Mit openvpn verbunden oder doch nicht?

[nivea]

Hi,

Code: Alles auswählen

hans init.d # /etc/init.d/openvpn restart
 * Stopping virtual private network daemon(s)...                                                                                                              
*   Stopping VPN 'hotsplots'                                                                                                                         [ OK ] 
 * Starting virtual private network daemon(s)...                                                                                                              
*   Autostarting VPN 'hotsplots'                                                                                                                            
hans init.d # /etc/init.d/openvpn status
 * VPN 'hotsplots' is running

Dann im Firefox bei heise netze meine ip nachgeschlagen. Ergebnis: x.y.210.210

Code: Alles auswählen

hans init.d # /etc/init.d/openvpn stop
 * Stopping virtual private network daemon(s)...                                                                                                              
*   Stopping VPN 'hotsplots'                                                                                                                         [ OK ]

Wieder im Firefox bei heise netze reload gedrückt. Ergebnis: x.y.210.210


Jetzt frage ich mich natürlich ob der VPN-Tunnel überhaupt aufgebaut wird und ob die Firefox anfragen durch den Tunnel gehen oder eben vermutlich eher nicht.

Was kann ich tun? (Ziel des ganzen ist es einen Content-Filter zu umgehen.)

Danke,
nivea!

[Cae]

Naja, du hast da wohl einen Tunnel, aber ohne angepasstes Routing wird er nicht fuer den normalen Traffic verwendet. Ob der Tunnel besteht, duerfte sich am einfachsten daran erkennen lassen, dass in

Code: Alles auswählen

$ ip addr

ein tun- oder tap-Device mit einer IP darauf auftaucht.

Gruss Cae

[nivea]

Danke!

Code: Alles auswählen

hans ~ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:13:77:3c:33:3e brd ff:ff:ff:ff:ff:ff
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:1b:9e:4c:48:91 brd ff:ff:ff:ff:ff:ff
    inet 192.168.188.24/24 brd 192.168.188.255 scope global wlan0
    inet6 fe80::21b:9eff:fe4c:4891/64 scope link 
       valid_lft forever preferred_lft forever

Kein tun, kein tap!?
Also läuft es gar nicht, obwohl ich beim start oder restart garkeine fehlermeldung bekommen?

Vielen Dank,
nivea

[Cae]

Ja, das wuerde ich so sehen. Die Konfiguration sagt sicher aus, ob es ein Logging gibt, welches wiederum die Eigenheiten beim Starten erklaeren wuerde.

Gruss Cae

[nivea]

Danke Cae für Deine Antwort!

[reox]

wenn du mit

Code: Alles auswählen

openvpn --config /etc/openvpn/dein_config_file.conf

startest, rennt openvpn nicht als daemon und du siehst den debug output. Idealerweise drehst du dein log level in der Config ein wenig höher (zB verb 4, mehr ist imo nicht notwendig)
normalerweise sieht man dann recht schnell was nicht passt, zB keys mit falschen rechten, tun device kann nicht erstellt werden, auth failure, server client config passt nicht zusammen, ...

das der dienst startet aber kein das vpn nicht geht, ist ganz normal - zumindest bei openvpn. Denn der dienst selber startet ja, das vpn selber nur nicht... Anders wäre es wenn zB openvpn selber einen fehler hätte (etwa keine rechte auf die config, syntax error in der config, etc), dann würde der dienst auch nicht starten

[nivea]

Hallo Jungs und Mädels.

Ich grabe den alten Thread noch Mal aus. Als aller erstes vielen Dank an reox! War sehr hilfreich.

Bin ein kleines Stückchen weiter gekommen. Die Pfade für die Dateien habe ich jetzt vollständig angegeben. In der Vergangenheit reichte es den Dateinamen anzugeben, wenn die Dateien im selben Verzeichnis liegen.

Nun habe ich folgenden Stand:

Code: Alles auswählen

hans@hans ~ $ sudo openvpn --config /etc/openvpn/hotsplots.conf 
Sun Jun 28 16:33:46 2015 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Sun Jun 28 16:33:46 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Jun 28 16:33:46 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 28 16:33:46 2015 Control Channel MTU parms [ L:1545 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 28 16:33:46 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Jun 28 16:33:46 2015 RESOLVE: NOTE: vpn.hotsplots.net resolves to 2 addresses
Sun Jun 28 16:33:46 2015 Data Channel MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 16:33:46 2015 Fragmentation MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 16:33:46 2015 Local Options hash (VER=V4): '35ec189c'
Sun Jun 28 16:33:46 2015 Expected Remote Options hash (VER=V4): '9b1c411c'
Sun Jun 28 16:33:46 2015 UDPv4 link local (bound): [undef]
Sun Jun 28 16:33:46 2015 UDPv4 link remote: [AF_INET]46.228.204.146:1194
Sun Jun 28 16:34:46 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jun 28 16:34:46 2015 TLS Error: TLS handshake failed
Sun Jun 28 16:34:46 2015 TCP/UDP: Closing socket
Sun Jun 28 16:34:46 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Jun 28 16:34:46 2015 Restart pause, 2 second(s)
[...] hier wiederholt sich der ganze krempel, deswegen weggeschnitten
hans@hans ~ $ 

Mir fällt vor allem das hier auf: "TLS key negotiation failed to occur within 60 seconds (check your network connectivity)"
Die ausführlichen Hinweise von OpenVPN: http://tinyurl.com/psc5yz5

Wenn ich den Netalyzr-Test mache steht im Ergebnis unter anderem:

Code: Alles auswählen

Direkter TCP-Zugriff auf nichtlokale OpenVPN-Server (Port 1194) ist zulässig. 

Andererseits:

Code: Alles auswählen

hans@hans ~ $ sudo traceroute -T -p 1194 vpn.hotsplots.net
[sudo] password for hans: 
traceroute to vpn.hotsplots.net (46.228.204.146), 30 hops max, 60 byte packets
 1  192.168.188.1 (192.168.188.1)  1.670 ms  2.340 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
hans@hans ~ $ 

Jetzt bin ich zum einen unsicher ob der Port 1194 überhaupt mein Problem ist und wenn ja ob der Port 1194 jetzt zum VPN Anbieter hotsplots durchgeht oder nicht. Und falls er durchgeht, ob ich vielleicht nur die Antwort nicht bekomme?

Würde mich über Eure Tipps natürlich sehr freuen.

Schönen Sonntach!

[dufty2]

Nunja, den trace machst Du mit TCP ("-T") aber Dein obiger Verbindungsaufbau geschieht über UDP.
Ein
# traceroute -I -p 1194 vpn.hotsplots.net
sollte gehen.

Ein Hinweis noch (der auch im Verbindungsaufbau erwähnt wird):
$ host vpn.hotsplots.net
vpn.hotsplots.net has address 46.228.204.146
vpn.hotsplots.net has address 5.135.71.96

[nivea]

Hi dufty2,

spitzenmässig, vielen Dank für den Hinweis auf den Fehler im traceroute und dass die URL auf zwei IP aufgelöst wird!

Code: Alles auswählen

hans@hans ~ $ sudo traceroute -I -p 1194 vpn.hotsplots.net
[sudo] password for hans: 
traceroute to vpn.hotsplots.net (5.135.71.96), 30 hops max, 60 byte packets
 1  192.168.188.1 (192.168.188.1)  1.332 ms  2.045 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  sbg-g2-a9.fr.eu (37.187.232.94)  16.244 ms * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * vpn301.hotsplots.net (5.135.71.96)  15.546 ms  15.770 ms

hans@hans ~ $ sudo traceroute -I -p 1194 46.228.204.146
traceroute to 46.228.204.146 (46.228.204.146), 30 hops max, 60 byte packets
 1  192.168.188.1 (192.168.188.1)  1.727 ms  3.413 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * xe1-decix-v4.fra1-de.myloc.de (80.81.192.162)  24.954 ms
12  xe2-dus1-v4.dus2-de.myloc.de (62.141.47.138)  21.064 ms * *
13  vpn4.hotsplots.net (46.228.204.146)  19.586 ms * *

hans@hans ~ $ sudo traceroute -I -p 1194 5.135.71.96
traceroute to 5.135.71.96 (5.135.71.96), 30 hops max, 60 byte packets
 1  192.168.188.1 (192.168.188.1)  1.753 ms  2.455 ms *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  sbg-g2-a9.fr.eu (37.187.232.94)  239.725 ms * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * vpn301.hotsplots.net (5.135.71.96)  15.495 ms  15.698 ms

Ich hab jetzt in der openvpn.conf vpn4.hotsplots.net eingetragen. Die TLS key negotiation scheitert wieder:

Code: Alles auswählen

hans@hans ~ $ sudo openvpn --config /etc/openvpn/hotsplots.conf 
Sun Jun 28 20:16:14 2015 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jun 28 20:16:14 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Jun 28 20:16:14 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 28 20:16:14 2015 Control Channel MTU parms [ L:1545 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 28 20:16:14 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Jun 28 20:16:14 2015 Data Channel MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 20:16:14 2015 Fragmentation MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 20:16:14 2015 Local Options hash (VER=V4): '35ec189c'
Sun Jun 28 20:16:14 2015 Expected Remote Options hash (VER=V4): '9b1c411c'
Sun Jun 28 20:16:14 2015 UDPv4 link local (bound): [undef]
Sun Jun 28 20:16:14 2015 UDPv4 link remote: [AF_INET]46.228.204.146:1194
Sun Jun 28 20:17:14 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jun 28 20:17:14 2015 TLS Error: TLS handshake failed
Sun Jun 28 20:17:14 2015 TCP/UDP: Closing socket
Sun Jun 28 20:17:14 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Jun 28 20:17:14 2015 Restart pause, 2 second(s)

Dann noch ein Mal den Server in der openvpn.conf auf vpn301.hotsplots.net geändert. Same same but different:

Code: Alles auswählen

hans@hans ~ $ sudo openvpn --config /etc/openvpn/hotsplots.conf 
Sun Jun 28 20:23:08 2015 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Sun Jun 28 20:23:08 2015 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Jun 28 20:23:08 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 28 20:23:08 2015 Control Channel MTU parms [ L:1545 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 28 20:23:08 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Jun 28 20:23:08 2015 Data Channel MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 20:23:08 2015 Fragmentation MTU parms [ L:1545 D:1300 EF:45 EB:4 ET:0 EL:0 ]
Sun Jun 28 20:23:08 2015 Local Options hash (VER=V4): '35ec189c'
Sun Jun 28 20:23:08 2015 Expected Remote Options hash (VER=V4): '9b1c411c'
Sun Jun 28 20:23:08 2015 UDPv4 link local (bound): [undef]
Sun Jun 28 20:23:08 2015 UDPv4 link remote: [AF_INET]5.135.71.96:1194
Sun Jun 28 20:24:08 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jun 28 20:24:08 2015 TLS Error: TLS handshake failed
Sun Jun 28 20:24:08 2015 TCP/UDP: Closing socket
Sun Jun 28 20:24:08 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Jun 28 20:24:08 2015 Restart pause, 2 second(s)

Ich gucke noch mal im OpenVPN-Forum. Über weitere Hinweise freue ich mich natürlich trotzdem riesig.

Danke und schönen Abend.