Connection Refused (Code=111)

Das schwierige Thema VPN!
Post Reply
robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Connection Refused (Code=111)

Post by robotnikz » June 27th, 2018, 5:11 pm

Hallo zusammen,

ich habe mir das OpenVPN eingerichtet und die Daten auf mein Android Handy kopiert. Mihilfe von von der OpenVPN App will ich zur IPFire verbinden, ich bekomme aber die Fehlermeldung read DUP [ECONNREFUSED]: Connection refused (code=111). Was die Fehlermeldung besagt ist mir bewusst, ich verstehe nur nicht wieso ich nicht connecten kann. Die DyNDNS wird korrekt aufgelöst. Zudem habe ich alle möglichen Firewallregeln versucht. Bisher bin ich nicht auf eine Lösung gekommen. Was mir aufgefallen ist..wenn ich auf "Änderungen speichern" gehe in den Firewall regeln und ich in diesem Moment per VPN connecte bekomme ich eine Verbinbdung.

Weiß jemand was ich falsch mache? Ich weiß nicht mehr weiter :-/
Danke und Gruß
Image

5p9
Mentor
Mentor
Posts: 1782
Joined: May 1st, 2011, 3:27 pm

Re: Connection Refused (Code=111)

Post by 5p9 » June 28th, 2018, 4:56 am

Morgen,

hast du vor der Ipfire noch einen Router hängen und Portforward eingerichtet? Hast du anstatt UDP einmal TCP als VPN-Protokoll verwendet. Ist dein VPN Port unique. Wie sehen deine VPN-Regeln denn aus?

VG, 5p9

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » June 28th, 2018, 5:24 pm

Hallo 5p9,

ich habe vor der Fire eine Fritzbox 7490. Die IpFire ist als Exposed Host eingestellt. TCP habe ich noch nicht ausprobiert. Bei den Firewallregeln habe ich alles mögliche durchprobiert. Ich finde den richtigen Ansatz nicht. Wie sieht denn eine Regeln aus wenn sie richtig erstellt ist wenn ich von Rot zugriefen möchte? Rot auf OpenVPN oder OpenVPN auf firewall (rot) ?! Hm..
Image

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » July 5th, 2018, 3:12 pm

Kann mir bitte jemand seine Firewall Regeln posten für den OpenVPN zugriff auf die Ipfire? Ich bin kurz davor auf PFSense umzusteigen, ich bekomme es einfachn icht zum laufen. Der Zugriff aus BLAU per VPN klappt tadellos. Hab die FORWARD auf geblockt stehen.
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Connection Refused (Code=111)

Post by ummeegge » July 6th, 2018, 4:41 am

Hallo robotnikz,
zu Testzwecken würde ich erstmal die FORWARD FW aufmachen und schauen ob sich der Client dann verbinden kann. Wenn das hingehauen solltest du dir zum Firewallen im OpenVPN unter dem Tab "Statische IP-Adressen-Pools" --> https://wiki.ipfire.org/configuration/s ... /static_ip ein Netzwerk aufmachen was du deinem Client dann zuteilen kannst. Screenshoot könnte z.b. so aussehen:
Image
(nicht den dynamischen Bereich auswählen sondern darunter).

Wenn das erledigt ist findest du den Client auch in den Firewall Menüs z.b.:
Image

Nun gibst du den Client als "Quelle" an und das "Ziel" wohin er darf, "Standart Netzwerk: --> Alle" wäre überall hin "Protokoll --> Alle" wäre alle Services die du im LAN Anbietest.

Ohne geschlossene FORWARD FW und Zugriffsbeschränkung müsstest du eine ACCEPT Regel erstellen und danach eine Regel die den Rest DROPt oder REJECTed z.b.:
Image

Mit geschlossener FORWARD FW reicht eine Regel die den Traffic definiert der erlaubt sein soll z.b.:
Image

Kannst ja mal schauen ob das so hinhaut. Wenn nicht check die Logs (OpenVPN und Firewall) und poste gegebenfalls potentielle Probleme.

Grüsse,

UE
Image
Image
Image

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » July 7th, 2018, 7:59 am

Danke für deine Hilfe, genau so habe ich alles (nach wiki) eingerichtet. Trotzdem erhalte ich am Smartphone sowie an einem anderen entfernten PC die im Betreff genannte Meldung. OpenVPN über BLAU funktioniert tadellos. Habe auch den DynDNS Service ausgeschlossen, bei direkter Eingabe meiner IP erscheint die gleiche Fehlermeldung. TCP und UDP habe ich probiert. Firewallregel(n) habe ich erstellt. Im OpenVPN Log steht leider nichts, nur das Zeug über den Serverstart.

