OpenVPN-Paket

[Erkan]

Jetzt habe ich seit ein paar Tagen Probleme mit meinem VPN. Beim Client (der 7050) passt alles, aber bei der Server-Box (7170) muss ich täglich openvpn restarten, da morgens keine Verbindung mehr besteht
Beide Boxen starten sich per cronjob täglich gegen 5:00 Uhr neu (Client 30 Minuten später), Zwangstrennung habe ich deswegen auch deaktiviert und laut System-Log habe ich auch keine DSL-Ausfälle ... what's the matter? Gibts irgendwo ein Log-File um zu sehen warum die Beiden nicht miteinander wollen?!

 

[knox]

Gibts irgendwo ein Log-File um zu sehen warum die Beiden nicht miteinander wollen?!

ja, schau im ds-mod webinterface unter Extras -> Syslogd -> Logfile/Ringpuffer anzeigen
falls die ausgabe nicht detailiert genug ist, kannst du auch den parameter "verb" in deiner openvpn.conf höher setzen: starte openvpn, dann bearbeite die datei /var/mod/etc/openvpn.conf und setze ein

killall -HUP openvpn

via ssh oder telnet ab, damit diese änderungen neu geladen werden.

ps: ich finde, dein beitrag passt nur bedingt in diesen thread, da es hier nach meinem verständnis um allgemeine probleme mit dem openvpn package geht, aber keinesfalls um individuelle probleme.

 

[Erkan]

syslogd hab ich leider abgewählt Und ich dachte mein Beitrag passt aus diesem Grund hier mit rein:

Bekannte Bugs

Hier mal eine Liste bekannter Bugs:

* OpenVPN läuft Amok und müllt den Arbeitsspeicher zu [in arbeit]
Dieser Bug ist bei mir noch nicht aufgetreten, weshalb ich auch nichts genaues weiß

Gibt es eine andere Log-Möglichkeit für openvpn?

 

[knox]

Gibt es eine andere Log-Möglichkeit für openvpn?

du kannst die config manuell anpassen und das daemon weg lassen. dadurch landen alle ausgaben des openvpn direkt auf der konsole und du kannst zusehen, was passiert.

Und ich dachte mein Beitrag passt aus diesem Grund hier mit rein

so wie ich das sehe, ist das eher ein (individuelles) konfigurationsproblem, oder meinst du nicht?

wünsche gutes gelingen!

 

[Powersup]

Mir geht es ganuso wie Erkan. Und es bleibt immer die 7170 hängen?!?

ifconfig 10.0.0.2 10.0.0.1
dev tun
dev-node /dev/misc/net/tun
tun-mtu 1500
mssfix
persist-tun
persist-key

#Remote Adresse des Servers angeben
#muss entsprechend geaendert werden
remote xyz.xyz.net

#Pfad zum Key File
secret /var/tmp/secret.key


#Protokoll auf TCP und Port 1194
#Änderungen müssen auf Client und Server Seite gleich sein
proto tcp-client
port 1194


#da die Verbindung alle 24 Stunden getrennt wird
#soll regelmäßig kontrolliert werden ob die Verbindung noch steht
ping 15
ping-restart 120 

#der DynDNS Name soll alle 60 Sekunden neu aufgelöst werden
#da OpenVPN sonst ständig versucht über die alte IP
#zu verbinden
resolv-retry 60 

#Protokollierungseinstellung
#4 ist optimaler Modus
verb 4

#Daemon sollte erst eingeschaltet werden wenn die
#Konfiguration passt
daemon

#Route zum Server setzen
route xxx.yyy.zzz.0 255.255.255.0

Anbei die Konfig der 7170, die nach der Anleitung hier im Forum erstellt wurde. Dort ist - noch - OpenVPN ohne ds-mod integriert. Die 7050 hat OpenVPN mit ds-mod.
@knox Was meinst du mit "individuellen Konfigurationsproblem"?

 

[deller]

hmm, schon sehr merkwürdig mit der 7170. Ich habe ähnliche Probleme, allerdings nicht erst nach der Zwangstrennung.

ca. nach einer Stunde kann ich von allen PC's aus meinem Subnet nicht mehr die PC's und die Fritzbox/Server (10.0.0.1, 192.168.178.1) auf der anderen Seite anpingen. Meine Fritzbox ist die Clientbox (10.0.0.2, 192.168.123.1). Die 10.0.0.2 lässt sich von meinen PC's aus pingen. Die 10.0.0.1 jedoch nicht.

ABER:

Wenn ich aber per Telnet auf meine Box (192.168.123.1) raufgehe und von dort aus den Ping ausführe, dann sieht er alle Rechner auf der Gegenseite und auch die Serverbox (10.0.0.1 & 192.168.178.1). Hier kann ich die 10.0.0.1 und die 192.168.178.1 anpingen.
--> Die Openvpn-Verbindung zwischen den Boxen steht. Aber nach einer bestimmten Zeit tritt dann dieses Routingproblem auf. Die Routingtabelle sieht aber unverändert sauber aus.

Interessanterweise muss ich dann auch meistens openvpn mehrmals hintereinander starten, bevor es wieder funktioniert.
Das Problem besteht unabhängig von der openvpn-verion (die aus dem Paket, beta8 und beta12)


Merkwürdig

 

[deller]

So, habe nun mal die Box mit einem Recoveryimage komplett sauber gemacht und dann ein Modimage nur mit OpenVPN raufgespielt. Openvpn über das Webinterface als Client konfiguriert.

Eine Zeit lang sehe ich vom Rechner aus die Box auf der anderen Seite, dann nicht mehr. Mit Telent auf meiner Box sehe ich jedoch weiterhin die Box auf der anderen Seite.

An der Routingtabelle verändert sich nichts (route -n)

 

[lord-of-linux]

Hi,

bin zurück im Leben. Werde mir nacher oder morgen mal die Sachen von jspies und knox anschauen. Habe gerade leider nicht viel Zeit.

Hier auch noch ein kleiner Fehlerbericht von mir:
Ich hatte zum Testen während des Urlaubs ne wget-Schleife auf meine 7170 mit USB-Speicher. Allerdings gab es wohl ein problem, denn OpenVPN hat sich aufgehängt. Werde diesbezüglich auch noch testen.

EDIT:
Ich werde jetzt mit knox weiterarbeiten und versuchen, OpenVPN stabil zu bekommen.
Meiner Meinung nach sollten wir versuchen, dass OpenVPN stabil zu bekommen, bevor wir noch Zertifikate reinbringen.

Was denkt ihr dazu?

 

[columbo1979]

Habe ne 7170 und dsmod 2.6 - gibt es ne Anleitung, wie ich OpenVPN installieren/konfigurieren muss ? danke !

 

[mutombo]

der problem das openvpn amok läuft hatte ich bisher nur im client modus mit zertifikaten.

zu dem thema würde mich auch interessieren wie die erstellung der zertifikate im servermodus ablaufen soll.
wird es möglich sein die certs auf der box zu erstellen, möglicherweise sogar über das webinterface?
oder ist das vielleicht einfach aus platz und performancegründen nicht möglich?

P.S.: wenn ich bei den zertifikaten irgendwie z.b. beim testen helfen kann, einfach mal melden.

 

[lord-of-linux]

Hallo,

@mutombo: Der Platz ist wohl das Problem. Wir werden vorerst nicht um das Manuelle erstellen rumkommen. Allerdings machen wir die Zerts per Webinterface eintragbar.

 

[knox]

ich habe in meiner verfummelten version des mod eine aktuelle version von openvpn und es läuft prima. allerdings verwende ich derzeit noch eine von hand erstellte konfiguration und außerdem agiert meine box als multi-client server mit zeitlich begrenzten verbindungen.

bezüglich der zertifikaterstellung möchte ich auf easyrsa hinweisen, mit dem jedermann im handumdrehen zertifikate erstellen kann.
ich finde es durchaus akzeptabel, wenn man die zertifikate außerhalb der box erstellt und sie dann lediglich dort mit hilfe des webfrontend hinterlegt.
die entsprechenden erweiterungen des webfrontends sind im moment aus zeitmangel aber kurzfristig auf eis gelegt.

ich habe meine überarbeitete version des openvpn packages für testwütige angehängt. das ganze ist wahlweise ohne und mit lzo (als shared lib) zu haben.

update: veraltete dateianhänge entfernt, siehe folgende beiträge.

 

[columbo1979]

Hat jemand eine Anleitung, wie ich openvpn mit dsmod zum laufen bekomme ?
ich bekomme immer die meldung :

Mon Jun 19 18:57:46 2006 RESOLVE: Cannot parse IP address: (der
Options error: error parsing --ifconfig-pool parameters
Use --help for more information.

Mein Netz :

192.168.0.x
Meine Fritz 7170 : 192.168.0.1

IP-Adressen

IP der virtuellen Netzwerkkarten:
Server-IP (Fritz 7170)
10.0.0.1

Client-IP (PC/WIN XP)
10.0.0.2

IP-Routing einstellen:

Server-Netzwerk
192.168.0.0 255.255.255.0

Client-Netzwerk
192.168.0.0 255.255.255.0

In der Fritzbox :

Statische IP-Route
IP-Netzwerk : 192.168.0.1
Subnetzmaske 255.255.255.0
Gateway 10.0.0.1
Route aktiv

Was fehlt mir noch ?
Openvpn ist auf meinem PC installiert und ein key wurde auch erstellt.
Hat jemand ein tipp ? danke !

Ach ja, wenn ich dann den openvpn dienst im dsmod starte, "hängt" sich die box auf...

 

[lord-of-linux]

@columbo1979: Ich habe zu deinem Problem keine Erklärung, würde dich aber bitten, sowas in einem anderen Thread zu posten. Hier geht es nur um die Entwicklung des Pakets, nicht um die Problemlösung. Diese würde den Thread zu unübersichtlich machen.

 

[ptweety]

Da bei mir diese Version mit TLS nicht läuft, habe ich mal ein wenig getestet.
Das Problem liegt wohl in den OpenSSL Shared Libs im DS-Mod. Ich habe Dein Binary mal gegen meine aktuelle Version (OpenSSL 0.9.8b) laufen lassen - das funktioniert.

Kannst du dazu bitte mal etwas mehr ins Detail gehen. Ich habe hier ähnliche Probleme mit openssl festgestellt und würde gerne mal mit den von dir verwendeten patches und deiner openssl.mk testen.

MFG pTweety

 

[jspies]

Kannst du dazu bitte mal etwas mehr ins Detail gehen. Ich ... würde gerne mal mit den von dir verwendeten patches und deiner openssl.mk testen.

MFG pTweety

Kann ich machen. Allerdings komme ich vor dem Wochenende nicht an mein Build-system heran - also bitte noch ein wenig Geduld.

MfG Jürgen

 

[lord-of-linux]

Habe mal das Paket von knox ausprobiert und es funktioniert super. Es geht auch UDP, was vorher bei mir Probleme machte.

Kleine Zwischenfrage: Wieso wird der Ping über UDP schlechter? Mit TCP habe ich 110ms, bei UDP sind es schon ca. 200ms.

Leider kann ich das Paket gerade nicht in den Mod packen, da ich erst den Olistudent Patch machen muss und dann kommt die 0.2.6 auch bei mir drauf. Außerdem ist mein Laptop kaputt, auf dem ich den ds immer genutzt habe. Werde dass morgen mal mit Knoppix versuchen und dann wenn es klappt das Paket von knox auf meinen Webspace laden, damit Danisahne es in 0.2.7 einbauen kann. Mit ihm werde ich auch noch wegen dem openssl-Zertifikatsproblem schreiben.

Wenn ich OpenVPN dann voll im Mod habe, dann teste ich das ganze nochmal.

 

[jspies]

Kannst du dazu bitte mal etwas mehr ins Detail gehen. Ich ... würde gerne mal mit den von dir verwendeten patches und deiner openssl.mk testen.

Vielleicht hilft dies:

