OpenVPN-Paket

[MaxMuster]

Hermann hat das schon sehr gut beantwortet, zu 3. kann ich noch sagen (obwohl ich ja eigentlich kein absoluter Bridging Fan bin), wenn du nur mit einem PC mal eben "in dein heimisches Netz" willst, da wäre das Bridging für dich schon o.k., gerade weil man es damit dann mit Windows-Freigaben, -Namen usw, (halt alles, wovon mal in Redmont meint, jeder im Netz sollte das auch wissen ;-)) deutlich einfacher hat.
Aber natürlich kann auch ich die die OpenVPN-Seite (oder auch die Boardeigenen Wikis ) dazu nur ans Herz legen, um zu sehen wie es geht...

Jörg

 

[Invader2004]

[Gelöst] Openvpn Multiclient Code=148 Problem Paketfilter??

kriegaex: aus eigenem Thread hierher verschoben samt den beiden folgenden Antworten.

Hi Leute,

ich habe einen Multiclient Server aufgesetzt. Wenn ich mit einem Windows Client der Server kontaktiere funktioniert alles einwandfrei. Ein Client (Speedport W701V) gemodet, funktioniert der Connect leider nicht. Die Configs sind bei den Windows sowie dem Speedport gleich. Natürlich andere Zertifikate.

Server Logfile

Sun Sep  9 17:06:20 2007 us=339953 OpenVPN 2.1_rc4 mipsel-linux [SSL]
[LZO2] [EPOLL] built on Aug 11 2007
Sun Sep  9 17:06:20 2007 us=607084 Diffie-Hellman initialized with 1024
bit key
Sun Sep  9 17:06:20 2007 us=631884 TLS-Auth MTU parms [ L:1542 D:138
EF:38 EB:0 ET:0 EL:0 ]
Sun Sep  9 17:06:20 2007 us=646419 TUN/TAP device tun1 opened
Sun Sep  9 17:06:20 2007 us=648243 TUN/TAP TX queue length set to 100
Sun Sep  9 17:06:20 2007 us=649619 /sbin/ifconfig tun1 10.8.0.1
pointopoint 10.8.0.2 mtu 1500
Sun Sep  9 17:06:21 2007 us=203789 /sbin/route add -net 10.8.0.0 netmask
255.255.255.0 gw 10.8.0.2
Sun Sep  9 17:06:21 2007 us=274020 Data Channel MTU parms [ L:1542
D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep  9 17:06:21 2007 us=275362 Socket Buffers: R=[110592->131072]
S=[110592->131072]
Sun Sep  9 17:06:21 2007 us=276455 UDPv4 link local (bound): [undef]:443
Sun Sep  9 17:06:21 2007 us=277453 UDPv4 link remote: [undef]
Sun Sep  9 17:06:21 2007 us=278808 MULTI: multi_init called, r=256 v=256
Sun Sep  9 17:06:21 2007 us=280900 IFCONFIG POOL: base=10.8.0.4 size=62
Sun Sep  9 17:06:21 2007 us=282996 Initialization Sequence Completed
Sun Sep  9 17:06:25 2007 us=519951 MULTI: multi_create_instance called
Sun Sep  9 17:06:25 2007 us=521097 84.129.224.59:2052 Re-using SSL/TLS
context
Sun Sep  9 17:06:25 2007 us=585293 84.129.224.59:2052 LZO compression
initialized
Sun Sep  9 17:06:25 2007 us=706097 84.129.224.59:2052 Control Channel
MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Sep  9 17:06:25 2007 us=707240 84.129.224.59:2052 Data Channel MTU
parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep  9 17:06:25 2007 us=709058 84.129.224.59:2052 UDPv4 READ [14]
from 84.129.224.59:2052: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0
DATA len=0
Sun Sep  9 17:06:25 2007 us=710334 84.129.224.59:2052 TLS: Initial
packet from 84.129.224.59:2052, sid=f49502f1 7716d4f9
Sun Sep  9 17:06:25 2007 us=712816 84.129.224.59:2052 UDPv4 WRITE [26]
to 84.129.224.59:2052: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0
DATA len=0
Sun Sep  9 17:06:25 2007 us=795743 read UDPv4 [EHOSTUNREACH]: No route
to host (code=148)
Sun Sep  9 17:06:27 2007 us=699597 84.129.224.59:2052 UDPv4 READ [14]
from 84.129.224.59:2052: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0
DATA len=0
Sun Sep  9 17:06:27 2007 us=700776 84.129.224.59:2052 UDPv4 WRITE [26]
to 84.129.224.59:2052: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0
DATA len=0
Sun Sep  9 17:06:27 2007 us=784390 read UDPv4 [EHOSTUNREACH]: No route
to host (code=148)
Sun Sep  9 17:06:29 2007 us=886554 84.129.224.59:2052 UDPv4 READ [14]
from 84.129.224.59:2052: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0
DATA len=0
Sun Sep  9 17:06:29 2007 us=888274 84.129.224.59:2052 UDPv4 WRITE [26]
to 84.129.224.59:2052: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0
DATA len=0
Sun Sep  9 17:06:29 2007 us=975691 read UDPv4 [EHOSTUNREACH]: No route
to host (code=148)
Sun Sep  9 17:06:29 2007 us=990600 event_wait : Interrupted system call
(code=4)
Sun Sep  9 17:06:29 2007 us=996499 TCP/UDP: Closing socket
Sun Sep  9 17:06:29 2007 us=997270 /sbin/route del -net 10.8.0.0 netmask
255.255.255.0
Sun Sep  9 17:06:30 2007 us=64066 Closing TUN/TAP interface
Sun Sep  9 17:06:30 2007 us=136165 SIGINT[hard,] received, process exiting