09:40:31 openvpnserver[27802]: Initialization Sequence Completed
09:40:31 openvpnserver[27802]: IFCONFIG POOL LIST
09:40:31 openvpnserver[27802]: IFCONFIG POOL: base=10.14.243.4 size=62, ipv6=0
09:40:31 openvpnserver[27802]: MULTI: multi_init called, r=256 v=256
09:40:31 openvpnserver[27802]: UID set to nobody
09:40:31 openvpnserver[27802]: GID set to nobody
09:40:31 openvpnserver[27802]: UDPv4 link remote: [AF_UNSPEC]
09:40:31 openvpnserver[27802]: UDPv4 link local (bound): [AF_INET][undef]:1194
09:40:31 openvpnserver[27802]: Socket Buffers: R=[212992->212992] S=[212992->212992]
09:40:31 openvpnserver[27802]: Could not determine IPv4/IPv6 protocol. Using AF_INET
09:40:31 openvpnserver[27802]: /sbin/ip route add 10.14.243.0/24 via 10.14.243.2
09:40:31 openvpnserver[27802]: /sbin/ip route add 192.168.34.0/24 via 10.14.243.2
09:40:31 openvpnserver[27802]: /sbin/ip route add 192.168.33.0/24 via 10.14.243.2
09:40:31 openvpnserver[27802]: /sbin/ip addr add dev tun0 local 10.14.243.1 peer 10.14.243.2
09:40:31 openvpnserver[27802]: /sbin/ip link set dev tun0 up mtu 1500
09:40:31 openvpnserver[27802]: do_ifconfig, tt->did_ifconfig_ipv6_setup=0
09:40:31 openvpnserver[27802]: TUN/TAP TX queue length set to 100
09:40:31 openvpnserver[27802]: TUN/TAP device tun0 opened
09:40:31 openvpnserver[27802]: ROUTE_GATEWAY 192.168.178.1/255.255.255.0 IFACE=red0 HWADDR=64:d1:a3:4f:bf:70
09:40:31 openvpnserver[27802]: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
09:40:31 openvpnserver[27802]: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
09:40:31 openvpnserver[27802]: Diffie-Hellman initialized with 1024 bit key
09:40:31 openvpnserver[27802]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
09:40:31 openvpnserver[27801]: library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.09
09:40:31 openvpnserver[27801]: OpenVPN 2.4.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINF O] [AEAD] built on Apr 27 2018
09:39:38 openvpnserver[6651]: SIGTERM[hard,] received, process exiting
09:39:38 openvpnserver[6651]: Linux ip addr del failed: external program exited with error status: 2
09:39:38 openvpnserver[6651]: /sbin/ip addr del dev tun0 local 10.14.243.1 peer 10.14.243.2
09:39:38 openvpnserver[6651]: Closing TUN/TAP interface
09:39:38 openvpnserver[6651]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
09:39:38 openvpnserver[6651]: /sbin/ip route del 10.14.243.0/24
09:39:38 openvpnserver[6651]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
09:39:38 openvpnserver[6651]: /sbin/ip route del 192.168.34.0/24
09:39:38 openvpnserver[6651]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
09:39:38 openvpnserver[6651]: /sbin/ip route del 192.168.33.0/24
09:39:38 openvpnserver[6651]: event_wait : Interrupted system call (code=4)

Das ist alles. Warum um Himmels Willen lehnt er die Verbindung ab und was haben die letzten Zeilen zu bedeuten? Ist hier der Fehler zu suchen? hmm :-(
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Connection Refused (Code=111)

Post by ummeegge » July 7th, 2018, 9:49 am

Hi,
eine Verbindung stellt er her "Initialization Sequence Completed" und springt dann aber wieder in den Verbindungsaufbau rein, er startet auch nicht mit der Verschlüsselung weder Control channel noch Data Channel auch kein Verify (nur Control Channel Authentication ta.key).
Ich hätte mal zwei Ideen:
1) Mach dir einen Diffie-Hellman Parameter mit 2048 Bit --> https://wiki.ipfire.org/configuration/s ... upload_gen über den Fire oder auf einer externen Maschine mittels

Code: Select all

openssl dhparam -out dh.pem 2048
und lade ihn dir dann über das Webinterface hoch.

2) Hast du bei der Client Zertifikatserstellung in das Feld "Gültig bis (days):" was eingetragen ? Mach das ansonsten mal und lade dir das neue Clientzertifikat runter und verteil es, da das neue OpenSSL ein leeres Feld da nicht mehr akzeptiert.

Dann bitte nochmal die Logs checken und gegebenenfalls posten.

UE
Image
Image
Image

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » July 7th, 2018, 10:48 am

Hi,

haben den DH Parameter mit 2048 bit erstellt. Beim Client Zertfikat habe ich alles ausgefüllt, auch die Dauer der Gültigkeit (300).
Anhängend das Log. Fehlermeldung Code=111 bleibt nach wie vor.

