[Problem] OpenVPN-Server erkennt IPv4-Adresse/-Protokoll nicht

[Massa]

Hallo zusammen,

nachdem ich es jetzt endlich geschafft habe, meine Konfiguration samt OpenVPN-Zertifikaten so einzudampgen, das sie gepackt ins TFFS passen, wollte ich jetzt endlich den OpenVPN-Server in Betrieb nehmen.

Aber irgendwie zickt der rum - der scheint sich nicht per IPv4 binden zu können.
Das hier steht im Log:

Fri Dec  6 10:01:08 2019 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Fri Dec  6 10:01:08 2019 OpenVPN 2.4.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [AEAD] built on Nov 10 2019
Fri Dec  6 10:01:08 2019 library versions: OpenSSL 1.0.2t  10 Sep 2019, LZO 2.10
Fri Dec  6 10:01:08 2019 Diffie-Hellman initialized with 2048 bit key
Fri Dec  6 10:01:08 2019 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Dec  6 10:01:08 2019 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Dec  6 10:01:08 2019 TUN/TAP device tun0 opened
Fri Dec  6 10:01:08 2019 TUN/TAP TX queue length set to 100
Fri Dec  6 10:01:08 2019 /sbin/ip link set dev tun0 up mtu 1500
Fri Dec  6 10:01:08 2019 /sbin/ip addr add dev tun0 local 192.168.200.1 peer 192.168.200.2
Fri Dec  6 10:01:08 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Fri Dec  6 10:01:08 2019 Socket Buffers: R=[87380->87380] S=[16384->16384]
Fri Dec  6 10:01:08 2019 setsockopt(IPV6_V6ONLY=0)
Fri Dec  6 10:01:08 2019 Listening for incoming TCP connection on [AF_INET6][undef]:1143

Hier ist meine Server-Konfiguration:

# OpenVPN 2.4.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [AEAD] built on Nov 10 2019
# library versions: OpenSSL 1.0.2t  10 Sep 2019, LZO 2.10
#  Config date: Fri Dec  6 10:01:08 CET 2019
proto tcp-server
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1143
ifconfig 192.168.200.1 192.168.200.2
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DOMAIN mydomain.local"
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
auth SHA512

[EDIT:] es ist übrigens egal, ob ich als Protokoll tcp oder udp verwendet Und: das Portforwarding in der ar7.cfg ist auch eingerichtet:

internet_forwardrules = "xxxx",
                        "tcp 0.0.0.0:1143 0.0.0.0:1143 0 # openvpn-tcp";

Hat jemand eine Idee, was das sein könnte?

Ich verwende OpenVPN 2.4.8 im aktuellen freetz-ng

 

[meiser79]

Probier mal "tcp4-server" oder "udp4" als proto-Parameter, siehe https://gitlab.com/openvpn/openvpn/blob/master/src/openvpn/socket.c#L3138

 

[Massa]

So, bin jetzt mal dazugekommen, das ganze ein wenig weiter zu untersuchen - mit gemischten Ergebnissen...

0.) Ausgangssituation
Das Paket war mit "Verwendung ip statt ifconfig" und "GUI v1" gebaut.
@Whoopie: damit war die Änderung des proto-Parameter nicht so ohne weiteres möglich.

1.) Versuch
Umstellung auf Verwendung "ifconfig"
--> Ergebnis gleicher Fehler im Logging

2.) Versuch
Umstellung auf "GUI v2 (Simple)" (und "ip" statt "ifconfig")
Hier habe ich zuerst die im 0.) und 1.) Versuch generierte openvpn.conf verwendet - die so nicht (mehr) funktioniert:
Für die ganze Geschichte mit der chroot-Umgebung scheint das Generieren der notwendigen Umgebung zu fehlen, "/var/tmp/openvpn" gibt es auf jeden Fall nicht mehr.
Also habe ich die Zeilen erst einmal auskommentiert; so sieht die Konfiguration aktuell aus:

proto tcp4-server
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1143
ifconfig 192.168.200.1 192.168.200.2
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DOMAIN mydomain.local"
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
persist-tun
persist-key
auth SHA512

Jetzt startet der OpenVPN-Server zwar wieder, aber (natürlich) mit gleichem Ergebnis wie oben.
Bei Verwendung von tcp4-server steht jetzt folgendes im Log:

Wed Dec 11 10:25:53 2019 library versions: OpenSSL 1.0.2t  10 Sep 2019, LZO 2.10
Wed Dec 11 10:25:53 2019 Diffie-Hellman initialized with 2048 bit key
Wed Dec 11 10:25:53 2019 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Dec 11 10:25:53 2019 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Wed Dec 11 10:25:53 2019 TUN/TAP device tun0 opened
Wed Dec 11 10:25:53 2019 TUN/TAP TX queue length set to 100
Wed Dec 11 10:25:53 2019 /sbin/ip link set dev tun0 up mtu 1500
Wed Dec 11 10:25:53 2019 /sbin/ip addr add dev tun0 local 192.168.200.1 peer 192.168.200.2
Wed Dec 11 10:25:53 2019 Socket Buffers: R=[87380->87380] S=[16384->16384]
Wed Dec 11 10:25:53 2019 Listening for incoming TCP connection on [AF_INET][undef]:1143

Ist das jetzt besser?
Nein - eine Verbindung ist immer noch nicht möglich.
Komischerweise steht im Log nichts von irgendeinem Verbindungsversuch - sollte da nicht was drinstehen?

Ich habe dann die ar7.cfg kontrolliert - da sind meine openvpn-Einträge alle wieder verschwunden!
Und das, obwohl ich doch nach dem Speichern extra ar7cfgchanged aufgerufen habe?
Was mache ich denn da schon wieder falsch?

Wie betreibt ihr eure OpenVPN-Server - bzw. betreibt überhaupt irgendjemand solch einen Server auf seiner freetz-Box?

 

[meiser79]

Sieht schon mal besser aus wegen "incoming TCP connection on [AF_INET][undef]:1143". --> AF_INET = IPv4, AF_INET6 = IPv6

Packe das Öffnen des Ports 1143 in die voip_forwardrules Sektion und dann mach am besten mal einen nmap-Portscan von außen und schaue, ob der Port 1143 offen ist.