diff -r openssl-0.9.8b/crypto/opensslconf.h openssl-0.9.8b.fritz/crypto/opensslconf.h
20a21,23
> #ifndef OPENSSL_THREADS
> # define OPENSSL_THREADS
> #endif
51,52c54,55
< #define ENGINESDIR "/usr/local/ssl/lib/engines"
< #define OPENSSLDIR "/usr/local/ssl"
---
> #define ENGINESDIR "/home/jspies/fritz/ds-0.2.2/toolchain/target/lib/engines"
> #define OPENSSLDIR "/home/jspies/fritz/ds-0.2.2/toolchain/target/ssl"
diff -r openssl-0.9.8b/include/openssl/opensslconf.h openssl-0.9.8b.fritz/include/openssl/opensslconf.h
20a21,23
> #ifndef OPENSSL_THREADS
> # define OPENSSL_THREADS
> #endif
51,52c54,55
< #define ENGINESDIR "/usr/local/ssl/lib/engines"
< #define OPENSSLDIR "/usr/local/ssl"
---
> #define ENGINESDIR "/home/jspies/fritz/ds-0.2.2/toolchain/target/lib/engines"
> #define OPENSSLDIR "/home/jspies/fritz/ds-0.2.2/toolchain/target/ssl"
diff -r openssl-0.9.8b/Makefile openssl-0.9.8b.fritz/Makefile
15,17c15,17
< PLATFORM=dist
< OPTIONS= no-gmp no-krb5 no-mdc2 no-rc5 no-shared no-zlib no-zlib-dynamic
< CONFIGURE_ARGS=dist
---
> PLATFORM=linux-mipsel
> OPTIONS=linux-mipsel:mipsel-linux-gcc enable-shared --prefix=/home/jspies/fritz/ds-0.2.2/toolchain/target -mcpu=pentium no-gmp no-krb5 no-mdc2 no-rc5 no-zlib no-zlib-dynamic
> CONFIGURE_ARGS=linux-elf linux-mipsel:mipsel-linux-gcc shared --prefix=/home/jspies/fritz/ds-0.2.2/toolchain/target -mcpu=pentium
29c29
< INSTALLTOP=/usr/local/ssl
---
> INSTALLTOP=/home/jspies/fritz/ds-0.2.2/toolchain/target
32c32
< OPENSSLDIR=/usr/local/ssl
---
> OPENSSLDIR=/home/jspies/fritz/ds-0.2.2/toolchain/target/ssl
62,63c62,65
< CC= cc
< CFLAG= -O
---
> CC= mipsel-linux-gcc
> LD= mipsel-linux-ld
> #CFLAG= -DOPENSSL_THREADS  -mcpu=pentium
> CFLAG=  -DOPENSSL_THREADS -DL_ENDIAN -DTERMIO -O3 -fomit-frame-pointer -Wall -mips2 -D_FILE_OFFSET_BITS=32
70c72
< RANLIB= /usr/bin/ranlib
---
> RANLIB= mipsel-linux-ranlib
155c157
< all: Makefile build_all openssl.pc libssl.pc libcrypto.pc
---
> all: Makefile build_all openssl.pc libssl.pc libcrypto.pc shared-library
590a593,595
> shared-library:
>       $(LD) -shared -o libcrypto.so $(shell find crypto -iname "*.o") $(shell find engines -iname "*.o")
>       $(LD) -shared -o libssl.so $(shell find ssl -iname "*.o")
diff -r openssl-0.9.8b/tools/c_rehash openssl-0.9.8b.fritz/tools/c_rehash
9c9
< my $dir = "/usr/local/ssl";
---
> my $dir = "/home/jspies/fritz/ds-0.2.2/toolchain/target/ssl";

Dabei sind die Änderungen in den *.h Files durch den Aufruf von ./config mit den entsprchenden CONFIG_ARGS erfolgt. Ich musste nur ein paar Änderungen in dem Makefile von Hand machen.

BTW ich verwende immer noch die ds-0.2.2 als Build-chain.

MfG Jürgen

 

[ptweety]

Vielleicht hilft dies:
[diff gelöscht]

Also, ich habe versucht in das reguläre openssl.mk aus dem ds-mod deine Änderungen reinzubekommen und denke, dass der einzige signifikante Unterschied in dem Make-Target `shared-library` liegt. Leider hatte ich dann bei meinen Versuchen keinen Erfolg gehabt mit curl, xmail oder stunnel eine saubere Session hinzubekommen. Immer das gleiche Problem: die CPU-Auslastung steigt > 95% und das Programm reagiert nicht mehr.

@all: Kann jetzt jemand OpenVPN mit OpenSSL 0.9.8{a|b} zusammen mit Zertifikaten verwenden?

MFG pTweety

 

[deller]

Ich verwende openvpn 2.1 Beta 14 mit openssl-0.9.8b, lzo und Zertifikaten seit dem 03.06.2006 auf einer 7170.

Hierbei nutze ich den Ethernet-Bridge Modus + UDP. Das ganze läuft absolut stabil, keinerlei Probleme.

Wenn ich den Tunnel-Modus verwende, dann tritt das hier schon mehrfach genannte Routingproblem auf. Dieses Problem tritt absolut sporadisch auf, entweder schon vom Start an oder nach x beliebigen Stunden