12:41:33 openvpnserver[8190]: Initialization Sequence Completed
12:41:33 openvpnserver[8190]: IFCONFIG POOL LIST
12:41:33 openvpnserver[8190]: IFCONFIG POOL: base=10.14.243.4 size=62, ipv6=0
12:41:33 openvpnserver[8190]: MULTI: multi_init called, r=256 v=256
12:41:33 openvpnserver[8190]: UID set to nobody
12:41:33 openvpnserver[8190]: GID set to nobody
12:41:33 openvpnserver[8190]: UDPv4 link remote: [AF_UNSPEC]
12:41:33 openvpnserver[8190]: UDPv4 link local (bound): [AF_INET][undef]:1194
12:41:33 openvpnserver[8190]: Socket Buffers: R=[212992->212992] S=[212992->212992]
12:41:33 openvpnserver[8190]: Could not determine IPv4/IPv6 protocol. Using AF_INET
12:41:33 openvpnserver[8190]: /sbin/ip route add 10.14.243.0/24 via 10.14.243.2
12:41:33 openvpnserver[8190]: /sbin/ip route add 192.168.34.0/24 via 10.14.243.2
12:41:33 openvpnserver[8190]: /sbin/ip route add 192.168.33.0/24 via 10.14.243.2
12:41:33 openvpnserver[8190]: /sbin/ip addr add dev tun0 local 10.14.243.1 peer 10.14.243.2
12:41:33 openvpnserver[8190]: /sbin/ip link set dev tun0 up mtu 1500
12:41:33 openvpnserver[8190]: do_ifconfig, tt->did_ifconfig_ipv6_setup=0
12:41:33 openvpnserver[8190]: TUN/TAP TX queue length set to 100
12:41:33 openvpnserver[8190]: TUN/TAP device tun0 opened
12:41:33 openvpnserver[8190]: ROUTE_GATEWAY 192.168.178.1/255.255.255.0 IFACE=red0 HWADDR=64:d1:a3:4f:bf:70
12:41:33 openvpnserver[8190]: Diffie-Hellman initialized with 2048 bit key
12:41:33 openvpnserver[8190]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
12:41:33 openvpnserver[8189]: library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.09
12:41:33 openvpnserver[8189]: OpenVPN 2.4.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINF O] [AEAD] built on Apr 27 2018
12:32:33 openvpnserver[2499]: SIGTERM[hard,] received, process exiting
12:32:33 openvpnserver[2499]: Linux ip addr del failed: external program exited with error status: 2
12:32:33 openvpnserver[2499]: /sbin/ip addr del dev tun0 local 10.14.243.1 peer 10.14.243.2
12:32:33 openvpnserver[2499]: Closing TUN/TAP interface
12:32:33 openvpnserver[2499]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
12:32:33 openvpnserver[2499]: /sbin/ip route del 10.14.243.0/24
12:32:33 openvpnserver[2499]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
12:32:33 openvpnserver[2499]: /sbin/ip route del 192.168.34.0/24
12:32:33 openvpnserver[2499]: ERROR: Linux route delete command failed: external program exited with error sta tus: 2
12:32:33 openvpnserver[2499]: /sbin/ip route del 192.168.33.0/24
12:32:33 openvpnserver[2499]: event_wait : Interrupted system call (code=4)
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Connection Refused (Code=111)

Post by ummeegge » July 8th, 2018, 9:12 am

Hi,
bin bis jetzt noch nicht dahintergekommen wo dein Problem liegt, im Netz finden sich da ähnlich Logs (code=4) z.b. eben bei PFsense --> https://forum.netgate.com/topic/38407/g ... ungsaufbau . Wenn du dich vom Wlan her verbinden kannst aber vom WAN her nicht stimmt da was mit deiner Netzwerk Konfig/Verbindung in dem Bereich nicht.
Zum Code=4 findet sich was im OpenVPN Forum --> https://forums.openvpn.net/viewtopic.php?t=17083 was auch auf ein Netzwerkproblem (Server/Client connection lost) hinweist. Firewall lässt sich ausschliessen da du auch ohne blockierte FORWARD probiert hast ??

Wie sieht denn das Client Log aus ?

UE
Image
Image
Image

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » July 8th, 2018, 1:55 pm

Ich habe den Fehler gefunden. Ich habe eine Firewall Regel ROT -> DNAT (Autoamtisch) -> 192.168.30.5 (meine Nextcloud in ORANGE)

Wenn ich diese Regel deaktiviere funzt mein openVPN, aktiviere ich Sie bekomme ich die gewohnte Fehlermeldung.

Eine einfache ROT -> ORANGE Regel funktioniert nicht, dann habe ich keinen Zugriff von ROT auf meine Nextcloud. Was kann ich hier tun damit beides funktioniert? ::/
Image

robotnikz
Posts: 15
Joined: January 19th, 2018, 9:20 am

Re: Connection Refused (Code=111)

Post by robotnikz » July 11th, 2018, 6:18 am

Also wenn ich diese Regel für den Zugriff auf meine Nextcloud von ROT aktiv habe geht die Verbindung von ROT zu OpenVPN nicht. Sobald ich diese Regel deaktivere funktioniert der OpenVPN Zugang.

Image


Image


Ich denke dass es daran liegt dass mein OpenVPN client durch die Regel auf der IPFire direkt zur Nextcloud weitergeleitet wird oder? Wie kann man das denn sonst lösen? Eine Einfache Freigabe der Nextcloud in Orange mit einer Regel Rot -> Orange -> allow funktioniert nicht. Der Zugriff auf ORANGE funktioniert nur mit dem DNAT :-/
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Connection Refused (Code=111)

Post by ummeegge » July 15th, 2018, 5:10 am

Hi,
probier mal als Quelle anstatt 'Rot' 'Alle' zu nehmen.

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest