OPNsense Forum
International Forums => German - Deutsch => Topic started by: Luma on April 18, 2019, 09:18:45 am
-
Hallo zusammen
Ich habe erfolgreich einen VPN UDP Server definiert. Klappt alles.
Client Log UDP:
Thu Apr 18 08:52:06 2019 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Thu Apr 18 08:52:06 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Apr 18 08:52:06 2019 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
Enter Management Password:
Thu Apr 18 08:52:06 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.231.4:1194
Thu Apr 18 08:52:06 2019 UDP link local (bound): [AF_INET][undef]:0
Thu Apr 18 08:52:06 2019 UDP link remote: [AF_INET]192.168.231.4:1194
Thu Apr 18 08:52:06 2019 [xxxxxx.xxx] Peer Connection Initiated with [AF_INET]192.168.231.4:1194
Thu Apr 18 08:52:07 2019 open_tun
Thu Apr 18 08:52:07 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{322A20D5-0A7D-4DAE-A181-61DA82ECA223}.tap
Thu Apr 18 08:52:07 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.235.6/255.255.255.252 on interface {322A20D5-0A7D-4DAE-A181-61DA82ECA223} [DHCP-serv: 192.168.235.5, lease-time: 31536000]
Thu Apr 18 08:52:07 2019 Successful ARP Flush on interface [5] {322A20D5-0A7D-4DAE-A181-61DA82ECA223}
Thu Apr 18 08:52:07 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Apr 18 08:52:13 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Apr 18 08:52:13 2019 Initialization Sequence Completed
Thu Apr 18 08:52:39 2019 SIGTERM[hard,] received, process exiting
Da ich aber UDP Ports nicht vorwarden kann, brauche ich einen TCP VPN Server.
Kein Problem, dachte ich. In der Server-Konfiguration UDP auf TCP umgestellt, dasselbe bei der Client-Konfiguration. Leider kann dann keine Verbindung hergestellt werden:
Client Log TCP:
Thu Apr 18 09:05:30 2019 us=760599 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Thu Apr 18 09:05:30 2019 us=760599 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Apr 18 09:05:30 2019 us=760599 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
Enter Management Password:
Thu Apr 18 09:05:30 2019 us=761095 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Apr 18 09:05:30 2019 us=761095 Need hold release from management interface, waiting...
Thu Apr 18 09:05:31 2019 us=228772 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Apr 18 09:05:31 2019 us=336010 MANAGEMENT: CMD 'state on'
Thu Apr 18 09:05:31 2019 us=336405 MANAGEMENT: CMD 'log all on'
Thu Apr 18 09:05:31 2019 us=516510 MANAGEMENT: CMD 'echo all on'
Thu Apr 18 09:05:31 2019 us=517999 MANAGEMENT: CMD 'bytecount 5'
Thu Apr 18 09:05:31 2019 us=518991 MANAGEMENT: CMD 'hold off'
Thu Apr 18 09:05:31 2019 us=520479 MANAGEMENT: CMD 'hold release'
Thu Apr 18 09:05:31 2019 us=522959 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Apr 18 09:05:31 2019 us=522959 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Apr 18 09:05:31 2019 us=522959 Control Channel MTU parms [ L:1623 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Thu Apr 18 09:05:31 2019 us=522959 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Thu Apr 18 09:05:31 2019 us=523455 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Thu Apr 18 09:05:31 2019 us=523455 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Thu Apr 18 09:05:31 2019 us=523455 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.231.4:1194
Thu Apr 18 09:05:31 2019 us=523455 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Apr 18 09:05:31 2019 us=523455 Attempting to establish TCP connection with [AF_INET]192.168.231.4:1194 [nonblock]
Thu Apr 18 09:05:31 2019 us=523455 MANAGEMENT: >STATE:1555571131,TCP_CONNECT,,,,,,
Thu Apr 18 09:07:32 2019 us=669700 TCP: connect to [AF_INET]192.168.231.4:1194 failed: Unknown error
Thu Apr 18 09:07:32 2019 us=670590 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Thu Apr 18 09:07:32 2019 us=670590 MANAGEMENT: >STATE:1555571252,RECONNECTING,init_instance,,,,,
Thu Apr 18 09:07:32 2019 us=670590 Restart pause, 5 second(s)
Thu Apr 18 09:07:33 2019 us=683907 SIGTERM[hard,init_instance] received, process exiting
Thu Apr 18 09:07:33 2019 us=683907 MANAGEMENT: >STATE:1555571253,EXITING,init_instance,,,,,
Server Log TCP:
Apr 18 09:05:11 OPNsense openvpn[72934]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Apr 18 09:05:11 OPNsense openvpn[72934]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 18 09:05:11 OPNsense openvpn[72934]: Re-using SSL/TLS context
Apr 18 09:05:11 OPNsense openvpn[72934]: Control Channel MTU parms [ L:1623 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Apr 18 09:05:11 OPNsense openvpn[72934]: Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Apr 18 09:05:11 OPNsense openvpn[72934]: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Apr 18 09:05:11 OPNsense openvpn[72934]: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Apr 18 09:05:11 OPNsense openvpn[72934]: TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.231.4:1194
Apr 18 09:05:11 OPNsense openvpn[72934]: Socket Buffers: R=[65228->65228] S=[65228->65228]
Apr 18 09:05:11 OPNsense openvpn[72934]: Attempting to establish TCP connection with [AF_INET]192.168.231.4:1194 [nonblock]
Apr 18 09:05:11 OPNsense openvpn[72934]: TCP connection established with [AF_INET]192.168.231.4:1194
Apr 18 09:05:11 OPNsense openvpn[72934]: TCP_CLIENT link local: (not bound)
Apr 18 09:05:11 OPNsense openvpn[72934]: TCP_CLIENT link remote: [AF_INET]192.168.231.4:1194
Apr 18 09:05:11 OPNsense openvpn[26171]: MULTI: multi_create_instance called
Apr 18 09:05:11 OPNsense openvpn[26171]: Re-using SSL/TLS context
Apr 18 09:05:11 OPNsense openvpn[26171]: Control Channel MTU parms [ L:1623 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Apr 18 09:05:11 OPNsense openvpn[26171]: Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Apr 18 09:05:11 OPNsense openvpn[26171]: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Apr 18 09:05:11 OPNsense openvpn[26171]: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Apr 18 09:05:11 OPNsense openvpn[26171]: TCP connection established with [AF_INET]192.168.231.4:8471
Apr 18 09:05:11 OPNsense openvpn[26171]: TCPv4_SERVER link local: (not bound)
Apr 18 09:05:11 OPNsense openvpn[26171]: TCPv4_SERVER link remote: [AF_INET]192.168.231.4:8471
Apr 18 09:05:11 OPNsense openvpn[26171]: 192.168.231.4:8471 TLS: Initial packet from [AF_INET]192.168.231.4:8471, sid=6068271c e125605d
Apr 18 09:05:11 OPNsense openvpn[26171]: 192.168.231.4:8471 Authenticate/Decrypt packet error: packet HMAC authentication failed
Apr 18 09:05:11 OPNsense openvpn[26171]: 192.168.231.4:8471 TLS Error: incoming packet authentication failed from [AF_INET]192.168.231.4:8471
Apr 18 09:05:11 OPNsense openvpn[26171]: 192.168.231.4:8471 Fatal TLS error (check_tls_errors_co), restarting
Apr 18 09:05:11 OPNsense openvpn[26171]: 192.168.231.4:8471 SIGUSR1[soft,tls-error] received, client-instance restarting
Apr 18 09:05:11 OPNsense openvpn[26171]: TCP/UDP: Closing socket
Apr 18 09:05:11 OPNsense openvpn[72934]: Connection reset, restarting [0]
Apr 18 09:05:11 OPNsense openvpn[72934]: TCP/UDP: Closing socket
Apr 18 09:05:11 OPNsense openvpn[72934]: SIGUSR1[soft,connection-reset] received, process restarting
Apr 18 09:05:11 OPNsense openvpn[72934]: Restart pause, 300 second(s)
Müsste doch eigentlich klappen indem ich "nur" das Protokoll umstelle?
Was mache ich falsch?
Muss noch etwas im Zusammenhang mit TLS geändert werden (TLS Fehlermeldungen)?
Im Firewall Log finde ich keinen Hinweis darauf, dass etwas geblockt wird. Alle Regeln sind Protokollunabhängig gestaltet.
Danke für Hilfe.
Gruss Luma
-
Hast du auch die Firewall Regel angepasst?
Gesendet von iPhone mit Tapatalk Pro
-
Hi micneu
Nein, habe ich nicht. Hab in den betroffenen Regeln bei Protocol überall any drin. Also eigentlich keine Anpassung nötig.
-
Die Firewall mal neugestartet?
Gesendet von iPad mit Tapatalk Pro
-
Ja, habe ich gemacht. Hat leider nichts gebracht!
-
Kannst du mal deine config posten, vielleicht sehe ich dann was.
Hier mal meine Firewall Einstellung für mein OpenVPN
(https://uploads.tapatalk-cdn.com/20190422/4bc9661b57074dc551892665820c968d.jpg)
Ich habe OpenVPN bei mir auf Port 443 Udo laufen
Gesendet von iPad mit Tapatalk Pro
-
Hier die server1.conf
dev ovpns1
verb 4
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA512
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
local 192.168.231.4
client-connect "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_setup_cso.php server1"
tls-server
server 192.168.235.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'abcdefg.hi' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.232.0 255.255.255.0"
push "dhcp-option DOMAIN klmnop.qr"
push "dhcp-option DNS 192.168.232.20"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.2048.sample
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
float
und hier die Client Conf:
dev tun
persist-tun
persist-key
proto tcp-client
cipher AES-256-CBC
auth SHA512
client
verb 4
resolv-retry infinite
remote 192.168.231.4 1194 tcp
lport 0
verify-x509-name "C=CH, ST=Staat, L=Ort, O=abcdefg.hi, emailAddress=mein.name@abcdefg.hi, CN=abcdefg.hi" subject
remote-cert-tls server
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
Regeln bei den Rules-OpenVPN habe ich nur eine: PASS - IPV4 - Source: any - Destination: any
Wie schon oben bemerkt: mit UDP läuft alles einwandfrei!
-
opnsense virtuell oder real? Irgendwelche Details zum Aufbau (Modem? Witzbox? Sonstwas?)
-
Ich hätte gerne noch die Konfiguration der opnsense gesehen, alles was du in der Firewall Einstellung hast
Gesendet von iPad mit Tapatalk Pro
-
@ chemlud:
Opnsense real.
Mit 4 Interfaces: blau (WLan), grün, orange (DMZ) und rot (LAN).
192.168.231.4 ist die rote ("WAN-") Adresse. 192.168.231.2 ist ein LTE-Router mit privater IP im Internet.
VPN Port bei UDP und TCP: 1194
Zu Testzwecken möchte ich VPN zuerst direkt an 192.168.231.4 zum laufen bringen (was mit UDP problemlos klappt, nur vie TCP nicht).
Gruss Luma
-
@ micneu:
Firewall: Settings: Advanced: folgendes ist checked:
- Allow IPv6
- Reflection for port forwards
- Automatic outbound NAT for Reflection
- Kill states
- Sticky connections
- Shared forwarding
Alles andere ist default oder nicht gechecked.
Firewall: Settings: Normalization: nichts gechecked, alles default.
Firewall: Settings: Schedules: keine Einträge
Gruss Luma
-
schick doch mal bitte bilder von der konfigurations punkten
so kann ich es besser vergleichen
-
Firewall-Settings:
(https://heernet.ch/Temp/Bild_01.JPG)
(https://heernet.ch/Temp/Bild_02.JPG)
(https://heernet.ch/Temp/Bild_03.JPG)
-
ok, ich drücke mich halt echt schlecht aus.
bitte schicke mal die bilder deiner konfiguration von deinen eingestellten FIREWALL REGELN
-
Hast du das gemeint?
Firewall: Rules: OpenVPN:
(https://heernet.ch/Temp/Bild_04.JPG)
-
von deinem WAN device bitte
-
Firewall: Rules: rot:
(https://heernet.ch/Temp/Bild_05.JPG)
-
ich sehe da keine regel für dein OpenVPN
hier NOCHMAL, ich habe mein OpenVPN auf Port 443 UDP
ich hoffe "rot" ist wirklich dein WAN?
-
Meine erste Regel auf rot erlaubt ja schon jeden Verkehr überall hin in jede Richtung für alle Protokolle.
Was meinst du denn was noch fehlt?
-
Ich habe die jetzt genug beispiele gesendet, probiere doch einfach mal eine regel so anzulegen.
bei mir geht es so, ich sehe auch keinen sinn wenn du alles erlaubst wofür du dann Opnsense brauchst
-
Ich habe die Regel, die alles erlaubt doch nur angelegt, um die VPN-Verbindung hinzukriegen, die lösche ich doch wieder, wenn es klappt.
-
schick mal bitte ein bild was du für netze unter
Firewall --> Rules hast.
ich habe gerade ein verständnis problem.
-
(https://heernet.ch/Temp/Bild_06.JPG)
-
also, bitte ändere mal deine erste regel so ab wie in meinem beispiel mit deinem port.
und teste es dann nochmal
-
und schicke mir mal bitte ein bild von:
System --> Gateways --> Single
-
Also, ich hab jetzt folgende Regel angepasst:
(https://heernet.ch/Temp/Bild_07.JPG)
Die Details:
(https://heernet.ch/Temp/Bild_08.JPG)
Dann hab ich es nochmals versucht, leider immer noch der gleiche Fehler.
Auf dem Port geht jedenfalls was:
(https://heernet.ch/Temp/Bild_09.JPG)
Das hatte ich vorher aber auch schon.
-
System: Gateways: Single:
(https://heernet.ch/Temp/Bild_10.JPG)
-
mir sind 2 sachen aufgefallen, in den logs die du am anfang gepostet hast ist bei dem server die ip: 192.168.231.4
bei dem aktuellen bild hat aber dein GW: 192.168.231.2
wenn du es nicht in der clientconfig geändert hast geht die anfrage ins nirwana.
-
192.168.231.4 ist die IP des "WAN"-Interface des OPNsense. Also eigentlich doch die IP des VPN-Servers.
192.168.231.2 ist die IP des LTE-Routers. Von diesem geht's dann in's Internet.
Mein PC, von dem ich die VPN-Verbindung aufbauen will hat die IP 192.168.231.101.
Geändert habe ich in der Clientconfig nichts. Aus Sicht des Clients ist der der VPN-Server auf 192.168.231.4 zu erreichen. Mit UDP klappt's jedenfalls so!
-
keine ahnung, bei mir geht es, irgendwas hast du bei dir anderst was ich nicht sehen kann
-
... wenn ich nur wüsste was???
Das komische ist ja eben: Mit UDP get alles, es kann eine Verbindung hergestellet werden. Die restliche Konfiguration bleibt absolut identisch nur das Protokoll ändere ich von UDP nach TCP! Dann läuft es nicht mehr.
-
ich hätte gerne noch das du mal das bild web gui von deiner openvpn server config
-
Guten Morgen micneu
erst mal vielen Dank, dass du mit versuchst zu helfen, das schätze ich sehr!
Hier noch die Server-Konfigurations-GUI:
(https://heernet.ch/Temp/Bild_11.JPG)
(https://heernet.ch/Temp/Bild_12.JPG)
(https://heernet.ch/Temp/Bild_13.JPG)
-
Noch eine Bemerkung:
Ich habe im GUI der Server- und der Client-Konfiguration alles eingestellt. Auch Protocol TCP. Dann bekomme ich die Fehlermeldung, wie im ersten Post beschrieben.
Dann habe ich lediglich im GUI der Server-Konfiguration das Protocol auf UDP umgestellt und im Client-Konfigurationsfile (nicht im OPNsense-GUI) von tcp auf udp umgestellt. Dann läuft alles!
Ist doch sehr merkwürdig!
Nochmals: Ziel ist es VPN mit Protocol TCP zum laufen zu bringen...
-
> Da ich aber UDP Ports nicht vorwarden kann, brauche ich einen TCP VPN Server.
Darf ich mal dazwischenfragen, was das heißen oder bedeuten mag?
-
Hi JeGr
Der Grund ist, dass ich von meinem Provider auf meinem LTE-Router eine private IP bekomme. TCP-Ports kann ich via einen externen Host (Amazon) vorwarden, das geht leider mit UDP nicht.