Client Speedport

/var/mod/root $ openvpn --config /var/tmp/nansen.ovpn --verb 8
Sun Sep  9 17:06:25 2007 us=564692 OpenVPN 2.1_rc4 mipsel-linux [SSL]
[LZO2] [EPOLL] built on Aug 11 2007
Sun Sep  9 17:06:25 2007 us=568187 WARNING: No server certificate
verification method has been enabled.  See
[url]http://openvpn.net/howto.html#mitm[/url] for more info.
Sun Sep  9 17:06:25 2007 us=597537 LZO compression initialized
Sun Sep  9 17:06:25 2007 us=603125 Control Channel MTU parms [ L:1542
D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Sep  9 17:06:25 2007 us=822748 Data Channel MTU parms [ L:1542
D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep  9 17:06:25 2007 us=823397 Socket Buffers: R=[109568->131072]
S=[109568->131072]
Sun Sep  9 17:06:25 2007 us=824055 UDPv4 link local: [undef]
Sun Sep  9 17:06:25 2007 us=824857 UDPv4 link remote: 79.204.23.206:443
Sun Sep  9 17:06:25 2007 us=826417 UDPv4 WRITE [14] to
79.204.23.206:443: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sun Sep  9 17:06:28 2007 us=7798 UDPv4 WRITE [14] to 79.204.23.206:443:
P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sun Sep  9 17:06:30 2007 us=188255 UDPv4 WRITE [14] to
79.204.23.206:443: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sun Sep  9 17:06:32 2007 us=367623 UDPv4 WRITE [14] to
79.204.23.206:443: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0

Bei Server und Client sind die jeweiligen Port freigebohrt.

