VPN und Zwangstrennung Provider

[mat6937]

ich hatte auch mal die beide Einträge ergänzt

connect-retry xx
connect-retry-max xx

Aber dann hat sich das Plugin auf dem Client nicht mehr starten lassen, es stand als Hinweis ich soll die config prüfen.

Das hatten wir doch schon, dass diese Optionen/Konfiguration nur mit dem "proto tcp-client", genutzt werden sollen/können.

[grosser]

Achso, stimmt. Fehler vom Amt.

[grosser]

Willkommen im DebianForum!

Hast deine OpenVPN-Verbindung auch beim systemd "angemeldet" mit "systemctl enable openvpn@client.service" und die Verbindung darüber gestartet mit "systemctl start openvpn@client.service"? Bei mir überlebt das OpenVPN die Zwangstrennung bei Jessie, auch ohne "connect-try".

Gruss, mistersixt.

mistersixt , wie meinst du das genau? Auf dem Client bin ich mir sicher sowie nicht gemacht zu haben

[grosser]

Hab mal einen Log mitschreiben lassen beim Client und noch eine gesteuerte Zwangstrennung durchgeführt.

Es wurde dann per Hand ein Neustart des VPN Dienstes am Client durchgeführt, deswegen war dann die Verbindung wieder da.

Wed Feb 3 19:01:31 2016 OpenVPN 2.3.6 mipsel-oe-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 13 2015
Wed Feb 3 19:01:31 2016 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
Wed Feb 3 19:01:31 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 3 19:01:31 2016 WARNING: file '/etc/openvpn/client.key' is group or others accessible
Wed Feb 3 19:01:31 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Wed Feb 3 19:01:31 2016 UDPv4 link local: [undef]
Wed Feb 3 19:01:31 2016 UDPv4 link remote: [AF_INET]91.38.128.94:4624
Wed Feb 3 19:01:31 2016 TLS: Initial packet from [AF_INET]91.38.128.94:4624, sid=53a05b04 5f5d9c9f
Wed Feb 3 19:01:31 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb 3 19:01:31 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb 3 19:01:32 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb 3 19:01:32 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 3 19:01:32 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb 3 19:01:32 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 3 19:01:32 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Feb 3 19:01:32 2016 [server] Peer Connection Initiated with [AF_INET]91.38.128.94:4624
Wed Feb 3 19:01:35 2016 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Feb 3 19:01:35 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Wed Feb 3 19:01:35 2016 OPTIONS IMPORT: timers and/or timeouts modified
Wed Feb 3 19:01:35 2016 OPTIONS IMPORT: --ifconfig/up options modified
Wed Feb 3 19:01:35 2016 OPTIONS IMPORT: route options modified
Wed Feb 3 19:01:35 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Feb 3 19:01:35 2016 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 IFACE=eth0 HWADDR=00:1d:ec:0a:30:c1
Wed Feb 3 19:01:35 2016 TUN/TAP device tun0 opened
Wed Feb 3 19:01:35 2016 TUN/TAP TX queue length set to 100
Wed Feb 3 19:01:35 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Feb 3 19:01:35 2016 /sbin/ip link set dev tun0 up mtu 1500
Wed Feb 3 19:01:35 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Wed Feb 3 19:01:35 2016 /sbin/ip route add 91.38.128.94/32 via 192.168.2.1
Wed Feb 3 19:01:35 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Wed Feb 3 19:01:35 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Wed Feb 3 19:01:35 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.5
Wed Feb 3 19:01:35 2016 Initialization Sequence Completed
Wed Feb 3 19:04:48 2016 [server] Inactivity timeout (--ping-restart), restarting
Wed Feb 3 19:04:48 2016 SIGUSR1[soft,ping-restart] received, process restarting
Wed Feb 3 19:04:48 2016 Restart pause, 2 second(s)
Wed Feb 3 19:04:50 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 3 19:04:50 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Wed Feb 3 19:04:50 2016 UDPv4 link local: [undef]
Wed Feb 3 19:04:50 2016 UDPv4 link remote: [AF_INET]91.38.128.94:4624
Wed Feb 3 19:05:50 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 3 19:05:50 2016 TLS Error: TLS handshake failed
