches Netz verbinde. Der Netcup-Server soll zukünftig den Tunnel per Cronjob in den Nachtstunden aufbauen, um ein Backup zu übertragen. Aber leider gelingt mir speziell mit diesem Server kein IP-Connect. Das Shellscript ist inhaltsgleich zum verlinkten Post.

Ich finde mein Problem z.B. hier beschrieben:

https://community.synology.com/enu/forum/17/post/7107

Zitat: "The only drawback is that whatever I do, there goes no data through the tunnel."

Leider bringt mich der Befehl

echo 1 > /proc/sys/net/ipv4/ip_forward

auch nicht weiter. Nach wie vor erhalte ich keine IP-Verbindung durch den Tunnel.

Zitat von KB19

Jeder Client hat aber schon eigene Zugangsdaten (Username/Password) und somit auch eine eindeutige interne IP-Adresse?

Ich habe für den Netcup-Server jetzt eigene Zugangsdaten eingerichtet. Der Server erhält jetzt eine andere/eigene IP. Nach wie vor erhalte ich jedoch keine IP-Verbindung durch den Tunnel.

Hallo Frank!

Danke für deine Antwort.

Zitat von frank_m

Generell finde ich es merkwürdig, hier ein TAP Device zu benutzen. Der Grund, dass es mit ip und iptables besser zurechtkommt, halte ich für nicht stichhaltig. Damit hatte ich nie ein Problem.

Ich habe jetzt in der VPNC-Conf Zeile "Interface mode tap" den Eintrag tap durch tun ersetzt und das hat mein Problem gelöst !!!

Super - vielen Dank für den Hinweis! Ich verstehe trotzdem nicht, wieso es auf einem anderen VServer bei einem anderen Provider mit dem tap device lief und auf dem Netcup Server ein tap device nicht funktioniert und stattdessen ein tun device erforderlich ist. Hauptsache ist aber, dass damit eine IP-Verbindung durch den Tunnel möglich ist. Ich freu mich gerade riesig, dass es jetzt geht!