Raspberry Pi OpenVPN und Pihole

[Art Vandelay]

Hallo Leute,

ich nutze seit Jahren einen Raspberry Pi Modell 1B als OpenVPN Server. Nun habe ich am Wochenende auch Pihole darauf installiert, auf Vorlage dieser Anleitung. Also im Prinzip alles auf default Einstellung gelassen, ausser dass der Pi nun eine statische IP Adresse hat, vorher dynamisch.

Auf jeden Fall funktioniert seit der Pihole Installation und Pi Neustart die OpenVPN Verbindung nicht mehr. Der OpenVPN Dienst laeuft, die Portfreigabe im Router ist unveraendert vorhanden.
Das log des OpenVPN Connect Client auf dem Android Smartphone meldet
Server poll timeout, trying next remote entry

Ein Wechsel von statischer auf dynamische IP des Pi habe ich vor einigen Wochen erst durchgefuehrt, da gab es keine Probleme mit der VPN Verbindung.

Wo koennte ich noch schauen was die Ursache dafuer sein kann?
Bzw. was macht die Pihole Installation was OpenVPN in die Quere kommen koennte?

Vielen Dank schon einmal.

 

[meph!sto]

Der RPi 1B ist schon ziemlich schwach.
Was sagt denn ein "top" zur Prozessauslastung ?

 

[Tranceport]

Moin!
Ich vermute mal, dass es mit DNS zu tun hat, da pihole im Endeffekt nur ein DNS-Server mit speziellen Einträgen ist, der Werbedomains nicht auflöst, sondern ins Leere laufen lässt. Weiter kann ich aber leider auch nicht helfen ;-)

 

[sOuLjA4eVeR]

Ich würde erstmal grundlegend prüfen ob eine Verbindung möglich wäre, schau mal mittels "netstat -tulpen" ob der OpenVPN Dienst auch auf der gewünschten IP lauscht. Einfach um sicher zu sein, dass er nicht auf localhost (127.0.0.1) gebunden ist.

Wenn da alles passt, dann würde ich auf dem Pi mal ein "tcpdump -nn -i any port 1194" laufen lassen und schauen ob entsprechende Pakete ankommen wenn du dich mit deinem Smartphone verbinden willst. Port 1194 ggf. ändern falls du einen anderen nutzt.

Evtl. muss noch ein "sudo" vor die beiden Befehle gesetzt werden...

Wenn da nichts ankommt, dann hängt es schon vorne weg (Router, evtl. falsche IP hinter Dyndns Adresse etc).

Ansonsten, einfach mal den Router neustarten. Eigentlich sollte da nichts sein, aber ich hatte zumindest mit einer Fritzbox schon den Fall, dass die Portfreigaben zwar eingetragen waren aber plötzlich nicht gegriffen haben.

Um evtl. noch DNS Probleme auszuschließen, würde ich (falls die generelle "Einwahl" funktioniert), einfach versuchen IPs im Heimnetz zu erreichen, die DNS Namen vorerst nicht verwenden.


Ahja, mal so am Rande, würde vorschlagen eher auf Wireguard statt OpenVPN zu setzen, ist nicht nur einfacher zu konfigurieren, sondern würde dir selbst auf dem Pi1 deutlich mehr Bandbreite bieten. Schon alleine weil Wireguard keine CPU mit AES-NI benötigt um performant zu arbeiten.

 

[Art Vandelay]

Der RPi 1B ist schon ziemlich schwach.
Was sagt denn ein "top" zur Prozessauslastung ?

Schwach klar, aber hat bisher immer gereicht. Auch pihole macht jetzt keinen zu schwaechlichen Eindruck. Hab den pi grade nicht im Zugriff, aber die Auslastung laut der Pihole Webgui war um die 20%. Also alles noch im Rahmen.

Danke an den Rest fuer die schnellen Antworten, ich werde das mal abarbeiten.

 

[wahli]

Prüfe mal, ob deine IP Adresse zur DynDNS-Adresse passt.
Das ist deine öffentliche IP: https://www.wieistmeineip.de/
Und dann machst du mal auf Kommandozeile "nslookup" und gib deine DynDNS-Adresse ein. Hier sollte dann die öffentliche IP angezeigt werden.

