[Problem] OpenVPN mit ivacy.com

[DoctorUltra]

Ich habe jetzt eine own_conf angelegt, welche Einstellung soll ich verwenden?

 

[MaxMuster]

Die das OpenVPN anlegt, ohne die Einträge für "chroot", "user" und "group" , also z.B.:

grep -E -v '^group|^user|^chroot' /mod/etc/openvpn.conf >  /tmp/flash/openvpn/own_openvpn.conf

(speichern kannst du die mit "modsave flash")

 

[DoctorUltra]

So jetzt habe ich eine Konfig unter /tmp/flash/openvpn angelegt u. es scheint zu funktionieren, nur leider habe ich ein paar Fehler.

1. Die DNS Auflösung funktioniert nicht ich muss immer die IP angeben.
2. Die Route vom Default Gateway funktioniert nicht?

#  OpenVPN 2.1 Config, Sun Oct 27 11:51:22 CET 2013
client #neu
dev tun
proto udp
#remote openvpn.ivacy.com 1194
remote 213.232.200.172 1194
resolv-retry infinite #neu
nobind
persist-key
persist-tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-auth /tmp/flash/openvpn/static.key 1
ns-cert-type server
comp-lzo
verb 3
log /var/tmp/debug_openvpn.out
auth-user-pass /tmp/flash/openvpn/passfile
redirect-gateway
script-security 3
reneg-sec 0
#cd /var/tmp/openvpn
#chroot /var/tmp/openvpn
#user openvpn
#group openvpn
#pull


#alt
#tls-client
#ifconfig 192.168.200.1 192.168.200.2
#tun-mtu 1500
#mssfix
#cipher BF-CBC

Log

Sun Oct 27 12:29:25 2013 OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Oct 16 2013
Sun Oct 27 12:29:25 2013 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Sun Oct 27 12:29:25 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:29:25 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:29:25 2013 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Oct 27 12:29:25 2013 UDPv4 link local: [undef]
Sun Oct 27 12:29:25 2013 UDPv4 link remote: [AF_INET]213.232.200.172:1194
Sun Oct 27 12:29:25 2013 TLS: Initial packet from [AF_INET]213.232.200.172:1194, sid=2038e5d8 c4c620eb
Sun Oct 27 12:29:25 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Oct 27 12:29:26 2013 VERIFY OK: depth=1, C=RU, ST=MR, L=Moscow, O=ivacy.com, CN=ivacy.com CA, [email protected]
Sun Oct 27 12:29:26 2013 VERIFY OK: nsCertType=SERVER
Sun Oct 27 12:29:26 2013 VERIFY OK: depth=0, C=RU, ST=MR, L=Moscow, O=ivacy.com, CN=openvpn.ivacy.com, [email protected]
Sun Oct 27 12:29:30 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 27 12:29:30 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:29:30 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 27 12:29:30 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:29:30 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Oct 27 12:29:30 2013 [openvpn.ivacy.com] Peer Connection Initiated with [AF_INET]213.232.200.172:1194
Sun Oct 27 12:29:32 2013 SENT CONTROL [openvpn.ivacy.com]: 'PUSH_REQUEST' (status=1)
Sun Oct 27 12:29:32 2013 PUSH: Received control message: 'PUSH_REPLY,route 1.0.0.0 255.0.0.0,dhcp-option DNS 1.254.2.2,dhcp-option DNS 1.254.2.3,dhcp-option DOMAIN vpn,explicit-exit-notify 2,route-gateway 1.2.112.1,topology subnet,ping 10,ping-restart 60,ifconfig 1.2.112.109 255.255.252.0'
Sun Oct 27 12:29:32 2013 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: explicit-exit-notify (2.3.2)
Sun Oct 27 12:29:32 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sun Oct 27 12:29:32 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sun Oct 27 12:29:32 2013 OPTIONS IMPORT: route options modified
Sun Oct 27 12:29:32 2013 OPTIONS IMPORT: route-related options modified
Sun Oct 27 12:29:32 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Oct 27 12:29:32 2013 TUN/TAP device tun0 opened
Sun Oct 27 12:29:32 2013 TUN/TAP TX queue length set to 100
Sun Oct 27 12:29:32 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Oct 27 12:29:32 2013 /sbin/ifconfig tun0 1.2.112.109 netmask 255.255.252.0 mtu 1500 broadcast 1.2.115.255
Sun Oct 27 12:29:32 2013 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Sun Oct 27 12:29:32 2013 /sbin/route add -net 1.0.0.0 netmask 255.0.0.0 gw 1.2.112.1
Sun Oct 27 12:29:33 2013 Initialization Sequence Completed