Wed Feb 3 19:05:50 2016 SIGUSR1[soft,tls-error] received, process restarting
Wed Feb 3 19:05:50 2016 Restart pause, 2 second(s)
Wed Feb 3 19:05:52 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 3 19:05:52 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Wed Feb 3 19:05:52 2016 UDPv4 link local: [undef]
Wed Feb 3 19:05:52 2016 UDPv4 link remote: [AF_INET]91.38.155.187:4624
Wed Feb 3 19:06:52 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 3 19:06:52 2016 TLS Error: TLS handshake failed
Wed Feb 3 19:06:52 2016 SIGUSR1[soft,tls-error] received, process restarting
Wed Feb 3 19:06:52 2016 Restart pause, 2 second(s)
Wed Feb 3 19:06:54 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 3 19:06:54 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Wed Feb 3 19:06:54 2016 UDPv4 link local: [undef]
Wed Feb 3 19:06:54 2016 UDPv4 link remote: [AF_INET]91.38.155.187:4624
Wed Feb 3 19:07:24 2016 event_wait : Interrupted system call (code=4)
Wed Feb 3 19:07:24 2016 /sbin/ip route del 10.8.0.0/24
Wed Feb 3 19:07:24 2016 /sbin/ip route del 91.38.128.94/32
Wed Feb 3 19:07:24 2016 /sbin/ip route del 0.0.0.0/1
Wed Feb 3 19:07:24 2016 /sbin/ip route del 128.0.0.0/1
Wed Feb 3 19:07:24 2016 Closing TUN/TAP interface
Wed Feb 3 19:07:24 2016 /sbin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5
Wed Feb 3 19:07:24 2016 SIGTERM[hard,] received, process exiting
Wed Feb 3 19:07:31 2016 OpenVPN 2.3.6 mipsel-oe-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 13 2015
Wed Feb 3 19:07:31 2016 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
Wed Feb 3 19:07:31 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Feb 3 19:07:31 2016 WARNING: file '/etc/openvpn/client.key' is group or others accessible
Wed Feb 3 19:07:31 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Wed Feb 3 19:07:31 2016 UDPv4 link local: [undef]
Wed Feb 3 19:07:31 2016 UDPv4 link remote: [AF_INET]91.38.155.187:4624
Wed Feb 3 19:07:31 2016 TLS: Initial packet from [AF_INET]91.38.155.187:4624, sid=8404167a 0c7dda40
Wed Feb 3 19:07:32 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb 3 19:07:32 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb 3 19:07:33 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb 3 19:07:33 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 3 19:07:33 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb 3 19:07:33 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb 3 19:07:33 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Feb 3 19:07:33 2016 [server] Peer Connection Initiated with [AF_INET]91.38.155.187:4624
Wed Feb 3 19:07:35 2016 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Feb 3 19:07:35 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Wed Feb 3 19:07:35 2016 OPTIONS IMPORT: timers and/or timeouts modified
Wed Feb 3 19:07:35 2016 OPTIONS IMPORT: --ifconfig/up options modified
Wed Feb 3 19:07:35 2016 OPTIONS IMPORT: route options modified
Wed Feb 3 19:07:35 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Feb 3 19:07:35 2016 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 IFACE=eth0 HWADDR=00:1d:ec:0a:30:c1
Wed Feb 3 19:07:35 2016 TUN/TAP device tun0 opened
Wed Feb 3 19:07:35 2016 TUN/TAP TX queue length set to 100
Wed Feb 3 19:07:35 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Feb 3 19:07:35 2016 /sbin/ip link set dev tun0 up mtu 1500
Wed Feb 3 19:07:35 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Wed Feb 3 19:07:35 2016 /sbin/ip route add 91.38.155.187/32 via 192.168.2.1
Wed Feb 3 19:07:35 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Wed Feb 3 19:07:35 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Wed Feb 3 19:07:35 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.5
Wed Feb 3 19:07:35 2016 Initialization Sequence Completed

Ist da eventuell was draus zu erkennen?

[mat6937]

Es wurde dann per Hand ein Neustart des VPN Dienstes am Client durchgeführt, deswegen war dann die Verbindung wieder da.

OK, jetzt wissen wir, dass das Gerät nicht rebootet werden muss.

Nutzt Du Dienste auf dem VPN-Server oder aus dem W/LAN des VPN-Servers, durch den VPN-Tunnel und ausgehend vom VPN-Client?