Konfig Client

client
dev tun
proto udp
remote xxx.zapto.xx 443
resolv-retry infinite
nobind
pull
float

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

persist-key
persist-tun

ca /var/tmp/ca.crt
cert /var/tmp/nansen.crt
key /var/tmp/nansen.key

cipher BF-CBC
comp-lzo
verb 6

# Silence repeating messages
;mute 20

Konfig Server

port 443
proto udp
dev tun

ca /var/tmp/ca.crt
cert /var/tmp/server.crt
key /var/tmp/server.key
dh /var/tmp/dh1024.pem

server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
#ifconfig-pool-persist ipp.txt

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
push "route 192.168.178.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

client-to-client

keepalive 10 120

cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
max-clients 5

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nobody

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

verb 6

# Silence repeating messages.  At most 20
# sequential messages of the same message
# category will be output to the log.
;mute 20

Meine Vermutung ist, dass da irgendein Paketfilter im Weg ist. Vorzugsweise beim Speedport.

 

[MaxMuster]

Wie hast du denn die Portfreigabe gemacht?
Falls nicht geschehen, versuche doch bitte in der ar7.cfg den Eintrag

"udp 0.0.0.0:1194 0.0.0.0:1194",

die Freigabe mit Virtual-IP und Co. klappt wohl manchmal nicht...

Jörg

 

[Invader2004]

[Gelöst]

Hi,

ne ich hatte es so..

beim Server

"udp 0.0.0.0:443 192.168.178.1:443",

beim client analog dazu.

Edit: Jupp, das ist es! Danke! Also immer auf 0.0.0.0!!

 

[maceis]

openvpn: Problem mit "explicit-exit-notify"

kriegaex: aus eigenem Thread hierher verschoben.

Hallo zusammen,

ich habe ein Problem mit der openvpn Version, die derzeit im ds-mod enthalten ist. Und zwar erhalte ich folgende Fehlermeldung, wenn ich in der Konfiguration die Option "explicit-exit-notify" verwende:

openvpn /var/tmp/openvpn/my.conf
Options error: Unrecognized option or missing parameter(s) in /var/tmp/openvpn/my.conf:5: explicit-exit-notify (2.1_rc4)

Mit der OpenVPN Version 2.1_rc1 tritt dieser Fehler nicht auf.
Weiß jemand, wodurch das Problem verusracht wird. Hat sich vielleicht bei rc4 die Syntax irgendwie geändert oder so was?

 

[MaxMuster]

Ich vermute eher, es liegt daran, dass das nicht reincompiliert wurde.
Eine kurze Suche im Source und .mk-File ergab:

• "explicit-exit-notify" wir compiliert mit "ENABLE_OCC"
• configure wird aufgerufen mit "--enable-small"
• "--enable-small" führt in sysread.h zu "Nicht-Setzen" von ENABLE_OCC

Nun hast du zumindest nen Ansatzpunkt, wenn du es ändern willst ;-)

Jörg

 

[wengi]

Hi Jörg,

ich kann im Moment Deine neuesten Änderungen nicht testen, da ich produktiv die lzo Komprimierung brauche, und somit ein Namenproblem (-lzo) habe.

Daher habe ich mich ein bischen umgesehen und im Makefile von openvpn (./make/openvpn/openvpn.mk) was gefunden:

ifeq ($(strip $(DS_PACKAGE_OPENVPN_WITH_LZO)),y)
OPENVPN_PKG_NAME:=openvpn-lzo-$(OPENVPN_VERSION)
OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION)-lzo.tar.bz2
OPENVPN_LZO:=lzo-precompiled
else
OPENVPN_PKG_NAME:=openvpn-$(OPENVPN_VERSION)
OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION).tar.bz2
endif

Wenn ich das jetzt so anpasse:

ifeq ($(strip $(DS_PACKAGE_OPENVPN_WITH_LZO)),y)
[COLOR="DarkRed"]OPENVPN_PKG_NAME:=[B]openvpn-$[/B](OPENVPN_VERSION)[/COLOR]
OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION)-lzo.tar.bz2
OPENVPN_LZO:=lzo-precompiled
else
OPENVPN_PKG_NAME:=openvpn-$(OPENVPN_VERSION)
OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION).tar.bz2
endif

Ist der Name des Pakets mit lzo nur "openvpn". Würde das, ganz naiv gedacht, reichen oder sind in dem source-Paket auch alle relevanten Namen mit -lzo enthalten?