Ich habe schon versucht auf dem Amazon Rechner mit socat UDP in TCP zu wandeln und das dann zu forwarden und bei mit socat wieder zurück nach UDP. Aber das klappt leider nicht richtig. Daher schien mit die einfachste Möglichkeit ein TCP VPN-Server zu konfigurieren.
Gruss Luma
-
Inzwischen habe ich auf einem andern Rechner OPNsense installiert. Dort habe ich keine grossen Einstellungen vorgenommen und einen VPN-Server definiert.
Leider bekomme ich TCP auch nicht zum laufen. Wie schon zuvor: UDP läuft perfekt. Dann stelle ich lediglich UDP auf TCP um und exportiere den Client nochmals. Dieselbe Fehlermeldung:
Sat Apr 27 13:25:41 2019 us=231485 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Sat Apr 27 13:25:41 2019 us=231485 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Apr 27 13:25:41 2019 us=231485 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
Enter Management Password:
Sat Apr 27 13:25:41 2019 us=232477 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25343
Sat Apr 27 13:25:41 2019 us=232477 Need hold release from management interface, waiting...
Sat Apr 27 13:25:41 2019 us=691023 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25343
Sat Apr 27 13:25:41 2019 us=798483 MANAGEMENT: CMD 'state on'
Sat Apr 27 13:25:41 2019 us=799376 MANAGEMENT: CMD 'log all on'
Sat Apr 27 13:25:41 2019 us=998770 MANAGEMENT: CMD 'echo all on'
Sat Apr 27 13:25:42 2019 us=784 MANAGEMENT: CMD 'bytecount 5'
Sat Apr 27 13:25:42 2019 us=4226 MANAGEMENT: CMD 'hold off'
Sat Apr 27 13:25:42 2019 us=5742 MANAGEMENT: CMD 'hold release'
Sat Apr 27 13:25:44 2019 us=195607 MANAGEMENT: CMD 'username "Auth" "Luma"'
Sat Apr 27 13:25:44 2019 us=206022 MANAGEMENT: CMD 'password [...]'
Sat Apr 27 13:25:44 2019 us=208998 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Apr 27 13:25:44 2019 us=208998 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Apr 27 13:25:44 2019 us=209493 Control Channel MTU parms [ L:1623 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Sat Apr 27 13:25:44 2019 us=209989 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Sat Apr 27 13:25:44 2019 us=209989 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Sat Apr 27 13:25:44 2019 us=209989 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1603,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Sat Apr 27 13:25:44 2019 us=209989 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.231.5:1194
Sat Apr 27 13:25:44 2019 us=209989 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Apr 27 13:25:44 2019 us=209989 Attempting to establish TCP connection with [AF_INET]192.168.231.5:1194 [nonblock]
Sat Apr 27 13:25:44 2019 us=209989 MANAGEMENT: >STATE:1556364344,TCP_CONNECT,,,,,,
Sat Apr 27 13:27:45 2019 us=603663 TCP: connect to [AF_INET]192.168.231.5:1194 failed: Unknown error
Sat Apr 27 13:27:45 2019 us=604560 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Sat Apr 27 13:27:45 2019 us=604560 MANAGEMENT: >STATE:1556364465,RECONNECTING,init_instance,,,,,
Sat Apr 27 13:27:45 2019 us=604560 Restart pause, 5 second(s)
Sat Apr 27 13:27:47 2019 us=605828 SIGTERM[hard,init_instance] received, process exiting
Sat Apr 27 13:27:47 2019 us=605828 MANAGEMENT: >STATE:1556364467,EXITING,init_instance,,,,,
Jemand eine Idee? Ich bin ratlos...
-
Wenn Du UDP nutzt, was steht da bei Link-MTU? Weil 1603 erscheint mir etwas groß und gerade wenn ich MTU ud LTE google, dann sind die Werte eher noch kleiner als bei Ethernet (1500)
-
Hi hbc
Bei UDP ist die Link-MTU 1601. Hier findest du den Log mit der erfolgreichen UDP-Verbindung:
Sat Apr 27 14:35:36 2019 us=732288 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
Sat Apr 27 14:35:36 2019 us=732288 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Apr 27 14:35:36 2019 us=732288 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
Enter Management Password:
Sat Apr 27 14:35:36 2019 us=733280 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25343
Sat Apr 27 14:35:36 2019 us=733280 Need hold release from management interface, waiting...