[grosser]

Richtig, Ich nutze Dienste auf dem VPN Server über das INet durch den Tunnel hin zum Client.
Hab auch noch den Log vom Server, was nach der Zwangstrennung passiert ist.
Hier mal der Auszug

Code: Alles auswählen

Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=client, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 01:47:12 2016 client/79.238.237.130:57569 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Feb  3 02:47:10 2016 client/79.238.237.130:57569 TLS: tls_process: killed expiring key
Wed Feb  3 02:47:13 2016 client/79.238.237.130:57569 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 02:47:13 2016 client/79.238.237.130:57569 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=client, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 02:47:14 2016 client/79.238.237.130:57569 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 02:47:14 2016 client/79.238.237.130:57569 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 02:47:14 2016 client/79.238.237.130:57569 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 02:47:14 2016 client/79.238.237.130:57569 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 02:47:14 2016 client/79.238.237.130:57569 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Feb  3 03:07:47 2016 client/79.238.237.130:57569 [client] Inactivity timeout (--ping-restart), restarting
Wed Feb  3 03:07:47 2016 client/79.238.237.130:57569 SIGUSR1[soft,ping-restart] received, client-instance restarting

3:07 Uhr ist die letzte Meldung, danach kommt erst etwas wenn der Client den VPN Dienst per Hand neustartet

[mat6937]

... Ich nutze Dienste auf dem VPN Server ...

Poste mal vom VPN-Server die Ausgabe von:

Code: Alles auswählen

netstat -tlpen

[grosser]

... Ich nutze Dienste auf dem VPN Server ...

Poste mal vom VPN-Server die Ausgabe von:

Code: Alles auswählen

netstat -tlpen

Hier die Ausgabe

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:37284           0.0.0.0:*               LISTEN      0          11893       501/oscam
tcp        0      0 0.0.0.0:50312           0.0.0.0:*               LISTEN      106        10321       351/rpc.statd
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          12908       994/smbd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          10062       293/rpcbind
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          12632       461/sshd
tcp        0      0 0.0.0.0:16022           0.0.0.0:*               LISTEN      0          11934       501/oscam
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          12366       817/exim4
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      0          12907       994/smbd
tcp        0      0 0.0.0.0:52000           0.0.0.0:*               LISTEN      0          11892       501/oscam
tcp6       0      0 :::139                  :::*                    LISTEN      0          12906       994/smbd
tcp6       0      0 :::111                  :::*                    LISTEN      0          10065       293/rpcbind
tcp6       0      0 :::22                   :::*                    LISTEN      0          12634       461/sshd
tcp6       0      0 :::35542                :::*                    LISTEN      106        10327       351/rpc.statd
tcp6       0      0 ::1:25                  :::*                    LISTEN      0          12367       817/exim4
tcp6       0      0 :::445                  :::*                    LISTEN      0          12904       994/smbd

[mat6937]

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          12632       461/sshd

Versuch mal nach der Zwangstrennung des Servers und ohne den Clienten neu zu starten, auf dem Client in (angemessenen) Zeitabständen:

Code: Alles auswählen

nc -v -n -z -w 1 10.8.0.1 22
ping -c 3 -W 2 10.8.0.1

[MSfree]

Versuch mal nach der Zwangstrennung des Servers und ohne den Clienten neu zu starten, auf dem Client in (angemessenen) Zeitabständen:

Code: Alles auswählen

nc -v -n -z -w 1 10.8.0.1 22
ping -c 3 -W 2 10.8.0.1

Die folgenden Logs wären ebenfalls hilfreich:

die letzten rund ca. 30 Zeilen vor der Zwangstrennung und die Zeilen nach der Zwangstrennung. Hier dann bitte manuell markieren, wann die Trennung war.

beides bitte für Client und Server, ohne Neustart des Clients. Es könnte auch hilfreich sein, das Loglevel von Client und Server zu erhöhen, um zu sehen, was die beiden Enden treiben.

Ein Problem mit der Zwangstrennug ist, daß es immer eine gewisse Zeit dauert, bis alle relevanten Verbindungen wieder aufgebaut sind. Es dauert, bis die Fritzbox die DSL-Verbindung neu aufgebaut hat, es dauert, bis der DynDNS aktualisiert ist und es dauert, bis die Clients von der Aktualisierung der IP-Adresse über DNS erfahren. Insgeasmt können hier durchaus 2-3 Minuten vergehen. Sowohl VPN-Client-Logs als auch VPN-Server-Logs über die verbindungslose Zeit sind interessant.

Meinem Verständnis nach müßte der VPN-Client entweder so konfiguriert werden, daß er bei einer Verbinundgstrennung ständig neu versucht, die Verbindung wieder zu etablieren. Alternativ ginge auch, daß der VPN-Client sich bei einem Verbindungsabbruch beendet, so daß sich systemd um den Neustart des Clients kümmern kann.