 

[DoctorUltra]

Nach Neustart von der Box schein jetzt alles (DNS u. Default Gateway) zu laufen. Ich werde das mit dem Restart u. selbstständigen Dienstabbrüchen jetzt mal mit der neuen Konstellation beobachten.

Es gab mal einen Befehl per Rudishell, welcher mir aufgelistet hat, was die aktuelle openvpn.conf ist?

Sun Oct 27 12:56:19 2013 OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Oct 16 2013
Sun Oct 27 12:56:19 2013 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Sun Oct 27 12:56:19 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:56:19 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:56:19 2013 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Oct 27 12:56:19 2013 UDPv4 link local: [undef]
Sun Oct 27 12:56:20 2013 UDPv4 link remote: [AF_INET]213.232.200.172:1194
Sun Oct 27 12:56:20 2013 TLS: Initial packet from [AF_INET]213.232.200.172:1194, sid=d11d0bd2 923a42c0
Sun Oct 27 12:56:20 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Oct 27 12:56:20 2013 VERIFY OK: depth=1, C=RU, ST=MR, L=Moscow, O=ivacy.com, CN=ivacy.com CA, [email protected]
Sun Oct 27 12:56:20 2013 VERIFY OK: nsCertType=SERVER
Sun Oct 27 12:56:20 2013 VERIFY OK: depth=0, C=RU, ST=MR, L=Moscow, O=ivacy.com, CN=openvpn.ivacy.com, [email protected]
Sun Oct 27 12:56:27 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 27 12:56:27 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:56:27 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 27 12:56:27 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 27 12:56:27 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Oct 27 12:56:27 2013 [openvpn.ivacy.com] Peer Connection Initiated with [AF_INET]213.232.200.172:1194
Sun Oct 27 12:56:29 2013 SENT CONTROL [openvpn.ivacy.com]: 'PUSH_REQUEST' (status=1)
Sun Oct 27 12:56:30 2013 PUSH: Received control message: 'PUSH_REPLY,route 1.0.0.0 255.0.0.0,dhcp-option DNS 1.254.2.2,dhcp-option DNS 1.254.2.3,dhcp-option DOMAIN vpn,explicit-exit-notify 2,route-gateway 1.2.112.1,topology subnet,ping 10,ping-restart 60,ifconfig 1.2.112.103 255.255.252.0'
Sun Oct 27 12:56:30 2013 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: explicit-exit-notify (2.3.2)
Sun Oct 27 12:56:30 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sun Oct 27 12:56:30 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sun Oct 27 12:56:30 2013 OPTIONS IMPORT: route options modified
Sun Oct 27 12:56:30 2013 OPTIONS IMPORT: route-related options modified
Sun Oct 27 12:56:30 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Oct 27 12:56:30 2013 TUN/TAP device tun0 opened
Sun Oct 27 12:56:30 2013 TUN/TAP TX queue length set to 100
Sun Oct 27 12:56:30 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Oct 27 12:56:30 2013 /sbin/ifconfig tun0 1.2.112.103 netmask 255.255.252.0 mtu 1500 broadcast 1.2.115.255
Sun Oct 27 12:56:30 2013 /sbin/route add -net 213.232.200.172 netmask 255.255.255.255 gw 192.168.10.1
Sun Oct 27 12:56:30 2013 /sbin/route del -net 0.0.0.0 netmask 0.0.0.0
Sun Oct 27 12:56:30 2013 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 1.2.112.1
Sun Oct 27 12:56:30 2013 /sbin/route add -net 1.0.0.0 netmask 255.0.0.0 gw 1.2.112.1
Sun Oct 27 12:56:30 2013 Initialization Sequence Completed

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.232.200.172 192.168.10.1    255.255.255.255 UGH   0      0        0 lan
192.168.10.0    *               255.255.255.0   U     0      0        0 lan
1.2.112.0       *               255.255.252.0   U     0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
1.0.0.0         1.2.112.1       255.0.0.0       UG    0      0        0 tun0
default         1.2.112.1       0.0.0.0         UG    0      0        0 tun0

 

[MaxMuster]

cat /mod/etc/openvpn.conf

 

[DoctorUltra]

Ok Danke.