Ich merk schon: Es gibt noch viel zu lesen und verstehen....

wengi

 

[MaxMuster]

Moin,

also mit dem Patch aus dem letzten Archiv sollte eigentlich genau das passieren: Egal ob du "mit" oder "ohne" lzo auswählst, das resultierende Binary und Paket heißt "openvpn". Bei mir läuft das jetzt auch so:
Das Paket ist mit lzo, und funktioniert mit der GUI...

Jörg
EDIT Ich habe das Binary zum ds26-15.2 mal drangehängt

 

[wengi]

Ok, nachdem ich mir das makefile und nach Deinem Hinweis den Inhalt Deines letzen Paketes (die diff Datei) angeschaut habe muss ich feststellen: Ja. das ist das gleiche.

Ich hatte bis vorhin nur keine Ahnung, was das diff file soll....

Natürlich kommt jetzt gleich die nächste Frage: Wie integriere ich das am besten? Läuft das über den Linux diff-Befehl? ich habe zwar schon öfter zwei Dateien mit diff verglichen aber noch nie eine Diff datei über eine Datei laufen lassen. Mal in der manpage suchen....

Danke für den Stumper in die richtige Richtung.

wengi

 

[MaxMuster]

So, wie alle Patches für den ds-mod funktionieren ;-):

Datei "oberhalb" des ds-Ordners auspacken und dann

patch -p0 < <Diff-Datei>

Jörg

 

[wengi]

Auch hier wieder:
Danke schön

wengi

 

[ultimatejimmy]

Hermann hat das schon sehr gut beantwortet, zu 3. kann ich noch sagen (obwohl ich ja eigentlich kein absoluter Bridging Fan bin), wenn du nur mit einem PC mal eben "in dein heimisches Netz" willst, da wäre das Bridging für dich schon o.k., gerade weil man es damit dann mit Windows-Freigaben, -Namen usw, (halt alles, wovon mal in Redmont meint, jeder im Netz sollte das auch wissen ;-)) deutlich einfacher hat.
Aber natürlich kann auch ich die die OpenVPN-Seite (oder auch die Boardeigenen Wikis ) dazu nur ans Herz legen, um zu sehen wie es geht...

Jörg

Hallo Jörg und Hermann,

danke für eure Antworten.
Ich wollte nun einmal auf bridging umstellen und gleichzeitig auf Zertifikate als Auth, allerdings komme ich momentan wirklich nicht mehr weiter.

- Ich habe die Zertifikate etc alles laut wiki erstellt (C:\Programme\OpenVPN\easy-rsa)
- Client-config fuer mein winxp notebook habe ich das sample aus dem openvpn.net howto "angepasst".
- FritzBox Config siehe screenshots

Mein Problem ist ausserdem was genau hier reinkommt:
"DS-MOD - crl_pem
CRL (OpenVPN)"

und hier:
"DS-MOD - crontab
Crontab"

und hier:
"DS-MOD - dh_pem
Diffie-Hellmann Parameter"


Die anderen von mir erstellen Zertifikat-Dateien konnte ich der WebIf Maske zuordnen.