[orcape]

Hi grosser,
ich glaube wir "verzetteln" uns hier etwas...
Wenn der OpenVPN-Server läuft, dann ändert auch die Zwangstrennung nichts, der Server läuft weiter, nur die Verbindung wird kurzzeitig unterbrochen. Der Client sollte, nach dem die Verbindung zum Internet wieder hergestellt ist, die Verbindung automatisch wieder aufbauen, da der Client die Verbindung initiiert und nicht der Server. Deshalb dieser Eintrag in der Client.conf...

remote xxxxxxxxxxxxxxxxxxxx 4624

Du solltest also, wenn der Client nur ein Einzelrechner ist, den VPN-Clienten noch mal händisch starten....

openvpn /Pfad zur client.conf

....und Dir das Protokoll ansehen.
Wenn das keine Multiclientverbindung ist, (ein Server, mindestens 2 Clients gleichzeitig) ist auch der Eintrag...

client-to-client

...in der Server.conf fehl am Platze.
Was mich stutzig macht ist....

Wed Feb 3 19:05:50 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 3 19:05:50 2016 TLS Error: TLS handshake failed

Hier liegt eindeutig eine Fehlkonfig, bzw. ein TLS -Fehler vor.
Interessant wäre dazu Dein Netzwerkaufbau, Server wie Clientseitig und die Routingprotokolle von beidem.
Der Tunnel muss automatisch wieder starten, auch ohne ein zusätzliches Script.
Gruß orcape

[grosser]

Hallo hier noch mal der Log vom Client mit 30 Zeilen davor und danach

Code: Alles auswählen

Wed Feb  3 22:07:35 2016 TLS: tls_process: killed expiring key
Wed Feb  3 22:07:38 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 22:07:38 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 22:07:40 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 22:07:40 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 22:07:40 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 22:07:40 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 22:07:40 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Feb  3 23:07:37 2016 TLS: tls_process: killed expiring key
Wed Feb  3 23:07:40 2016 TLS: soft reset sec=0 bytes=425211/0 pkts=3165/0
Wed Feb  3 23:07:41 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 23:07:41 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Feb  3 23:07:42 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 23:07:42 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 23:07:42 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Feb  3 23:07:42 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Feb  3 23:07:42 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Feb  4 00:07:40 2016 TLS: tls_process: killed expiring key
Thu Feb  4 00:07:42 2016 TLS: soft reset sec=0 bytes=419544/0 pkts=3120/0
Thu Feb  4 00:07:42 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 00:07:42 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 00:07:44 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 00:07:44 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  4 00:07:44 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 00:07:44 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  4 00:07:44 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Feb  4 01:07:42 2016 TLS: tls_process: killed expiring key
Thu Feb  4 01:07:44 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 01:07:44 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 01:07:45 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 01:07:45 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  4 01:07:45 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 01:07:45 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  4 01:07:45 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Feb  4 02:07:43 2016 TLS: tls_process: killed expiring key
Thu Feb  4 02:07:45 2016 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 02:07:45 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  4 02:07:47 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 02:07:47 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  4 02:07:47 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb  4 02:07:47 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
[color=#FF0000][b]Thu Feb  4 02:07:47 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Feb  4 03:05:01 2016 [server] Inactivity timeout (--ping-restart), restarting[/b][/color]
Thu Feb  4 03:05:01 2016 SIGUSR1[soft,ping-restart] received, process restarting
Thu Feb  4 03:05:01 2016 Restart pause, 2 second(s)
Thu Feb  4 03:05:03 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:05:03 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:05:03 2016 UDPv4 link local: [undef]
Thu Feb  4 03:05:03 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:06:03 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:06:03 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:06:03 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:06:03 2016 Restart pause, 2 second(s)
Thu Feb  4 03:06:05 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:06:05 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:06:05 2016 UDPv4 link local: [undef]
Thu Feb  4 03:06:05 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:07:05 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:07:05 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:07:05 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:07:05 2016 Restart pause, 2 second(s)
Thu Feb  4 03:07:07 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:07:07 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:07:07 2016 UDPv4 link local: [undef]
Thu Feb  4 03:07:07 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:08:07 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:08:07 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:08:07 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:08:07 2016 Restart pause, 2 second(s)
Thu Feb  4 03:08:09 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:08:09 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:08:09 2016 UDPv4 link local: [undef]
Thu Feb  4 03:08:09 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:09:10 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:09:10 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:09:10 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:09:10 2016 Restart pause, 2 second(s)
Thu Feb  4 03:09:12 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:09:12 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:09:12 2016 UDPv4 link local: [undef]
Thu Feb  4 03:09:12 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:10:12 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:10:12 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:10:12 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:10:12 2016 Restart pause, 2 second(s)
Thu Feb  4 03:10:14 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:10:14 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:10:14 2016 UDPv4 link local: [undef]
Thu Feb  4 03:10:14 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:11:14 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:11:14 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:11:14 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:11:14 2016 Restart pause, 2 second(s)
Thu Feb  4 03:11:16 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Feb  4 03:11:16 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Feb  4 03:11:17 2016 UDPv4 link local: [undef]
Thu Feb  4 03:11:17 2016 UDPv4 link remote: [AF_INET]91.38.135.178:4624
Thu Feb  4 03:12:17 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb  4 03:12:17 2016 TLS Error: TLS handshake failed
Thu Feb  4 03:12:17 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb  4 03:12:17 2016 Restart pause, 2 second(s)