Sat Apr 27 14:35:37 2019 us=196511 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25343
Sat Apr 27 14:35:37 2019 us=304111 MANAGEMENT: CMD 'state on'
Sat Apr 27 14:35:37 2019 us=305101 MANAGEMENT: CMD 'log all on'
Sat Apr 27 14:35:37 2019 us=511435 MANAGEMENT: CMD 'echo all on'
Sat Apr 27 14:35:37 2019 us=512922 MANAGEMENT: CMD 'bytecount 5'
Sat Apr 27 14:35:37 2019 us=513914 MANAGEMENT: CMD 'hold off'
Sat Apr 27 14:35:37 2019 us=515402 MANAGEMENT: CMD 'hold release'
Sat Apr 27 14:35:39 2019 us=429806 MANAGEMENT: CMD 'username "Auth" "Luma"'
Sat Apr 27 14:35:39 2019 us=437341 MANAGEMENT: CMD 'password [...]'
Sat Apr 27 14:35:39 2019 us=439821 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Apr 27 14:35:39 2019 us=439821 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sat Apr 27 14:35:39 2019 us=439821 Control Channel MTU parms [ L:1621 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Sat Apr 27 14:35:39 2019 us=440319 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
Sat Apr 27 14:35:39 2019 us=440319 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1601,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Sat Apr 27 14:35:39 2019 us=440319 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1601,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Sat Apr 27 14:35:39 2019 us=440813 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.231.5:1194
Sat Apr 27 14:35:39 2019 us=440813 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Apr 27 14:35:39 2019 us=440813 UDP link local (bound): [AF_INET][undef]:0
Sat Apr 27 14:35:39 2019 us=440813 UDP link remote: [AF_INET]192.168.231.5:1194
Sat Apr 27 14:35:39 2019 us=440813 MANAGEMENT: >STATE:1556368539,WAIT,,,,,,
Sat Apr 27 14:35:39 2019 us=447261 MANAGEMENT: >STATE:1556368539,AUTH,,,,,,
Sat Apr 27 14:35:39 2019 us=447758 TLS: Initial packet from [AF_INET]192.168.231.5:1194, sid=e18c73a5 83345369
Sat Apr 27 14:35:39 2019 us=447758 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Apr 27 14:35:39 2019 us=849977 VERIFY OK: depth=1, C=CH, ST=Xxxx, L=Yyyy, O=OPNsense, emailAddress=spam@test.com, CN=internal-ca
Sat Apr 27 14:35:39 2019 us=851462 VERIFY KU OK
Sat Apr 27 14:35:39 2019 us=851462 Validating certificate extended key usage
Sat Apr 27 14:35:39 2019 us=851462 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sat Apr 27 14:35:39 2019 us=851462 VERIFY EKU OK
Sat Apr 27 14:35:39 2019 us=851462 VERIFY X509NAME OK: C=CH, ST=Xxxx, L=Yyyy, O=OPNsense, emailAddress=spam@test.com, CN=VPN Server Certificate
Sat Apr 27 14:35:39 2019 us=851462 VERIFY OK: depth=0, C=CH, ST=Xxxx, L=Yyyy, O=OPNsense, emailAddress=spam@test.com, CN=VPN Server Certificate
Sat Apr 27 14:35:40 2019 us=558293 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Sat Apr 27 14:35:40 2019 us=558293 [VPN Server Certificate] Peer Connection Initiated with [AF_INET]192.168.231.5:1194
Sat Apr 27 14:35:41 2019 us=686135 MANAGEMENT: >STATE:1556368541,GET_CONFIG,,,,,,
Sat Apr 27 14:35:41 2019 us=686524 SENT CONTROL [VPN Server Certificate]: 'PUSH_REQUEST' (status=1)
Sat Apr 27 14:35:41 2019 us=692474 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.235.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.235.6 192.168.235.5,peer-id 0,cipher AES-256-GCM'
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: timers and/or timeouts modified
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: --ifconfig/up options modified
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: route options modified