 

[n1tro666]

Möglicherweise war bereits von Anfang an der Fehler, OpenVPN mit dynamischer IP zu betreiben.
Üblicherweise gehört sowas statisch, aber egal - kann man ja im nachhinein ändern.
Allerdings wenn Pi-Hole hinterher installiert wird und nur die default settings, dann kann es
nicht funktionieren. Zumindest muss jezt die statische IP eingetragen sein überall,
und zusätzlich noch ein kleines script über dnsmasq.d mitstarten. Die listen-address muss angepasst
werden. Und zwar das dnsmasq auf localhost, statische IP des PiHole und OpenVPN (meist 10.8.0.1)
lauscht. Auch /etc/openvpn/server.conf muss angepasst werden.
Weitere anlaufstelle wäre dann noch dhcpcd.conf.

 

[R O G E R]

Also ich nutze meinen Pi2 auch mit PiHole und PiVPN (Wireguard) ohne Probleme.
Aber es wurde zuerst das PiHole installiert und danach das PiVPN.
https://github.com/pivpn/pivpn

Schau dir das mal an, OpenVPN ist ja schnarch langsam mit dem Pi. Hatte ich auch mal ausprobiert. Aber mehr als 1Mbit, war da nicht drin.
Jetzt mit Wireguard komme ich an meine Uploadgrenze von 10MBit.

 

[Art Vandelay]

Also ich nutze meinen Pi2 auch mit PiHole und PiVPN (Wireguard) ohne Probleme.
Aber es wurde zuerst das PiHole installiert und danach das PiVPN.
https://github.com/pivpn/pivpn

Schau dir das mal an, OpenVPN ist ja schnarch langsam mit dem Pi. Hatte ich auch mal ausprobiert. Aber mehr als 1Mbit, war da nicht drin.
Jetzt mit Wireguard komme ich an meine Uploadgrenze von 10MBit.

Ich habe schon einen pi 4b zuhause und will die ganzen Dienste langfristig auch eher dort ansiedeln. Wireguard haette ich in diesem Zusammenhang dann auch mal getestet. Danke schon mal fuer den Tipp, dass es damit besser laeuft.
Aber es interessiert mich einfach woher meine Probleme nun kommen und wie ich sie wieder behebe.

 

[n1tro666]

Aber es interessiert mich einfach woher meine Probleme nun kommen und wie ich sie wieder behebe.

Hatte ich bereits weiter oben beschrieben.
Sämtliche .conf durchgehen und entsprechend anpassen.

 

[wahli]

Ich habe auch PiVPN ohne Probleme am laufen und das ist auch performant (auf meinem Pi 3b+).
Deinstalliere OpenVPN und installiere anschließend PiVPN. Dann passen auch gleich alle Einstellungen bzgl. statischer IP.

 

[Art Vandelay]

Ich würde erstmal grundlegend prüfen ob eine Verbindung möglich wäre, schau mal mittels "netstat -tulpen" ob der OpenVPN Dienst auch auf der gewünschten IP lauscht. Einfach um sicher zu sein, dass er nicht auf localhost (127.0.0.1) gebunden ist.

Wenn da alles passt, dann würde ich auf dem Pi mal ein "tcpdump -nn -i any port 1194" laufen lassen und schauen ob entsprechende Pakete ankommen wenn du dich mit deinem Smartphone verbinden willst. Port 1194 ggf. ändern falls du einen anderen nutzt.

Vielen Dank für deine Vorschläge, muss ich mir merken!

netstat -tulpen passt:

udp 0 0 0.0.0.0:1194 0.0.0.0:* 0 106209 19087/openvpn

"tcpdump -nn -i any port 1194"
bringt keine eingehenden Pakete

Prüfe mal, ob deine IP Adresse zur DynDNS-Adresse passt.

passt, dyndns managed auch die Fritzbox, damit gab es noch nie Probleme bisher.

Möglicherweise war bereits von Anfang an der Fehler, OpenVPN mit dynamischer IP zu betreiben.
Üblicherweise gehört sowas statisch, aber egal - kann man ja im nachhinein ändern.
Allerdings wenn Pi-Hole hinterher installiert wird und nur die default settings, dann kann es
nicht funktionieren. Zumindest muss jezt die statische IP eingetragen sein überall,
und zusätzlich noch ein kleines script über dnsmasq.d mitstarten. Die listen-address muss angepasst
werden. Und zwar das dnsmasq auf localhost, statische IP des PiHole und OpenVPN (meist 10.8.0.1)
lauscht. Auch /etc/openvpn/server.conf muss angepasst werden.
Weitere anlaufstelle wäre dann noch dhcpcd.conf.