Der Serverlog ist weiter oben zu finden. Da gibt es bisher nichts neues, da der Client noch keinen Neustart des VPN Dienstes veranlasst hat.

In der FritzBox ist die Zwangstrennung zwischen 3 und 4 Uhr Nachts eingestellt. kurz nach 3 Uhr hat die FritzBox die Verbindung getrennt

Code: Alles auswählen

04.02.16	03:03:10	Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 91.38.135.178, DNS-Server: 217.0.43.65 und 217.0.43.81, Gateway: 217.0.118.70, Breitband-PoP: COTX42-erx
04.02.16	03:03:09	Internetverbindung wurde getrennt.
04.02.16	03:03:06	Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.

@ ocrape
Richtig, der Server läuft hinter der FritzBox weiter, nur die Verbindung zum Internet wird kurzzeitig getrennt.

Es soll eigentlich so sein das 1 Server, mein Debian und dann mehrere Benutzer gleichzeitig verbunden sind, die natürlich unterschiedliche Zertifikate haben.

Kannst dir mir sagen wie ich dir den Netzwerkaufbau mit den Routingprotokollen darstellen soll?
Gibt es da Befehle für?

@MSfree
Den Befehl kann ich erst heut Abend ausführen, bin leider noch unterwegs und muss an den Client ran.
Melde mich dazu mit dem Ergebnis

[orcape]

Den Netzwerkaufbau an Hand einer kleinen Zeichnung, da gibt es schöne Programme. Unter Debian z.B. Dia .
Die Routingprotokolle einfach aus der Konsole kopieren...

route oder netstat -r

Laut Deiner Logs definitiv Probleme mit Deinem TLS-Handshake.
Vielleicht von...

Cipher 'BF-CBC'

auf..

AES-CBC

wechseln.
Hier solltest Du mal ansetzen.
Gruß orcape

[grosser]

Hier die Ausgabe mit dem Befehl route vom Server selbst

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.29.0    *               255.255.255.0   U     0      0        0 eth0

und hier die Ausgabe mit dem Befehl route vom Client selbst

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.8.0.5        128.0.0.0       UG    0      0        0 tun0
default         Speedport.ip    0.0.0.0         UG    10     0        0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
91.38.135.178   Speedport.ip    255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.8.0.5        128.0.0.0       UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0

Zeichnung zum Netzwerkaufbau folgt spätestens heut Abend

Eine blöde Frage noch, da ich ja noch recht neu bin. Wo ändere ich den Cipher 'BF-CBC' auf AES-CBC?
In der config vom Server, also in der config Datei?

[mat6937]

Wo ändere ich den Cipher 'BF-CBC' auf AES-CBC?
In der config vom Server, also in der config Datei?

In der config-Datei des Servers und des Clients:

Code: Alles auswählen

cipher AES-256-CBC

eintragen.

[orcape]

Hast Du eine CCD in Deiner Config des Servers. Laut Deinem Routing-Protokoll hast Du den "Client-to-Client" Eintrag noch in der Server.conf stehen. Der Server sollte die IP 10.8.0.1 und der Client die IP 10.8.0.2 haben. Du fährst laut Routing-Tabelle einen Multiclienttunnel.