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: peer-id set
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: adjusting link_mtu to 1624
Sat Apr 27 14:35:41 2019 us=693466 OPTIONS IMPORT: data channel crypto options modified
Sat Apr 27 14:35:41 2019 us=693960 Data Channel: using negotiated cipher 'AES-256-GCM'
Sat Apr 27 14:35:41 2019 us=693960 Data Channel MTU parms [ L:1552 D:1450 EF:52 EB:406 ET:0 EL:3 ]
Sat Apr 27 14:35:41 2019 us=694457 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Apr 27 14:35:41 2019 us=694953 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Apr 27 14:35:41 2019 us=694953 interactive service msg_channel=828
Sat Apr 27 14:35:41 2019 us=716280 ROUTE_GATEWAY 192.168.231.2/255.255.255.0 I=18 HWADDR=54:8c:a0:ac:b2:d3
Sat Apr 27 14:35:41 2019 us=718761 open_tun
Sat Apr 27 14:35:41 2019 us=727736 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{322A20D5-0A7D-4DAE-A181-61DA82ECA223}.tap
Sat Apr 27 14:35:41 2019 us=728222 TAP-Windows Driver Version 9.21
Sat Apr 27 14:35:41 2019 us=728222 TAP-Windows MTU=1500
Sat Apr 27 14:35:41 2019 us=734134 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.235.6/255.255.255.252 on interface {322A20D5-0A7D-4DAE-A181-61DA82ECA223} [DHCP-serv: 192.168.235.5, lease-time: 31536000]
Sat Apr 27 14:35:41 2019 us=735126 Successful ARP Flush on interface [5] {322A20D5-0A7D-4DAE-A181-61DA82ECA223}
Sat Apr 27 14:35:41 2019 us=758934 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sat Apr 27 14:35:41 2019 us=758934 MANAGEMENT: >STATE:1556368541,ASSIGN_IP,,192.168.235.6,,,,
Sat Apr 27 14:35:46 2019 us=894876 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Apr 27 14:35:46 2019 us=894876 MANAGEMENT: >STATE:1556368546,ADD_ROUTES,,,,,,
Sat Apr 27 14:35:46 2019 us=895372 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.235.5
Sat Apr 27 14:35:46 2019 us=900331 Route addition via service succeeded
Sat Apr 27 14:35:46 2019 us=900331 C:\Windows\system32\route.exe ADD 192.168.235.1 MASK 255.255.255.255 192.168.235.5
Sat Apr 27 14:35:46 2019 us=907276 Route addition via service succeeded
Sat Apr 27 14:35:46 2019 us=907765 Initialization Sequence Completed
Sat Apr 27 14:35:46 2019 us=907765 MANAGEMENT: >STATE:1556368546,CONNECTED,SUCCESS,192.168.235.6,192.168.231.5,1194,,
Könnte da was faul sein?
-
Was noch zu erwähnen ist, dass ich im Firewallog Traffic sehe, jedoch im VPN-Log des Servers absolut nichte ersichlich ist:
(https://heernet.ch/Temp/Bild_14.JPG)
-
Etwas weiteres ist mir noch aufgefallen:
Wenn ich den UDP-Server konfiguriere und mit netstat -ln die Ports abfrage erhalte ich:
root@OPNsense:~ # netstat -ln
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 192.168.1.1.443 192.168.1.100.62225 ESTABLISHED
tcp4 0 64 192.168.1.1.22 192.168.1.100.62205 ESTABLISHED
udp4 0 0 192.168.231.5.1194 *.*
udp4 0 0 192.168.235.1.123 *.*
...
Hier sehe ich, dass auf Port 1194 gehört wird.
Wenn ich jedoch den TCP-Server konfiguriere, dann hört niemand auf dem Port 1194!
Das ist doch auch nicht normal, würde jedoch erklären, wieso im TCP-Fall im VPN-Log nichts zu sehen ist...
-
Ich weiß nicht genau, wie FreeBSD da tickt. Wäre nicht das erste Mal, das netstat -ln da nix anzeigt (zumindest bei mir). Ich mache da lieber bei tcp ein Telnet auf den Port.
-
Ich hab mal mit nc auf 1194 versucht zu connecten (TCP und UDP). Im Firewallog sehe ich den Traffic, kommt aber keine Antwort zurück. Ist das normal?
-
Hallo zusammen
Problem gelöst! :)
Lösung siehe Thread: https://forum.opnsense.org/index.php?topic=12779.0
Gruss Luma