Der pi hatte anfangs auch eine statische Adresse, dann habe ich zuletzt den Speedport Router gegen eine Fritzbox ersetzt, daher die damals mal statische IP gegen DHCP ersetzt und festgestellt, dass openvpn auch damit läuft, ohne etwas an der Konfig ändern zu müssen.
Deinem restlichen Post kann ich leider nicht ganz folgen, muss ich mich mal einlesen.

 

[n1tro666]

Vielleicht auch testweise an/auf einem client (also das smartphone zb) in der vpn-config eine route setzen.
Die IP des Pi-Hole und dann aber als subnetzmaske 255.255.255.255 probieren,
anstatt 255.255.255.0 .

Irgendwo fehlt eine Route seitens des clients und der IP, und auf dem vpnserver das Gegenstück
wohin er leitet und wo er lauscht. Schwer zu erklären..

Das Ziel soll doch sein, mobil wenn unterwegs mit smartphone, mittels vpn und mobiler Datenübertragung nach hause auf den server und dort dienste nutzen zb den werbeblocker?

In diesem Blog ist viel erklärt.

 

[Art Vandelay]

Der Werbeblocker ist jetzt grade erst neu für mich, mal sehen was ich mit pihole so alles anfangen kann. Primär wichtig ist für mich eher das VPN zum Zugriff auf lokale Ressourcen.

@n1tro666: Vielen Dank für die Aufklärung.
Ich habe das ganze dann nun doch recht pragmatisch gelöst und wie vorgeschlagen openvpn deinstalliert und pivpn mit wireguard installiert. Scheint auch bisher zu klappen, mal sehen wie es die kommenden Tage läuft.

 

[Art Vandelay]

Schau dir das mal an, OpenVPN ist ja schnarch langsam mit dem Pi. Hatte ich auch mal ausprobiert. Aber mehr als 1Mbit, war da nicht drin.
Jetzt mit Wireguard komme ich an meine Uploadgrenze von 10MBit.

Nur mal am Rande, ich habe gestern unterwegs vom Android Smartphone aus im Telekom LTE Netz mal getestet. Mein Pi 4 mit OpenVPN bekommt 10mbit up und down hin. Der Pi1b, jetzt neu mit Wireguard schafft identische Werte, ca. 10mbit up & down. Ich spreche die beiden Pi's über den gleichen DYNDNS Namen an.
Also ich sehe keinerlei Geschwindigkeitsvorteil von Wireguard gegenüber OpenVPN. Aber ich gebe zu, dass die Konfiguration von Wireguard mittels pivpn eine flotte Geschichte ist und werde dabei bleiben.

 

[R O G E R]

Ja der Pi4 hat wesentlich mehr Leistung als der 1 oder 2er Pi

 

[flow87]

Nur mal am Rande, ich habe gestern unterwegs vom Android Smartphone aus im Telekom LTE Netz mal getestet. Mein Pi 4 mit OpenVPN bekommt 10mbit up und down hin. Der Pi1b, jetzt neu mit Wireguard schafft identische Werte, ca. 10mbit up & down. Ich spreche die beiden Pi's über den gleichen DYNDNS Namen an.
Also ich sehe keinerlei Geschwindigkeitsvorteil von Wireguard gegenüber OpenVPN. Aber ich gebe zu, dass die Konfiguration von Wireguard mittels pivpn eine flotte Geschichte ist und werde dabei bleiben.

Verstehe ich es richtig, dass die VPN Geschwindigkeit von pi1b und pi4 identisch ist? Wie sieht es mit dem pi Zero aus?

 

[Art Vandelay]

Würde ich jetzt pauschal nicht so unterschreiben, bei mir konnte ich diesen Vergleich jedoch genau so machen. Mittlerweile ist mein Raspberry Pi 4 platt gemacht und kann kein openVPN mehr um den Vergleich zu wiederholen.