Raar probleem met OpenVPN op de Mac(BookPro)

[Tim__]

Hoi allen,


OpenVPN werkt op mijn iPhone, iMac, MacBookAir, iPad(s) en een Android device. Ik kan overal zonder problemen inloggen met hetzelfde OpenVPN certificaat op mijn Synology waar de OpenVPN server draait.


Ik heb echter met 1 toestel, een MacBookPro, problemen met OpenVPN op de Synology. Ik krijg verbinding (incl. internet IP) maar kan via die verbinding het internet niet op.


Wanneer ik verbind via L2TP VPN op de MacBookPro met de Synology dan kan ik wel op internet.


De settings van OpenVPN op de Synology en dus ook het certificaat zijn voor alle toestellen hetzelfde, idem voor de clients. Ook de settings met default gateway en dns settings zijn dezelfde. Het uitschakelen van de firewall op de MacBookPro mocht ook niet helpen... wie weet raad?

[Briolet]

Ik ben sinds gisteren aan het experimenteren met OpenVPN op mijn MacBook Pro onder Mavericks.

Ik had een vergelijkbaar probleem. In de eerste settings stond 'redirect gateway' niet aan en dan is het logisch dat je kunt internetten. 

Bij het aanzetten werkte bij mij het internetverkeer ook niet meer. Wel hoorde ik dat mijn tablet aan de andere kant van de kamer constant pushmessages van de nas kreeg. 
Er kwamen extreem veel syslog messages binnen die het alarm triggerden. Die logmessages bekijkend, bleek dat de firewall in mijn router de verbinding steeds onderbrak op grond van 'fragmented packages'. De verzender van die pakketten is steeds de nas en de ontvanger de WifiSpot waar ik op zit. Dus ligt de bron van de fragmentatie bij de nas.
Ik kan die optie in de firewall van de router natuurlijk uit zetten, maar dan wordt hij weer kwetsbaar voor een bewuste aanval met gefragmenteerde pakketten.

Ik zal vanavond nog wat meer testen doen. b.v. of een MTU test bij het opzetten van een verbinding helpt. (Bij een eerste poging lijkt het echter geen effect te hebben)

[Briolet]

Ik ben inmiddels op internet aan het zoeken geweest en vind juist adviezen andersom. OpenVPN maakt de datapakketjes langer waardoor ze plots groter kunnen worden dan de MTU waardoor data wegvalt bij de overdracht. Aan de server-zijde kun je via code instellen vanaf welke grootte hij de pakketjes moet fragmenteren om beneden de MTU te blijven.

Blijkbaar lukt het OpenVPN niet de pakketjes te hergroeperen en bij de ontvanger weer terug te vormen, zonder dat fragmentatie nodig is. Bij de andere twee VPN methoden heb ik nog nooit last van die IP pakket fragmentatie gehad.

Het probleem van fragmentatie speelt niet als ik mijn andere mac's via OpenVPN benader, maar wel als ik shares op de nas benader, of als ik, via de nas, op het internet browse.

Als je de firewall regel in de router uitzet is het probleem natuurlijk ook voorbij.

Dan vraag ik me af waarom dit nooit eerder een issue was bij OpenVPN gebruikers. Volgens mij staat bij alle Ziggo routers deze blokkade regel per default aan in de firewall. Dat is dus al een flink percentage van de NAS bezitters. Maar als ik op dit forum zoek op het woord "Fragmented", dan krijg ik maar twee treffers en die gaan niet over VPN?

Code: [Selecteer]

Systeemlogboeken
Datum,Tijd,Niveau,Hostnaam,Categorie,Programma,Berichten
2014-09-01,18:41:15,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,29710 --> 62.145.206.184,13391 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:41:15,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,1194 --> 62.145.206.184,55018 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:41:15,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,2020 --> 62.145.206.184,53217 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:41:15,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,1194 --> 62.145.206.184,55018 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:41:04,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,9256 --> 62.145.206.184,19278 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:41:04,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,1194 --> 62.145.206.184,55018 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:40:59,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,23167 --> 62.145.206.184,62503 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:40:59,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,1194 --> 62.145.206.184,55018 DENY: Inbound or outbound [IP Fragmented Packet] attack "
2014-09-01,18:40:58,alert,4,1,4,"[Host 10.0.1.1] UDP 10.0.1.30,51559 --> 62.145.206.184,52129 DENY: Inbound or outbound [IP Fragmented Packet]

[Ben(V)]

Wel vreemd dat het alleen met een macbook gebeurd.
Heb je soms jumbo frames daar aan staan?

[Briolet]

Jumbo frames hebben weinig nut op een wireless apparaat. 

Dat het alleen op de MacBook gebeurd kan ik niet zeggen, maar het heeft geen nut dat ik VPN op mijn vaste apparaten gebruik, dus daar zie je het probleem niet.
En bij vreemden wil ik geen OpenVPN installeren maar ik verwacht eigenlijk dat het ook vanaf een vaste PC gebeurd.