Hat zufaellig auch noch jemand ne bridging-config, die auf Zertifikaten beruht parat, die er mal posten kann

Das wäre sehr nett, vielen Dank!
Gruesse, Jimmy

config:

client
dev tap
proto udp
remote xxx.blabla.nu 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:\\Programme\\OpenVPN\\keys\\ca.crt
cert C:\\Programme\\OpenVPN\\keys\\clientx.crt
key C:\\Programme\\OpenVPN\\keys\\clientx.key
comp-lzo
verb 3

log:

Fri Sep 14 01:43:56 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Fri Sep 14 01:43:56 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Sep 14 01:43:56 2007 LZO compression initialized
Fri Sep 14 01:43:56 2007 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 14 01:43:57 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Sep 14 01:43:57 2007 Local Options hash (VER=V4): 'd79ca330'
Fri Sep 14 01:43:57 2007 Expected Remote Options hash (VER=V4): 'f7df56b8'
Fri Sep 14 01:43:57 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Sep 14 01:43:57 2007 UDPv4 link local: [undef]
Fri Sep 14 01:43:57 2007 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Fri Sep 14 01:43:57 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 01:43:59 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 01:44:01 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 01:44:03 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

PS: ich denke Bridging ist schon ok fuer mich und vor allem einfach (wenns klappt, haha), da ich die vpn verbindung immer nur kurz benoetige um an daten versch. rechner zu kommen oder zu kleinen wartungszwecken versch. netzwerk-geräte.





/EDIT:

wenn ich in der FritzBox zusätzlich bei TLS den Haken setze und diese client-config verwede, versucht das TAP-Device eine IP-Adresse zu beziehen, schlägt aber fehl:

config:

port 1194
remote xxx.blabla.nu
proto udp
dev tap
tls-client
ns-cert-type server
ca C:\\Programme\\OpenVPN\\keys\\ca.crt
cert C:\\Programme\\OpenVPN\\keys\\clientx.crt
key C:\\Programme\\OpenVPN\\keys\\clientx.key
pull

log:

Fri Sep 14 02:21:38 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Fri Sep 14 02:21:39 2007 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{876EAF4C-676C-4135-A3C1-F64C0D7358F1}.tap
Fri Sep 14 02:21:39 2007 Successful ARP Flush on interface [5] {876EAF4C-676C-4135-A3C1-F64C0D7358F1}
Fri Sep 14 02:21:39 2007 UDPv4 link local (bound): [undef]:1194
Fri Sep 14 02:21:39 2007 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Fri Sep 14 02:22:39 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Sep 14 02:22:39 2007 TLS Error: TLS handshake failed
Fri Sep 14 02:22:39 2007 SIGUSR1[soft,tls-error] received, process restarting
Fri Sep 14 02:22:42 2007 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{876EAF4C-676C-4135-A3C1-F64C0D7358F1}.tap
Fri Sep 14 02:22:42 2007 Successful ARP Flush on interface [5] {876EAF4C-676C-4135-A3C1-F64C0D7358F1}
Fri Sep 14 02:22:42 2007 UDPv4 link local (bound): [undef]:1194
Fri Sep 14 02:22:42 2007 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Fri Sep 14 02:22:55 2007 SIGTERM[hard,] received, process exiting

 

[MaxMuster]

Mein Problem ist ausserdem was genau hier reinkommt:

CLR kannst du vergessen, dass ist eine Liste mit "zurückgezogenen" Zertifikaten (falls dir jemand dein Nootebook klaut, kannst du damit sagen: Das Zertifikat, auch wenn es eigentlich gültig ist, ist zurückgezogen)
corontab ist dafür ebenfalls unwichtig (damit kannst du "regelmäßige Dienste" auf der Box ausführen lassen [sowas wie "um 0:20 eine Mail mit der aktuellen IP an die Mailadresse xy schicken" oder "immer um Mitternacht FON1 klingeln lassen" ;-)])
dh-parameter Der ist wichtig! Der entspricht der Datei dh1024.pem (oder dh2048.pem) halt die Datei die bei build-dh rausgekommen ist. Wird beim Aufbau der Verbindung zum Vereinbaren eines Schlüssels benötigt

Bei der unteren Config fehlt das "comp-lzo", ansonsten musst du immer die untere Config nutzen, weil tls immer bei Zertifikaten benötigt wird. Der Haken bei TLS-Authentifizierung dient nur dafür, dass das TLS noch zusätzlich einen Schlüssel (den Key der Box) benutzt (das wäre dann der Parameter: "tls-auth")

Ich hoffe es hilft.