[grosser]

Nicht das ich wüsste. Die config nach Anpassung sieht so aus

Code: Alles auswählen

dev tun
proto udp
port 4624
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/server.crt
key /etc/openvpn/easy-rsa2/keys/server.key
dh /etc/openvpn/easy-rsa2/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /mnt/Log/vpn/openvpn-status.log
verb 3
cipher AES-256-CBC
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /mnt/Log/vpn/openvpn
comp-lzo
duplicate-cn
keepalive 10 120

Also brauche ich die Funktion nicht, auch wenn sich mehrere Clients gleichzeitig mit dem Server verbinden sollen?

[mat6937]

Also brauche ich die Funktion nicht, auch wenn sich mehrere Clients gleichzeitig mit dem Server verbinden sollen?

Den ccd-Eintrag (client-config-dir ccd) auf dem Server brauchst Du nur dann, wenn Du vom Server aus, auch Zugriff in das (W)LAN des Clienten haben willst. Die "client-to-client"-Konfiguartion brauchst Du, wenn Du zwischen den Clients (d. h. untereinander via Server) Zugriff haben willst.

[orcape]

Wenn Du nur mehrere Einzelclients hast, an einem Server, ist die Config so in Ordnung gewesen. Du solltest mit dem TLS-Problem etwas machen. Da liegt die Ursache Deines Problems.

[grosser]

Jup, ich will mehrere Einzelclients anbinden. Will aber trotzdem Zugriff von der Serverseite aus auf den einzelnen Client haben, um gegebenenfalls gewisse Einstellungen zu ändern.
Das mit dem TSL Problem muss ich mir mal ansehen, an irgendeiner Stelle muss es ja aktiviert sein bzw. muss ich ja etwas vergessen haben.

EDIT: du meinst die Einstellungen wie drei Beiträge weiter oben sind so okay, ja?

[orcape]

Jup, ich will mehrere Einzelclients anbinden.

Voraussetzung, hinter den Clients ist kein Netzwerk, welches Du erreichen musst.
(Beispiel: Der OVPN-Client läuft auf einem Router dessen Netzwerk Du erreichen willst.) Dazu bräuchtest Du eine CCD.
Wenn die Clients sich unterhalten sollen, "client-to-client"

[grosser]

Voraussetzung, hinter den Clients ist kein Netzwerk, welches Du erreichen musst.
(Beispiel: Der OVPN-Client läuft auf einem Router dessen Netzwerk Du erreichen willst.) Dazu bräuchtest Du eine CCD.
Wenn die Clients sich unterhalten sollen, "client-to-client"

Also mit den bisherigen Einstellungen komme ich auf den Client drauf so lange die Verbidnung steht, danach logischerweise nicht mehr.
Der OpenVPN-Client läuft auf einem Receiver hinter dem Router, damit reicht das erstmal so aus. Da ich diesen ja erreiche.

Nun nur noch die TSL-Problematik klären.

[mat6937]

Nun nur noch die TSL-Problematik klären.

Schau mal im Log des VPN-Clienten nach, ob Du solche Meldungen:

Thu Feb 4 03:09:10 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb 4 03:09:10 2016 TLS Error: TLS handshake failed
Thu Feb 4 03:09:10 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb 4 03:09:10 2016 Restart pause, 2 second(s)

, auch dann bekommst wenn die Verbindung zwischen VPN-Client und VPN-Server vorhanden ist bzw. funktioniert?

Ich denke, die "TLS-Problematik" ist die Folge und nicht die Ursache.
https://openvpn.net/index.php/open-sour ... ivity.html

EDIT:

In die config des Server kannst Du noch:

Code: Alles auswählen

tls-server
auth RSA-SHA256

und in die config des Clienten noch:

Code: Alles auswählen

tls-client
auth RSA-SHA256

eintragen.

[grosser]

Nun nur noch die TSL-Problematik klären.

Schau mal im Log des VPN-Clienten nach, ob Du solche Meldungen:

Thu Feb 4 03:09:10 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Feb 4 03:09:10 2016 TLS Error: TLS handshake failed
Thu Feb 4 03:09:10 2016 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb 4 03:09:10 2016 Restart pause, 2 second(s)

, auch dann bekommst wenn die Verbindung zwischen VPN-Client und VPN-Server vorhanden ist bzw. funktioniert?

Jup, beim Client sind auch diese Meldungen zu finden.

HM, okay. Also weiter suchen

[grosser]

@ orcape
Hier mal eine kleine Zeichnung zum Netzwerkaufbau hoffe es ist nachvollziehbar