Müsste doch jetzt eigentlich alles funktionieren oder, weil noch ein Error vorhanden ist, welcher mich ein wenig irritiert?


Sun Oct 27 12:56:30 2013 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: explicit-exit-notify (2.3.2)


Außerdem kann ich immer noch nicht genau sagen, ob die Pakete übe die Box gehen u. wie sieht es mit Clients, welcher an dieser Box angemeldet sind laufen die auch über VPN, weil bei get_ip steht keine IP Adresse?

 

[MaxMuster]

Das mit "explicit-exit-notify" ist o.k. Der Befehl ist "optional" und in der kleinen/eingeschränkten Version auf den Fritzboxen nicht im OpenVPN Binary.

Jetzt sollten alle Pakete durch das VPN laufen, wie du das auf der Box rauskriegst hatten wir schonmal (Beitrag #14), auf dem PC per "tracert" (Windows) oder "traceroute" auf *nix-Systemen.

Du musst aber bedenken, dass nur die Fritzbox beim Provider angemeldet ist. Alle Geräte, die an der Box angeschlossen sind, gehen auch durch das VPN, es wird aber kein Antwort-Paket zurück kommen, weil der VPN-Server nichts über dieses Netz weiß. Um das zu vermeiden könntest du dein (W)LAN hinter der VPN-IP-Adresse verstecken, dafür brauchst du aber "iptables" auf deiner Box und das mit dem "Verstecken" (NAT) geht nur, wenn die Firmware der Fritzbox eine "ältere" ist, die "04" in der Mitte hat. Die neueren (der Art XX.05.YY) funktionieren dafür nicht.

 

[DoctorUltra]

Heißt das, dass die angemeldeten Geräte normal surfen über den Provider u. alles was von der BOX ins Internet geht über VPN?

Das mit traceroute hat aber nicht funktioniert, die Box sagt sie kennt diesen Befehl nicht.

Eigentlich möchte ich gern den kompletten Verkehr von dieser Box tracen, wie mache ich das genau?

Bei Paketen steht bei mir iptables_is_selectable? Ist das in Ordnung?

 

[MaxMuster]

Nein, alles, was die Box routet, routet sie in das VPN. Egal ob von ihr selbst oder von angeschlossenen Geräten.

Wie schon gesagt, das mit dem traceroute hatten wir schon, daher gern auch nochal der Hinweis, dass ich dazu schon in Beitrag #14 was geschrieben habe, wenn deine Box kein traceroute kennt.

Was meist du mit "den Verkehr tracen"? Willst du den mitlesen/"sniffen"? Dafür hat die FB ein Interface (siehe z.B. hier), das funktioniert aber wenn ich mich recht erinnere nicht mit dem tun-Interface. Du könntest aber "tcpdump" für die Box kompilieren und das nutzen.

Das "iptables_is_selectable" sagt nichts darüber aus, ob mit iptables "NAT" möglich wäre. Das hängt (wie geschrieben) an der Firmware-Version.

 

[DoctorUltra]

Ich lade gerade eine große Datei von einen Wlan Geräte, es wird aber nichts vom Volumen des VPN Providers abgezogen, sobald ich aber mit einen Paket von der Box im Internet gehe, dann schon?

 

[MaxMuster]

Geht der Verkehr denn durch diese Fritzbox? Ist also diese Fritzbox, die das VPN aufbaut, das Defaultgateway des Gerätes?

 

[DoctorUltra]

Was zu erwähnen ist, diese Box hängt hinter einer anderen Box, könnte es vielleicht damit zusammen hängen?