PS:
Hier mal eine Konfig:

proto udp
dev tap
tls-client
ns-cert-type server
remote das.schreib.ich.nich 1295
float
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
cipher AES-128-CBC
verb 3
pull

Jörg

 

[ultimatejimmy]

Hallo Jörg,

Ahh cool ok, dann weiss ich jetzt bescheid :-D
Vielen Dank fuer die ausführliche Erklärung!
Habe die dh1024.pem datei entsprechend in der fritzbox eingetragen.

mit Deiner Config (remote angepasst) bekomme ich folgendes log:
(fritzbox einstellungen ansonsten immer noch wie auf dem screenshot, s.o.)


log:

Fri Sep 14 12:20:09 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Fri Sep 14 12:20:09 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Sep 14 12:20:09 2007 LZO compression initialized
Fri Sep 14 12:20:09 2007 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 14 12:20:10 2007 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Sep 14 12:20:10 2007 Local Options hash (VER=V4): 'b498be7c'
Fri Sep 14 12:20:10 2007 Expected Remote Options hash (VER=V4): '26e19fc0'
Fri Sep 14 12:20:10 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Sep 14 12:20:10 2007 UDPv4 link local (bound): [undef]:1194
Fri Sep 14 12:20:10 2007 UDPv4 link remote: x.x.x.x:1194
Fri Sep 14 12:20:10 2007 TLS: Initial packet from x.x.x.x:1194, sid=24641d4b 8655e8a3
Fri Sep 14 12:20:11 2007 VERIFY OK: depth=1, /C=DE/ST=Hessen/L=Frankfurt/O=Jimmy_GmbH/CN=ca/[email protected]
Fri Sep 14 12:20:11 2007 VERIFY OK: nsCertType=SERVER
Fri Sep 14 12:20:11 2007 VERIFY OK: depth=0, /C=DE/ST=Hessen/O=Jimmy_GmbH/CN=fritzbox/[email protected]
Fri Sep 14 12:20:13 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 12:20:13 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 12:20:13 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Sep 14 12:20:13 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

wenn ich TLS aktiviere bleibt er bei "UDPv4 link remote: x.x.x.x:1194" stehen.
Aber das brauchen wir ja anscheinend nicht

Verschlüsselung in der fritzbox steht auf "Blowfish", ist das richtig oder muss ich deiner config entsprechend AES128 einstellen?

Daran, dass ich noch keine "Netzwerkbrücke" zwischen meinem TAP Device und meiner Netzwerkkarte in Windows gebildet hab, kann es ja nicht liegen oder? :noidea:

Gruss, Jimmy

 

[MaxMuster]

Verschlüsselung in der fritzbox steht auf "Blowfish", ist das richtig oder muss ich deiner config entsprechend AES128 einstellen?

Klar, habe ich dummerweise nicht angepasst. Auf beiden Seiten muss das gleiche stehen, also eine der beiden Seiten anpassen. Nimm ruhig blowfish (pass also den Client an), das ist schon o.k..
Es sollte dann im Log so weitergehen (natürlich dann mit Blowfish statt AES):