 

[MaxMuster]

Siehe die Antwort auf deine Frage hier:

Dazu gibt es mindestens einen recht aktuellen Thread.
Du musst dafür sorgen, dass alles durch die VPN-Box läuft, z.B. indem du sie "die Verbindung selbst aufbauen" lässt. Dabei verlierst du allerdings die Möglichkeit, "normal" die Geräte an der 7141 zu erreichen, weil das Netz der 7390 als "Internet" gilt...

 

[DoctorUltra]

Ok dann stimmt es doch, weil ich die 7141 mit Freetz u. OpenVPN hinter der 7390 betreibe gehen nur die Daten von der 7141 über das VPN, angeschlossene Geräte an der 7141 laufen über die 7390 in das Internet, ist das so korrekt?

 

[MaxMuster]

Das kommt eben darauf an, wie die 7141 verbunden ist. Damit etwas durch das VPN geht, muss es auch IP-/Routing-mäßig durch die 7141 gehen. Dafür muss die 7141 auf "Verbindung selbst aufbauen" stehen (und nicht auf "Verbindung mitbenutzen").

 

[DoctorUltra]

In meinen Fall bedeutet es aber dann, dadurch das ich LAN mitbenutzen eingestellt habe das nur die Verbindung von der Box per VPN läuft und nicht Geräte an der Box? Ich möchte es nur verstehen

 

[MaxMuster]

Ja, das bedeutet das. Bei "Mitbenutzen" ist diese FB wie jeder andere PC in deinem LAN. Wenn du auf deinem PC ein VPN startest, ist das ja auch allen anderen PCs egal; nur dieser kann das VPN nutzen.
Nur wenn du "erzwingst", dass etwas durch diese FB geroutet wird, was mit der o.g. Option für alle an der Box angeschlossenen Geräte erfolgt, dann kann/wird die FB auch "andern" Verkehr durch das VPN routen.

 

[DoctorUltra]

Ok danke, wie kann ich das Zwangstennungsproblem hinbekommen, gibt es dafür eine Lösung

Sun Oct 27 13:20:32 2013 Initialization Sequence Completed
Mon Oct 28 06:18:56 2013 [openvpn.ivacy.com] Inactivity timeout (--ping-restart), restarting
Mon Oct 28 06:18:56 2013 SIGUSR1[soft,ping-restart] received, process restarting
Mon Oct 28 06:18:56 2013 Restart pause, 2 second(s)
Mon Oct 28 06:18:58 2013 Socket Buffers: R=[110592->131072] S=[110592->131072]
Mon Oct 28 06:19:28 2013 RESOLVE: Cannot resolve host address: openvpn.ivacy.com: Name or service not known

Außerdem funktioniert die DNS Auflösung von Servern von der Box nicht, d. h. keine Namensauflösung funktioniert, nur der Ping an die IP-Adresse funktioniert.

Gestern hatte ich mal die Einstellung persist-key und persist-tun entfernt, siehe da VPN läuft nach Log ohne Probleme. Leider verbindet er sich nicht mehr richtig ins Internet.
sobald ich einen Neustart von der Box durchführe läuft alles?

ich verzweifle langsam :-(

 

[MaxMuster]

Die DNS-Problematik könnte (während der Verbindung) daran liegen, dass der Provider keine Anfragen akzeptiert, die nicht von "seinen IPs" sind. Weil die aber während der Verbindung von der VPN-IP kommen, könnte es sein, dass das nicht geht.

Sobald die Verbindung nicht mehr steht, sollte das aber gehen (zumindest, wenn es ohne chroot oder user) ist. Persist-Einstellungen brauchst du mit chroot, weil sonst kein Zugriff möglich ist...

 

[DoctorUltra]

Vielleicht liegt es auch daran das die Zwangstrennung zu schnell wiederverbindet u. die VPN Verbindung auf den Server nicht akzeptiert wird. Hast du vielleicht noch eine Idee was man machen könnte?

Weil nach einen Neustart funktioniert alles wieder?
(Gibt es vielleicht einen Script welchen ich um 07.00 Uhr starten könnte, der einen Reboot durchführt?)

Aber was kann man tun, bzgl. der DNS Problematik. Hat keiner einen Tipp für mich, passen die DNS Push Optionen u. das Routing?
Kann man irgendwie einen anderen DNS z. B. 8.8.8.8 verwenden, was müsste ich da in die Config schreiben?