Fri Sep 14 13:16:33 2007 OpenVPN 2.1_rc2 Win32-MinGW [SSL] [LZO2] built on Feb 28 2007
Fri Sep 14 13:16:33 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Sep 14 13:16:33 2007 LZO compression initialized
Fri Sep 14 13:16:33 2007 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 14 13:16:33 2007 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Sep 14 13:16:33 2007 Local Options hash (VER=V4): 'b498be7c'
Fri Sep 14 13:16:33 2007 Expected Remote Options hash (VER=V4): '26e19fc0'
Fri Sep 14 13:16:33 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Sep 14 13:16:33 2007 UDPv4 link local (bound): [undef]:1194
Fri Sep 14 13:16:33 2007 UDPv4 link remote: 87.12.13.55:1295
Fri Sep 14 13:16:33 2007 TLS: Initial packet from 87.12.13.55:1295, sid=596d579e 197ba88f
Fri Sep 14 13:16:34 2007 VERIFY OK: depth=1, /C=DE/ST=xxxxx
Fri Sep 14 13:16:34 2007 VERIFY OK: nsCertType=SERVER
Fri Sep 14 13:16:34 2007 VERIFY OK: depth=0, /C=DE/ST=xxxxx
Fri Sep 14 13:16:34 2007 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Sep 14 13:16:34 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 14 13:16:34 2007 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Sep 14 13:16:34 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 14 13:16:34 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Sep 14 13:16:34 2007 [myserver] Peer Connection Initiated with 87.12.13.55:1295
Fri Sep 14 13:16:36 2007 SENT CONTROL [myserver]: 'PUSH_REQUEST' (status=1)
Fri Sep 14 13:16:36 2007 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.100.254.122,ping 10,ping-restart 120,ifconfig 10.100.254.110 255.255.255.0'
Fri Sep 14 13:16:36 2007 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 14 13:16:36 2007 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 14 13:16:36 2007 OPTIONS IMPORT: route-related options modified
Fri Sep 14 13:16:36 2007 TAP-WIN32 device [LAN-Verbindung 10] opened: \\.\Global\{52D09876-9324-4F76-B04E-3811EAE3288F}.tap
Fri Sep 14 13:16:36 2007 TAP-Win32 Driver Version 9.1
Fri Sep 14 13:16:36 2007 TAP-Win32 MTU=1500
Fri Sep 14 13:16:36 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.25.110/255.255.255.0 on interface {52D09876-9324-4F76-B04E-3811EAE3288F} [DHCP-serv: 10.10.25.0, lease-time: 31536000]
Fri Sep 14 13:16:36 2007 Successful ARP Flush on interface [3] {52D09876-9324-4F76-B04E-3811EAE3288F}
Fri Sep 14 13:16:41 2007 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Fri Sep 14 13:16:41 2007 Initialization Sequence Completed

Jörg

 

[wengi]

So, ich mal wieder...

patch -p0 < openvpn_makefile.diff ergibt ein reject:

slightly@StinkyLinux:~/Desktop/test$ cat ds26-15.2/make/openvpn/openvpn.mk.rej
***************
*** 5,20 ****
  OPENVPN_MAKE_DIR:=$(MAKE_DIR)/openvpn
  OPENVPN_DIR:=$(SOURCE_DIR)/openvpn-$(OPENVPN_VERSION)
  OPENVPN_BINARY:=$(OPENVPN_DIR)/openvpn
- OPENVPN_PKG_VERSION:=0.6c
  OPENVPN_PKG_SITE:=http://netfreaks.org/ds-mod
  ifeq ($(strip $(DS_PACKAGE_OPENVPN_WITH_LZO)),y)
- OPENVPN_PKG_NAME:=openvpn-lzo-$(OPENVPN_VERSION)
- OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION)-lzo.tar.bz2
  OPENVPN_LZO:=lzo-precompiled
  else
  OPENVPN_PKG_NAME:=openvpn-$(OPENVPN_VERSION)
  OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION).tar.bz2
- endif
  OPENVPN_TARGET_DIR:=$(PACKAGES_DIR)/$(OPENVPN_PKG_NAME)
  OPENVPN_TARGET_BINARY:=$(OPENVPN_TARGET_DIR)/root/usr/sbin/openvpn

--- 5,21 ----
  OPENVPN_MAKE_DIR:=$(MAKE_DIR)/openvpn
  OPENVPN_DIR:=$(SOURCE_DIR)/openvpn-$(OPENVPN_VERSION)
  OPENVPN_BINARY:=$(OPENVPN_DIR)/openvpn
+ OPENVPN_PKG_VERSION:=0.6d
  OPENVPN_PKG_SITE:=http://netfreaks.org/ds-mod
+
  ifeq ($(strip $(DS_PACKAGE_OPENVPN_WITH_LZO)),y)
  OPENVPN_LZO:=lzo-precompiled
  else
+ OPENVPN_LZO:=
+ endif
+
  OPENVPN_PKG_NAME:=openvpn-$(OPENVPN_VERSION)
  OPENVPN_PKG_SOURCE:=openvpn-$(OPENVPN_VERSION)-dsmod-$(OPENVPN_PKG_VERSION).tar.bz2
  OPENVPN_TARGET_DIR:=$(PACKAGES_DIR)/$(OPENVPN_PKG_NAME)
  OPENVPN_TARGET_BINARY:=$(OPENVPN_TARGET_DIR)/root/usr/sbin/openvpn

slightly@StinkyLinux:~/Desktop/test$

Ich habe das testweise gegen einen frisch entpackten ds26-15.2 laufen lassen. Benutzt habei ich Dein Paket openvpngui_20070907.

Was nun?

wengi

 

[MaxMuster]

Also, ich habe das diff gerade noch einmal erzeugt, das sieht für mich identisch aus.
Egal, ich hänge einfach mal das "neue" openvpn.mk mit dran.

Jörg

 

[wengi]

Ich komme mir jetzt schon ein bischen blöd vor.
Ich entpacke Deine diff-Datei einen Ordner über dem ds26-Ordner und führe den patch Befehl aus.
Auch jetzt wieder:

slightly@StinkyLinux:~/Desktop/test$ patch -p0 < mydiff
patching file ds26-15.2/make/openvpn/openvpn.mk
Hunk #2 FAILED at 118.
1 out of 2 hunks FAILED -- saving rejects to file ds26-15.2/make/openvpn/openvpn.mk.rej
slightly@StinkyLinux:~/Desktop/test$ls
insgesamt 1,2M
drwxr-xr-x  3 slightly slightly 4,0K 2007-09-17 13:25 .
drwxr-xr-x  4 slightly slightly 4,0K 2007-09-17 13:22 ..
drwxr-xr-x 13 slightly slightly 4,0K 2007-09-17 13:00 ds26-15.2
-rw-r--r--  1 slightly slightly 1,1M 2007-09-04 11:38 ds26-15.2.tar.bz2
-rw-r--r--  1 slightly slightly  10K 2007-09-17 13:22 make_and_diff.tar
-rw-r--r--  1 slightly slightly 1,3K 2007-09-17 15:20 mydiff
-rw-r--r--  1 slightly slightly  80K 2007-09-17 12:55 openvpngui_20070907.tar
-rw-r--r--  1 slightly slightly 1,4K 2007-08-31 01:38 openvpn_makefile.diff
slightly@StinkyLinux:~/Desktop/test$

Ist aber nicht wirklich schlimm, da ich jetzt ja das makefile von Dir habe.
Danke
wengi

 

[ultimatejimmy]

Klar, habe ich dummerweise nicht angepasst. Auf beiden Seiten muss das gleiche stehen, also eine der beiden Seiten anpassen. Nimm ruhig blowfish (pass also den Client an), das ist schon o.k..
Es sollte dann im Log so weitergehen (natürlich dann mit Blowfish statt AES):

Jörg

Hallo Jörg...

mir ist was aufgefallen... avmlogd gibt das hier aus:

nach jedem anmeldeversuch ist der Dienst openvpn gestoppt (ds-mod webif).

Jimmy

 

[MaxMuster]

Scheinbar sucht openvpn da was in der Liste der "zurückgezogenen Zertifikate". Kannst du mal die Config rausziehen? Am einfachsten per "Rudi-Shell" indem du dort ein "cat /mod/etc/openvpn.conf" eingibst.

Jörg